A szabályzatról se feledkezzünk el!
Ha már ismerjük milyen adatok keletkeznek vállalatunkban, tudjuk, milyen életciklusok jellemzőek rájuk, akkor érdemes (és a rossz hírünk az, hogy a legtöbb vállalatnál kötelező) egy adatvédelmi szabályzatot elkészíteni.
Az Amerikai Egyesült Államokban már nem ritka, hogy az adatgazdag vállalatoknál chief data officert vagy adatbiztost neveznek ki. Az európai államokban az adatvédelmi rendelet, vagyis közismert nevén GDPR adatvédelmi biztos (data protection officer) kinevezését írja elő (a témával egy korábbi blogbejegyzésünkben foglalkoztunk bővebben). Így vagy úgy, nem odázhatjuk el annak az embernek a kinevezését, aki a vállalati adatokért és azok biztonságáért felelős.
Ennek az adatbiztosnak a feladata összefogni a vállalati adatok életciklusának megfelelő adatvédelmet. A vállalat különböző részlegei más-más szemszögből tekintenek az információra: az IT csapat feladata tipikusan az adatbiztonság, a jogi osztály kockázatkezelés, megfelelőség szemszögéből foglalkozik velük, míg a többiek csak ontják magukból az adatokat, használják, megosztják őket. Az adatvédelmi szabályzat, mely a GDPR hatálya alá eső vállalatoknál kötelező, az adatokkal és kezelésükkel kapcsolatos tennivalókat foglalja össze. A GDPR ebben a tekintetben előírja, hogy milyen információkat kötelező ebbe a szabályzatba összefoglalni. A teljesség igénye nélkül ezek a következők:
-
Milyen célból és milyen adatokat gyűjtünk
-
Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
-
Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
-
Hogyan osztályozzuk az adatokat
-
Az adatokat hogyan védjük életciklusok során
-
Hogyan semmisítjük meg az adatokat életciklusok végén
Az adatvédelmi szabályzat mellett érdemes időt szánni egy olyan vészforgatókönyv kidolgozására, mely adatszivárgás, adatvesztés esetén lép életbe. Ennek a forgatókönyvnek konkrétan kell tartalmaznia az egyes lépéseket, melyeket vész esetén követnünk kell: kiket és milyen sorrendben riasztunk incidens esetén, ki fogja össze az incidensre válaszoló csapatot, honnan állítjuk vissza az adatokat, hol található a biztonsági mentés, ki végzi el az adatvisszaállítást, a vállalaton kívül kit és hogyan kell értesíteni az incidensről, ki nyilatkozhat a sajtónak a történtekről.
Ha megvan a vészforgatókönyv, akkor a tűzriadóhoz hasonlóan érdemes legalább egyszer évente a gyakorlatban is kipróbálni, hogy egyáltalán működik az elméleti elképzelés. Nemcsak azt tudjuk lemérni, hogy mennyi időre van szükség az adatok visszaállításához és a vállalat akadálytalan működéséhez, hanem az esetleges hiányosságokra is fény derül – így a kézikönyvet tovább pontosíthatjuk.