Οι Ευρωπαϊκές ρυθμιστικές αρχές έχουν δεχτεί πάνω από 59.000 ειδοποιήσεις σχετικά με την παραβίαση των προσωπικών δεδομένων από την εφαρμογή του GDPR τον προηγούμενο Μάιο, σύμφωνα με έρευνα της ομάδα ψηφιακής ασφάλειας του DLA Piper. Τα περιστατικά κυμαίνονται από email που στάλθηκαν στο λάθος άτομο μέχρι κυβερνοεπιθέσεις που επηρέασαν εκατομμύρια άτομα.

Στην Ολλανδία, τη Γερμανία και το Ηνωμένο Βασίλειο αναφέρθηκαν οι περισσότερες παραβιάσεις δεδομένων, που ανήλθαν σε 15.400, 12.600 και 10.600 αντίστοιχα. Η Ολλανδία αντιμετώπισε διπλό πρόβλημα με τον μεγαλύτερο αριθμό παραβιάσεων και το μεγαλύτερο κατά κεφαλή ποσοστό παραβιάσεων (89.8 ανά 100.000 ανθρώπους). Η Ιρλανδία και η Δανία έλαβαν την δεύτερη και την τρίτη θέση με 74.9 και 53.2 παραβιάσεις αντιστοίχως. Μέχρι στιγμής έχουν εκδοθεί 91 πρόστιμα σύμφωνα με τους κανονισμούς του GDPR, αν και δεν σχετίζονται όλα με παραβιάσεις δεδομένων. Πέρα από το υψηλότερο πρόστιμο (των 57 εκατομμυρίων δολαρίων στην Google) δύο άλλα πρόστιμα στην Γερμανία έφτασαν το ύψος των δεκάδων χιλιάδων δολαρίων, το πρώτο για έναν υπάλληλο που δεν έκανε hash τους κωδικούς και υπέστησαν παραβίαση και το δεύτερο για λανθασμένη online έκδοση ιατρικών δεδομένων. Τα υπόλοιπα πρόστιμα ήταν σχετικά χαμηλότερα κυμαινόμενα σε κλίμακες των χιλιάδων δολαρίων.

Οι ρυθμιστικές αρχές έχουν κατακλυστεί από ένα κύμα καταναλωτών που καταχωρούν τα παράπονα τους, ενώ συγχρόνως και επιχειρήσεις καταγγέλλουν παραβιάσεις δεδομένων. Όντας όμως υποστελεχομένες και με ελλιπείς πόρους, η ικανότητα της έγκαιρης διευθέτησης κάθε γεγονότος είναι περιορισμένη.

«Τα υψηλά νούμερα δείχνουν πως το GDPR έχει θετικό αντίκτυπο τόσο στην αντιμετώπιση που έχουν οι επιχειρήσεις στο θέμα των προσωπικών δεδομένων, όσο και στην παρακολούθηση των παραβιάσεων, καθώς και στη διαφάνεια τους απέναντι στις ρυθμιστικές αρχές και στους πελάτες τους» δήλωσε ο Jean-Michel Franco, senior director of data governance products της Talend. «Δεν μπορείς να βελτιώσεις κάτι που δεν μπορείς να το μετρήσεις, από την άλλη χρειάζεται να επενδύσεις περισσότερη ενέργεια και πόρους στην βελτίωση όταν οι μετρήσεις γίνονται κόκκινες και συγχρόνως πρέπει να παρουσιαστούν σε πολλούς ανθρώπους» συμπλήρωσε. Οι διευθυντές των μεγάλων επιχειρήσεων ανέμεναν το πρώτο υπέρογκο πρόστιμο του GDPR, μέχρι που το ελεγκτικό σώμα προστασίας των δεδομένων της Γαλλίας, το CNIL, επέβαλλε ένα πρόστιμο πολλών εκατομμυρίων στη Google, τον προηγούμενο μήνα, για τη διαχείριση των πληροφοριών της και τις πρακτικές συναίνεσης που εφάρμοσε σε διάφορες παραμέτρους των mobile συσκευών. Η Google δήλωσε πως θα κάνει έφεση στο πρόστιμο.

Ενώ τα 57 εκατομμύρια δολάρια είναι ένα ιδιαίτερα μνημειώδες ποσό, δεν πλησιάζει καν τις μέγιστες ποινές που οι ρυθμιστικές αρχές θα μπορούσαν να επιβάλουν στην Google βάσει των παγκόσμιων ετησίων εσόδων της.

