O radiografie obiectivă a primului an de GDPR

Editorial

Vizualizari: 1861

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Mâine se împlinește un an de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale.

În cadrul conferinței GDPR Talks 2019 care a avut loc în data de 21 mai, s-a urmărit realizarea unui bilanț după un an de GDPR, aducând laolaltă reprezentanți ai autorităților publice, asociații profesionale și patronale, avocați, consultanți, experți în eCommerce și tehnologii Web, ofițeri de protecția datelor personale, dar și specialiști cu ani buni de experiență în securitatea datelor, furnizori și antreprenori în tehnologii de graniță și promotori ai transformării digitale.

Cu siguranță unul dintre momentele mult așteptate ale evenimentului a fost bilanțul prezentat de  Autoritatea naționala de supraveghere (ANSPDCP).

Iată cifrele făcute publice de autoritate:

  • sunt 9.335 de responsabili cu protecția datelor (DPO) notificați la Autoritate
  • 391 de încălcări de securitate notificate autorității
  • 460 de investigații din oficiu (69 din sesizări și 391 în urma încălcărilor notificate autorității)
  • 456 de investigații dispuse în urma plângerilor persoanelor vizate
  • Peste 5000 de plângeri efective înregistrate doar în 2018

Mult, puțin?! Greu de spus, asa că am aruncat un ochi în ograda altor autorități de supraveghere din UE pentru a ne face o idee mai clară despre cât de grasă este găina noastră.

Primul reper l-am regăsit în raportul DLA Piper GDPR data breach survey: February 2019, de unde obserm că România este extrem de departe de media europeană în ceea privește plângerile privind prelucrările ilegale de date personale.

În perioada cuprinsă între 25 mai 2018 și până în februarie 2019 când a fost elaborat studiul, la nivelul UE, au fost raportate nu mai puțin de 59.000 de breșe de securitate. Campioni la acest capitol au fost olandezii cu 15,400 breșe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situație am găsit două răspunsuri posibile: ori noi romanii suntem un popor norocos și atacurile cibernetice ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea.

Al doilea reper îl regăsim în Raportul European Data Protection Board, care cuprinde datele înregistrate de autoritățile de supraveghere în primele 9 luni de la aplicarea GDPR-ului.

De aici aflam că autoritățile europene de supraveghere au deschis în total total de 94.622 de investigații, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breșelor de securitate). Tot în acest raport am identificat și câteva informații interesante despre autoritatea națională din România.

  • bugetul autorității naționale de supraveghere este cu aproape 50% mai mic decât necesarul estimat de EDPB
  • schema de personal a autorității este mult subdimensionata, necesitând o suplimentare de 142%

Conform datelor oferite de reprezentantul autorității, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajați, cu tot cu șoferi și personal TESA. Apreciez ca a fost o munca titanica sa efectuezi acest numar de investigatii cu un asa numar redus de persoane angajate in cadrul Autoritatii.

Concluziile specialiștilor după primul an de GDPR în România

Experții care au luat parte la analiza primului an de GDPR ne-au oferit câteva concluzii extrem de importante pentru toți cei implicați în aplicarea GDPR-ului.

Relațiile defectuoase intre operatori generează cele mai frecvente greșeli

Conform Domnului Cătălin Giulescu, Director Direcția pentru Evidența Persoanelor și Administrarea Bazelor de date din cadrul MAI, raportul între operator și împuternicit s-a dovedit a fi o nuca tare. “Operatorul are niște responsabilități foarte mari cu privire la calitatea acestui împuternicit. Acel raport cost beneficiu nu trebuie să fie elementul determinant în alegerea unui împuternicit. Trebuie sa aveți garanția că v-ați ales un împuternicit de cea mai bună calitate”. Sfatul pentru cei care se luptă să obțină alinierea la Regulament este să acorde o importanță sporită transparenței prelucrărilor de date. În opinia mea, 50% din activitățile pe care Dumeavoastră trebuie să le dispuneți pentru a ajunge compliant GDPR, în mare măsură țin de informare și de transparență”.

Elaborarea codurilor de conduită

"Lucrul care ar fi ideal să se întâmple în următor an de aplicare GDPR în România ar fi să existe cât mai multe coduri de conduită sectoriale. Mi se pare aspectul crucial care poate sa ajute să crească industriile pe nișă. Este clar că autoritatea nu o să poată să dea sfaturi în toate domeniile și toate spetele astfel că acesta a încurajat Responsabilii în protecția datelor să se implice în scrierea codurilor de conduită.", a declarat Bogdan Manolea Trusted.ro

Confirmări și sprijin din partea ANSPDCP

Reacția Doamnei Simona Zamfir, a fost una extrem de pozitivă, specificând că unele industrii, cum este cea de telecom, care au făcut deja pași importanți în acest sens “Nu putem decât să-i ajutăm și să așteptăm să ne aducă aceste coduri nu doar la avizat, sa le aducă în faza de lucru să le discutăm, să putem să lucrăm împreuna și să construim pe acest regulament.”, a declarat a Simona Zamfir, consilier în cadrul Biroului Juridic și comunicare al Autorității.

Sfaturi utile pentru DPO

Domnul Daniel Suciu, consultant GDPR, a oferit sfaturi extrem de practice tuturor celor implicați în domeniul protecției datelor. “Prioritatea absolută eu o văd ca trecerea de la formalismul inițial la obținerea unor procese mature, operaționale pentru ariile GDPR. Pentru asta, DPO-ul și managementul ar trebui să analizeze modul în care se desfășoară activitățile sau testarea lor acolo unde nu sunt activități recurente. Unde ar trebui corectat și îmbunătățit? Teoretic acolo unde sunt riscurile mai mari de încălcare a GDPR-ului, dar practic ordinea ar putea fi aleasă și în funcție de interesul manifestat de responsabilii pe anumite zone. Un succes într-o zonă nu foarte critică poate fi folosit ca exemplu pozitiv și poate fi impus pentru alte zone. Și evident, informarea continuă și networking-ul pentru a beneficia de experiența altora”.

