Közel másfél évvel a GDPR hatályba lépése óta a vállalatok még mindig az adatvédelem elején tartanak. A gigabírságok elmaradtak, a hatóságok elnézők – a védett adatokból pedig egyre több és több születik.
A General Data Protection Regulation nevű EU-s rendelet hatályba lépésének időpontja 2018 május 25.. Sokan féltek ettől a határidőtől, sokan rettegtek tőle, de a legtöbb vállalkozás minden tőle telhetőt megtett azért, hogy a szabályozásnak megfelelő módon működjön.
A vállalat és adatvagyon kapcsolata bonyolult
Az elmúlt másfél évben a zaj elült, a vállalatok meg csendben alkalmazkodnak az új játékszabályokhoz. A cégek és a GDPR most már boldog párként, kéz a kézbe sétálnak a boldog jövő felé? Még nem. A vállalatok és adatvagyonuk közötti kapcsolat túlzottan is bonyolult ahhoz, hogy tartós következtetéseket levonhassunk. Egy hajózási hasonlattal élve, csak most hagytuk el a kikötőt, és egy hosszú utazás előtt állunk. Egy olyan hajón vagyunk, mely sohasem áll le, kikötőből kikötőbe tart, és folyamatosan, a hatóságokkal együtt tanulunk a legjobb gyakorlatokról és megoldásokról.
Fredrik Forslund, a biztonságos és dokumentált adattörléssel foglalkozó Blancco alelnöke szerint a GDPR abban segítette a vállalatokat, hogy átgondolt adatszabályzatot fogadtak el. Korábban az adattokkal kapcsolatos információk a cégen belül léteztek, de struktúra nélkül, szerte szórtan a vállalati rendszerben. A szabályzat hatására a cégekben megjelent az adatvédelmi biztos, (szerepéről korábban már írtunk) de ugyanakkor a munkaköri leírásokban megjelentek az adatokkal kapcsolatos tudnivalók és tennivalók. Rengeteg képzés indult ezen a területen, számtalan jó gyakorlatot osztanak meg egymással a hatóságok és a vállalatok egyaránt. A vállalatok adattudatossá váltak.
Elemzéssel kezdenek
A Blancco szakembere szerint egy vállalati GDPR projekt mindig a gap elemzéssel kezdődik, vagyis megvizsgálják, hogy a vállalat meglévő működése mennyire felel meg a friss szabályzatnak. Az elemzés során az adat vállalaton belüli életciklusát is megvizsgálják, ellenőrzik, hogy az adatot hogyan menedzselik, hol található, merre tárolják, hogyan készítenek biztonsági mentést és kinek van hozzáférése az adatokhoz.
Az ehhez hasonló elemzések mindig feltárják a visszásságokat: olyan helyen bukkannak adatokra, ahol nem kellene lennie (például kiszuperált gépeken vagy polcon tartott USB memórián), több helyen tárolják az érzékeny adatokat, holott csak egy helyen lenne szabad. Miután a problémákat azonosították, a vállalatoknak bizonyítékra van szükségük, hogy az adatokat megfelelően törölték, az adathordozókat megfelelően fertőtlenítették – ebben tud segíteni a Data Destroy szolgáltatása is.