«Οι ενημερώσεις αναφορικά με τις παραβιάσεις των κανόνων του GDPR είναι σημαντικές, αλλά υπάρχει μια παρανόηση σχετικά με την οπτική ότι ο πυρήνας των κανονισμών αφορά αποκλειστικά τις παραβιάσεις των προσωπικών δεδομένων» είπε ο J. Franco. Το πρόστιμο της Google, το μεγαλύτερο ως τώρα, καθώς και άλλες δράσεις οργανισμών προστασίας των προσωπικών δεδομένων, υποδεικνύουν πως η διαχείριση της συγκατάθεσης σχετικά με την πρόσβαση στα προσωπικά δεδομένα αποτελεί επίσης βασική ανησυχία. Οι παραβιάσεις υπήρξαν υψηλότερες ανάμεσα σε μερικές από τις πιο ισχυρές οικονομίες της Ευρώπης. Στην Γερμανία και το Ηνωμένο Βασίλειο αντιστοιχούν περισσότερες παραβιάσεις δεδομένων από ότι στις υπόλοιπες 23 χώρες μαζί. Οι περισσότερες χώρες (17) ανέφεραν λιγότερες από 1.000 παραβιάσεις δεδομένων.

Στρατηγικές για την βελτίωση του data management
Παρατηρείται λοιπόν πως το GDPR δημιουργεί ένα πλήθος προκλήσεων στα στελέχη του IT στο δρόμο για την επίτευξη της πλήρους συμμόρφωσης με τους κανονισμούς. Ενώ οι περισσότερες επιχειρήσεις έχουν ενεργοποιήσει τουλάχιστον τα βασικά πλαίσια συμμόρφωσης, υπάρχει επίσης μια σειρά προκλήσεων σχετικά με το data management εντός του GDPR. Στη συνέχεια αναφέρονται μερικοί τρόποι με τους οποίους οι διευθύνοντες καθορίζουν τις GDPR στρατηγικές και διαδικασίες τους ώστε να εξασφαλίσουν πως το data management τους βρίσκεται σε πλήρη συμμόρφωση με το κανονιστικό πλαίσιο.

Αυτοματοποίηση της αφαίρεσης δεδομένων
Μια από τις προκλήσεις του GDPR data management που αντιμετωπίζουν τα στελέχη έγκειται στην μείωση του όγκου των δεδομένων PII(personally identifiable information) διάφορων συστημάτων. Σύμφωνα με το GDPR η εκάστοτε στρατηγική πρέπει να εγγυάται πως τα δεδομένα θα διαγράφονται σωστά εντός συγκεκριμένων χρονικών πλαισίων και με μηχανισμούς που δεν θα επιτρέψουν στα PΙΙ να εμφανισθούν ξανά. Στα αρχικά στάδια, μπορεί να είναι εφικτό να αφαιρεθούν χειροκίνητα τα αρχεία, αυτό όμως εναποθέτει ένα νέο βάρος στους εργαζόμενους που μπορεί να παραβλέψουν κάποια δεδομένα.

«Μια πρακτική προτείνει τη χρήση ενός κεντρικού συστήματος, όπως ένα κατάλληλο CRM για τον εντοπισμό των δεδομένων και αν είναι εφικτό, την αυτοματοποίηση των κατάλληλων GDPR data management διαδικασιών» είπε ο Sultan Saidov, CPO and co-founder της Beamery.

Χρήση της business process προσέγγισης
Τα κλασικά data inventories είναι μεγάλες λίστες με λεπτομέρειες σχετικά με τα στοιχεία των προσωπικών δεδομένων ή των processing activities, μαζί με άλλες πληροφορίες αναφορικά με το πλήθος των δεδομένων. Αυτές οι λίστες είναι στιγμιότυπα στον χρόνο, όμως οι επιχειρηματικές διαδικασίες συνεχώς εξελίσσονται, ενώ αυτές οι λίστες μπορεί να μην ανανεώνεται τόσο συχνά όσο αναπροσαρμόζονται οι επιχειρηματικές διαδικασίες (και οι GDPR στρατηγικές).

«Ο data manager δεν έχει μια πλήρη εικόνα σχετικά με το πώς τα ίδια δεδομένα μπορούν να χρησιμοποιηθούν με διαφορετικούς τρόπους από διαφορετικά συστήματα και στερείται λεπτομερειών, σχετικά με το πώς τα δεδομένα χρησιμοποιούνται, τις οποίες χρειάζεται για να εξακριβώσει το ρίσκο» είπε η Νicole Sroka, senior product marketing manager στην TrustArc Inc.

Για παράδειγμα, ένα παραδοσιακό inventory θα κατέγραφε το γεγονός πως ένα ERP σύστημα λειτούργησε, αλλά δεν θα συνυπολόγιζε τα διαφορετικά επίπεδα ρίσκου από τα διάφορα δεδομένα που αποθηκεύονται. Ένα HR process περιλαμβάνει social security numbers, ενώ μια διαδικασία marketing χρησιμοποιεί διευθύνσεις email. «Μια βέλτιστη πρακτική αποτελεί η χρήση μιας process based προσέγγισης έναντι της παραδοσιακής system-based IT προσέγγισης» διευκρίνισε η Ν. Sroka. Διότι αυτή περιλαμβάνει την καταγραφή του «πως» και του «γιατί» τα δεδομένα χρησιμοποιούνται, ώστε οι επεξεργασίες υψηλού ρίσκου να επισημαίνονται για περεταίρω ανάλυση.


