Ενόψει των νέων αλλαγών στον τρόπο διαχείρισης των ευαίσθητων δεδομένων και με το εντυπωσιακό 84% των CIOs να δηλώνουν ανέτοιμοι να αντιμετωπίσουν τις μελλοντικές αλλαγές, το 2015 αναμένεται ιδιαίτερα «προσοδοφόρο» για τα Υπουργεία Οικονομικών των χωρών μελών της Ε.Ε… ενόψει των μελλοντικών κυρώσεων.

Η νέα ευρωπαϊκή νομοθεσία περί προστασίας ευαίσθητων δεδομένων πρόκειται να επιφέρει σημαντικές αλλαγές στον τρόπο, με τον οποίο οι επιχειρήσεις στην Ε.Ε διαχειρίζονται τα δεδομένα τους. Η EU General Data Protection Regulation έρχεται να αντικαταστήσει την οδηγία EU Directive 95/46EC, με τις πιο σημαντικές αλλαγές από το 1995 στον τομέα προστασίας ευαίσθητων δεδομένων και της ιδιωτικότητας. Συνοπτικά, η νέα νομοθεσία προβλέπει:

  • Εναρμονισμένο Κανονισμό: Η νέα νομοθεσία αποτελεί κανονισμό (regulation) και όχι oδηγία (directive). Αυτό σημαίνει πως είναι άμεσα εφαρμόσιμη και δεν απαιτεί αποδοχή από τις τοπικές αρχές.
  • Αυξημένες κυρώσεις: Κλιμακωτό σύστημα κυρώσεων για τυχόν παραβιάσεις της προστασίας των ευαίσθητων δεδομένων:
    • 1.000.000€ ή 2% του ετήσιου τζίρου για μεγάλες παραβιάσεις
    • 500.000€ ή 1% του ετήσιου τζίρου για μεσαίες παραβιάσεις
    • 250.000€ ή 0.5% του ετήσιου τζίρου για μικρές παραβιάσεις
  • Επέκταση δικαιοδοσίας: Ακόμα και οι επιχειρήσεις που εδρεύουν εκτός της Ε.Ε υποχρεούνται να υπακούν στη νέα νομοθεσία, εφόσον προσφέρουν αγαθά/υπηρεσίες εντός Ε.Ε.
  • Απόδειξη συμμόρφωσης: Δεν είναι πλέον αποδεκτή η ανάρτηση μιας πολιτικής απορρήτου στην ιστοσελίδα των επιχειρήσεων. Οι επιχειρήσεις θα πρέπει να αποδείξουν τις πολιτικές και διαδικασίες που χρησιμοποιούνται.
  • Απόδειξη διαγραφής δεδομένων: Οι επιχειρήσεις πρέπει να υιοθετήσουν μεθοδολογία διαγραφής δεδομένων, με τις ανάλογες αποδείξεις διαγραφής.

Με τη νέα νομοθεσία, κάθε data controller (ιδιοκτήτες δεδομένων) και data processor (cloud providers & datacenter hosting) είναι ισότιμα υπόλογοι για τυχόν διαρροές ευαίσθητων δεδομένων και παραβιάσεις του νόμου. Βάσει του άρθρου 17, εκτός από τις βασικές πληροφορίες (ονοματεπώνυμο, ΑΦΜ κ.λπ.), ευαίσθητα δεδομένα θεωρούνται και οι διευθύνσεις IP, cookies και location data. Όταν, δηλαδή, τα δεδομένα δεν είναι πλέον απαραίτητα ή η συγκατάθεση επεξεργασίας τους έχει αρθεί ή η συμφωνημένη περίοδος αποθήκευσης έχει λήξει, πρέπει να διαγράφονται. Συνεπώς, ορισμένα κλασικά παραδείγματα στα οποία οι CIO καλούνται να δώσουν λύση είναι:

1. Πελάτης ασκεί το δικαίωμα ψηφιακής λήθης (the right to be forgotten) ή τα δεδομένα του δεν απαιτούνται, πλέον, λόγω λήξης της συμβατικής συμφωνίας. Ασχέτως εάν τα δεδομένα αυτά αποθηκεύονται σε private ή public cloud ή στην επιχείρηση, πρέπει να διαγραφούν. Αυτό περιλαμβάνει τοπικά αρχεία, ολόκληρους server ή virtualized περιβάλλοντα σε Storage Area Network (SAN).

2. Εργαζόμενος διακόπτει την εργασιακή του σχέση. Τα δεδομένα (από PC/laptop, tablet, τηλέφωνα κ.λπ.) που χρησιμοποιούσε πρέπει, πλέον, να διαγραφούν και να υπάρξει απόδειξη διαγραφής.

3. Ελαττωματικά hardware επιστρέφονται στον προμηθευτή μέσω (Retum Mechandise Authorization) έπειτα από μερική χρήση. Πριν την επιστροφή τους η επιχείρηση οφείλει να διαγράψει τα δεδομένα τους.

4. Αναβάθμιση των συστημάτων της επιχείρησης οδηγεί σε απόσυρση των παλαιοτέρων. Η επιχείρηση οφείλει να διαγράψει τα δεδομένα των αποσυρόμενων συστημάτων και να τα μετεγκαταστήσει με ασφάλεια στα καινούργια.

Ο διαρκής κίνδυνος διαρροής δεδομένων, οι νέοι κανονισμοί και οι υψηλές κυρώσεις δεν αφήνουν καμία αμφιβολία ότι πρέπει να ληφθούν αυστηρά μέτρα. Δυστυχώς, στις περισσότερες περιπτώσεις, η διαρροή δεδομένων δεν είναι αποτέλεσμα hacking ή άλλων εξωγενών δραστηριοτήτων, αλλά αποτέλεσμα της έλλειψης μιας proactive συμπεριφοράς. Εντός μερικών μηνών όλες οι επιχειρήσεις καλούνται να αλλάξουν τη συμπεριφορά αυτή. Σε μια εποχή με πολλαπλές προκλήσεις, αμφισβητήσεις και περικοπές στο ΙΤ budget, οι Διευθυντές Πληροφορικής έχουν, πλέον, τεκμηριωμένες αποδείξεις για την ενίσχυση του προϋπολογισμού τους προς όφελος της επιχείρησης. Για όσους CEO ή Management Board αρνηθούν ή αναβάλουν την συμμόρφωση, ο μόνος θριαμβευτής θα είναι το Υπουργείο Οικονομικών μέσω της Αρχής Προστασίας.