Még az elején tisztázzuk: maradék adatok alatt azokat az információkat értjük, melyek bármilyen rendszerezés nélkül ott lappanganak régi számítógépjeinket, adathordozóinkon. Ezek az adatok lehetnek redundáns, elavult és triviális vagyis RET adatok, melyek több helyen egyszerre is fellelhetők.
Ezeknek az adatoknak nagyon pici vagy egyáltalán nincs üzleti értékük. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis vizsgáljuk őket felül rendszeresen, minősített megoldások vagy szolgáltatások segítségével töröljük.
Ugyancsak maradék adatnak számítanak a sötét, vagyis strukturáltalan adatok, melyek értékét nem tudjuk megállapítani. Nem tudjuk pontosan mit tartalmazna, nem tudjuk pontosan hol lehetnek – GDPR tekintetében időzített bombát jelentenek ezek az adatok. Bővebben az adatok típusairól ebben a korábbi bejegyzésben olvashat.
1. Attól, hogy nem látjuk, az adat még ott van
Már többször foglalkozunk blogunkban azzal, hogy az attól, hogy mi nem találjuk az adott adatot vagy nem látjuk a merevlemezen, nem azt jelenti, hogy az az adat nincs rajta. A törölt állományok nem szűnnek meg létezni, csupán a rájuk mutató bejegyzéseket semmisíti a rendszer. Épp úgy, mint amikor a könyvtárban attól, hogy ez adott könyv referencia számát elveszítjük, a könyv még ott marad a könyvek között, csak nem tudjuk pontosan hol található, ám egy takarítás során rábukkanhatnak.
Az adatokat véglegesen és biztonságosan adatfertőtlenítéssel távolíthatjuk el.
2. A formázás nem töröli véglegesen a maradék adatokat sem
Noha több formázási lehetőség és metódus létezik, ezek a módszerek sem törlik le mindig az adatokat a merevlemezről. A népszerű gyors formázás például a törléshez hasonlóan egy új metaadat térséget alakít ki a számítógép adathordozóján anélkül, hogy a régi személyes adatokat törölné – valahol kell időt nyernie, nemde?
3. A szabályzatok és eljárások épp annyira fontosak, mint az adatfertőtlenítési eljárás
A vállalat méretétől függetlenül az adatszivárgás kockázata egyformán magas. Egy ilyen biztonsági eseményre csak felkészülni lehet. Annak érdekében, hogy mindenki pontosan tudja mi a teendője egy adatvédelmi incidens esetén, érdemes szabályzatban pontosan rögzíteni, hogy kinek mi a felelőssége. Az adatvédelmi szabályzatban érdemes leírni:
- Milyen célból és milyen adatokat gyűjtünk
- Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
- Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
- Hogyan osztályozzuk az adatokat
- Az adatokat hogyan védjük életciklusok során
- Hogyan semmisítjük meg az adatokat életciklusok végén
- Adatvédelmi incidens esetén kinek mi a feladata, kit hogyan kell riasztani, melyek az elsődleges teendők
4. Ha a hardver elhasználódott, nem megy egyedül. Kérjük a szakértő vállalatok segítségét!
Nagyon sok vállalat külső céget bíz meg régi hardver eszközei kezelésével. Ez egy szuper szokás, mely a DATA D-hez hasonló környezetvédelmi vállalatok meglétét biztosítják. Azonban mielőtt kiválasztanánk az IT eszközök újrahasznosításával foglalkozó céget, vizsgáljuk meg, hogy az adott vállalat:
- Milyen folyamatokkal dolgozza fel az IT eszközöket?
- Képes garantálni, hogy minden adathordozó adatát szakszerűen és tanúsítottan töröli?
- Tanúsítványt bocsát ki az adathordozók fertőtlenítéséről?
- Hogyan ellenőrizhetjük, hogy ténylegesen elvégezte az adathordozók végleges törlését?
- Mennyi idő alatt végez a teljes hardverkezelési folyamattal?
Ezeket a kérdéseket érdemes már szerződéskötés előtt tisztázni, írásba foglalni a garanciákat.
5. Csak azért, mert az eszköz cégen belül marad, nem csökkennek a kockázatok
A konzervatív megközelítésű vállalatok választhatják azt is, hogy a régebbi eszközöket egy erre dedikált raktárban őrzik és a biztonság kedvéért nem adják ki külső vállalkozásoknak. Ha szükség van egy tartalék laptopra vagy számítógépre, akkor nem kel újat vásárolni, hiszen arra a rövid időre van egy a régi raktárban. Azonban a kérdés nem ilyen egyszerű, hiszen a gyakorlat azt mutatja, a régi számítógépek adataival senki sem törődik cégen belül. Az eszközök úgy cserélnek gazdát, hogy a korábbi tulajdonos adatai rajta maradnak.
Azonban egy adatvédelmi kérdéseket vet fel, hiszen például a HR-es kolléga rengeteg személyes adatokkal dolgozik, és ezeket a marketinges kollégának nem szabad látnia, hozzáférnie. A GDPR elvei szerint a személyes adatokkal csak azok dolgozhatnak, akiknek erre feltétlenül szükségük van vagy az adattulajdonosa erre beleegyezését adta – teljesen biztos, hogy a HR-es adatok marketing célú felhasználása nem szabályszerű.
6. A mi felelősségünk védeni az adatokat. Még a maradék adatokat is.
Tudjuk, a biztonsági hibáknak se szeri se száma, az operációs rendszereket és a különböző szoftvereket nem hiába frissíti a gyártó rendszeresen. Nem az operációs rendszer gyártójának, hanem a vállalkozás tulajdonosának a felelőssége a vállalat adatvagyonának megvédése. Ahol meg nem tudjuk teljesen megvédeni az adatokat, ott a kockázatok csökkentése a feladatunk. Mert az adat védelme végső soron a mi feladatunk.