Dark Data
Ανεπεξέργαστα και αδόμητα δεδομένα καταναλώνουν τον αποθηκευτικό χώρο τον επιχειρήσεων σε κλίμακες των εκατοντάδων terabytes. Πολλές επιχειρήσεις δεν γνωρίζουν πως έχουν ένα μεγάλο πρόβλημα με αυτού του είδους τα “dark data”. Αυτά μπορεί να αποτελούνται από οποιοδήποτε αριθμό ανεπεξέργαστων φακέλων, συμπεριλαμβανομένων των PSTs και των backups των υπολογιστών των υπαλλήλων, τους λογαριασμούς email των υπαλλήλων που έχουν αποχωρήσει, system generated files και άλλα. Τα παλιά PSTs είναι ένα ιδιαίτερα συχνό σύμπτωμα των dark data. Πολλοί διαχειριστές IT απλά δεν έχουν ιδέα πόσοι τέτοιοι φάκελοι υπάρχουν, πόσο μάλλον πώς να τους διαχειριστούν.

Η καλύτερη πρακτική είναι και η πιο οικονομικά συμφέρουσα. Αντί να δοκιμάσετε την μαζική διαγραφή με το ρίσκο της απώλειας κάποιας σημαντικής πληροφορίας ή την πρόσληψη συμβούλων που χρεώνουν εκατοντάδες δολάρια την ώρα για να εντοπίσουν το μεγάλο πλήθος από dark data που έχετε, μπορείτε να χρησιμοποιήσετε ένα σύστημα που είναι σχεδιασμένο για να κάνει την δουλειά για εσάς πολύ πιο ανέξοδα. Αναζητήστε ένα information management system που να καταστρέφει τα dark data γρήγορα μέσω της αναγνώρισης και καταχώρησης των αδόμητων δεδομένων, απλοποιώντας την αναζήτηση τους μέσω keyword, custodian, last date accessed κλπ.

Η δημιουργία μιας ομάδας διαφάνειας των δεδομένων
Οι επιχειρήσεις χρειάζονται μια μέθοδο για να ανταποκρίνονται αποδοτικά στην ποικιλία αιτημάτων που μπορεί να λάβουν λόγω του GDPR. Αιτήματα όπως αυτό της διαγραφής των πληροφοριών κάποιου χρήστη ή της ενημέρωσης σχετικά με τον τρόπο που τα δεδομένα του χρησιμοποιούνται αν αυτό ζητηθεί. Οι προκλήσεις που προκύπτουν από αυτά τα αιτήματα περιλαμβάνουν την εξακρίβωση της ταυτότητας του αιτούντος, τον εντοπισμό όλων των δεδομένων σε πολλές και διασκορπισμένες βάσεις δεδομένων και την παροχή ενός ασφαλούς τρόπους παράδοσης. «Οι επιχειρήσεις πρέπει να είναι ικανές να διαγράψουν τα δεδομένα ενός ατόμου, αλλά συγχρόνως να μπορούν να διατηρήσουν μια μέθοδο που να δείχνει ότι κατείχαν αυτά τα δεδομένα» λέει ο John Brangaccio, director of digital marketing στην ACI Worldwide Inc. Αυτό μπορεί να είναι δύσκολο όταν σύνθετες τεχνολογίες πληρωμών συνδέονται με συστήματα τρίτων. Πέρα από τον εντοπισμό της τοποθεσίας των δεδομένων, οι διευθυντές των επιχειρήσεων πρέπει να ξέρουν αν η διαγραφή τους είναι υποχρέωση της επιχείρησης ή ενός third party, σύμφωνα με το GDPR.

Η διευθέτηση αυτών των θεμάτων απαιτεί αφοσίωση και συνεργασία δια μέσω του οργανισμού. Ευεργετική επίσης είναι η ύπαρξη μεθόδων όπως αυτοματοποιημένα συστήματα ticketing για τον εντοπισμό και την διαχείριση των αιτήσεων, καθώς και της διαχείρισης της ορατότητας και της παροχής πρόσβασης στα διάφορα databases όπου είναι αποθηκευμένα τα δεδομένα.

«Σε πολλές περιπτώσεις, μια full-time αφοσιωμένη ομάδα μπορεί να χρειάζεται, αντί να προστίθενται επιπλέον περίπλοκες διαδικασίες στον φόρτο εργασίας της υπάρχουσας ομάδας» συμπληρώνει ο J. Brangaccio.

Integrated Archiving και Backup.
Σχετικά με τα backup, μια επιχείρηση μπορεί να αντιμετωπίζει μεγάλα ρίσκα αν δεν χρησιμοποιεί ένα integrated archive and backup σύστημα που να εξασφαλίζει πως μόνο μια εκδοχή των δεδομένων αποθηκεύεται και στα δύο. Λάβετε υπόψη πως για να είναι σύμφωνα με το GDPR τα συστήματα αρχειοθέτησης πρέπει να μπορούν:

  • Να απαντούν σε κάθε αίτημα εύρεσης προσωπικών δεδομένων σε ένα συγκεκριμένο θέμα δεδομένων.
  • Να διορθώνουν λανθασμένα δεδομένα.
  • Να διαγράφουν δεδομένα τα οποία έχει ζητηθεί «να ξεχαστούν».

Αναζητήστε ένα εργαλείο αρχειοθέτησης που να σας επιτρέπει να αποδεσμεύετε τα δεδομένα, που χρησιμοποιούνται σπανιότερα, σε ένα δευτερεύον σύστημα ώστε να μειώνονται ο όγκος των δεδομένων που αποθηκεύονται στα συστήματα παραγωγής. Το Cloud-based archiving και οι backup λύσεις είναι συχνά ταχύτερες στην εφαρμογή τους, γεγονός που μπορεί να είναι ιδιαίτερα σημαντικό στην συμμόρφωση με τους κανονισμούς.

Μοντελοποίηση των απειλών κατά των προσωπικών δεδομένων
Οι κανόνες του GDPR data management επεκτείνουν τον ορισμό των PII ώστε να περιλαμβάνει και πράγματα όπως το IP address, τα δεδομένα τοποθεσίας και οι εικόνες ενός ατόμου. Οι επιχειρήσεις πρέπει να ελέγχουν τα συστήματα τους για να διασφαλίσουν πως δεν συλλέγουν εκ παραδρομής δεδομένα που δεν χρειάζονται και που μπορεί να αποτελούν παραβίαση των κανονισμών.

«Το υλικό που παράγεται από τους χρήστες αποτελεί ακόμα μια γκρίζα ζώνη. Φανταστείτε ένα photo-sharing site όπου ο χρήστης ανεβάζει τις δικές του φωτογραφίες και το δικό του υλικό. Ο διαμοιρασμός των εικόνων αποτελεί μια συγκεκριμένη λειτουργία που το site και ο χρήστης συμφώνησαν. Αλλά, αν τα δεδομένα geolocation δεν αφαιρεθούν από την εικόνα, η τοποθεσία του ατόμου μπορεί να αποκαλυφθεί ακούσια, κάτι για το οποίο ο χρήστης που παράγει το υλικό μπορεί να μην έχει δώσει συγκατάθεση.» λέει ο Travis Ruff, CISO της Amperity Inc. «Χτίστε διαδικασίες που θα εμποδίσουν την είσοδο των άχρηστων δεδομένων στις υπηρεσίες σας» συμπληρώνει ο Ruff.

Διαχείριση των «δεδομένων των απερχόμενων»
Όταν κάποιος αποχωρεί από μια επιχείρηση, είναι σημαντικό να ξέρουμε πώς να διαχειριστούμε και να αρχειοθετήσουμε σωστά τα πολύτιμα δεδομένα του απερχόμενου υπαλλήλου για την αποφυγή πιθανών κινδύνων μη συμμόρφωσης με τους κανονισμούς. Ως βέλτιστη πρακτική οι επιχειρήσεις χρειάζεται να εξασφαλίσουν πως έχουν έναν τρόπο διαχείρισης αυτών των φακέλων που τους αντιμετωπίζει ως τα πολύτιμα επιχειρηματικά assets που είναι. Αν αυτά τα δεδομένα παραμεληθούν και χαθούν και αργότερα ζητηθούν για νομικούς λόγους, η ανάκτηση τους μπορεί να μετατραπεί σε ένα εφιάλτη ή ακόμα και σε κάτι πρακτικά αδύνατο.

Ως βέλτιστη πρακτική προτείνονται τα εξής:

  • Αναπτύξτε μια διαδικασία εξόδου που να εξασφαλίζει πως η επιχείρηση γνωρίζει που ακριβώς βρίσκονται τα δεδομένα των υπαλλήλων της και προστατεύει όλα τα δεδομένα αυτά πριν από οποιαδήποτε αποχώρηση.
  • Μετακινήστε κάθε ένα από τα δεδομένα των υπαλλήλων που έχουν αποχωρήσει σε ένα κεντρικό repository, όπως ένα χαμηλού κόστους cloud αρχείο, για μακροχρόνια αρχειοθέτηση και διαχείριση.