Numărul unic de sesizare a unui incident de securitate

Centrul Național de Răspuns la Incidentele de Securitate Cibernetică (CERT-RO), după lansarea de săptămâna trecută a numărului unic 1911 prin care persoanele fizice, juridice și instituțiile publice din România vor putea raporta incidentele de securitate cibernetică, a anunțat  dezvoltarea unei platforme, care va fi pusă la dispoziția autorităților și celorlalți parteneri cu care colaborează, prin intermediul care se va realiza interconectare inclusiv cu platforma comuna europeană. Un instrument extrem de important în procesul de eficientizare a prevenirii, identificării, comunicării și neutralizării amenințărilor cibernetice.

Proiecte ambițioase dedicate educației operatorilor și a persoanelor vizate

Societatea civilă din România a reacționat în acest prim an prin inființarea Asociației Specialiștilor în Confidențialitate și Protecția Datelor, ajungând în scurt timp la peste 100 de membrii. Proiectele deja finalizate au presupus desfășurarea a doua studii, unul privind gradul de conștientizare a persoanei vizate din România privind importanța datelor cu caracter personal și un al doilea studiu care a vizat evaluarea gradului de conformare în cadrul domeniului sanitar românesc.

Persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecție a datelor din România, deoarece prin lipsa de educare întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.”, declară  Marius DUMITRESCU, președintele ASCPD.

Asociația Specialiștilor ca continua să lanseze proiecte de educație a membrilor, a operatorilor și a persoanelor vizate, în trecut organizând campanii de informare privind

  • Retragerea consimtâmantului GDPR din domeniul sanitar și condiționatea actului medical de semnarea unui document formal
  • Pericolul fenomenului Fakenews, "Știrile false, adevărate bombe invizibile"
  • Ghidul consumatorului de reduceri - Sfaturi si trucuri pentru cumpărături online în singuranță
  • exercitarea dreptului de acces la datele prelucrate de operatori.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

ALERTĂ DE FRAUDA către toți cetățenii, emisă de ANAF

Editorial

Vizualizari: 2954

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Printr-un comunicat de presă publicat ieri (13.06.2019) pe site-ul său, Agenția Națională de Administrare Fiscală atrage atenția contribuabililor asupra unei posibile fraude care se derulează în prezent.

În ce consta înșelăciunea?

Persoanele fizice sunt informate prin sms sau prin e-mail că au de primit bani de la ANAF. Pentru a intra în posesia respectivei sume de bani, aceștia trebuie să acceseze o adresa de internet unde li se cere să completeze un formular cu o serie de date personale inclusiv conturile bancare și PIN-urile acestora.

ANAF ne sfătuiește să nu accesăm link-uri din sms-uri primite în numele său, pentru că Agenția nu transmite informații nesolicitate prin sms. Mai mult, ANAF atrage atenția că  portalul oficial al instituției este www.anaf.ro.

Prin urmare, dacă primiți un sms în numele ANAF, cu siguranță este o tentativa de frauda. În cazul în care veți primi un e-mail ce pare veni din partea ANAF, verificați cu atenție adresa expeditorului, asigurându-vă că aceasta este de @anaf.ro iar eventualele link-uri să conducă către o pagină din portalul oficial al instituției este www.anaf.ro.

Cum ne protejăm de aceste înșelăciuni?

Vă atragem atenția că astfel de încercări de fraudă, deși nu sunt o noutate, continua să facă facă victime printre utilizatorii mai puțin vigilenți. Gândiți de doua ori înainte să dați un click sau să transmiteți date personale, în special atunci când vi se oferă gratuități sau chiar sume de bani. În general ofertele care par prea bune încât să poată să fie refuzate ascund pericole.

În cazul în care un e-mail, un apel telefonic sau un SMS, vă trezește suspiciuni, verificați sursele și interlocutorii înainte de a lua decizii pe care este foarte posibil să le regretați ulterior.

Mai mult, în cazul în care depistați o tentativă de fraudă, vă încurajăm să o raportați Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) care a lansat în luna mai a acestui an numărul unic 1911, apelabil din toate rețelele, la care pot fi raportate incidentele de securitate cibernetică de către persoanele fizice, juridice și instituțiile publice. Prin intermediul serviciului de call-center veți beneficia de asistență primară și consiliere pentru diagnosticare și remediere.

În primele cinci zile de la operaționalizarea numărului unic 1911, 87 de alerte unice de securitate cibernetică au fost raportate către CERT-RO.

„Statistic, cele mai numeroase, aproximativ 30% sunt tip fraude (phishing, sextortion, etc), conținut abuziv aproximativ 14% (spam, mesaje comerciale nedorite, etc), alături de alerte privind sisteme compromise (neactualizate, configurate necorespunzător sau neactualizate), încercări automate de spargere a parolelor, furt de informație, precum și un atac de tip ransomware (criptarea datelor de pe hard-disk).” declara ministrul Comunicațiilor Alexandru Petrescu.

Mai multe informații despre numărul 1911 găsiți aici

Atacatorii vor schimba mereu modul de operare, pentru a încerca să va ducă în eroare. Un astfel de exemplu este reinventarea metodei “Accidentul”, pusă în scenă de o echipa mixta, formata din romani și bulgari. Aceștia se recomandau polițiști și rugau diverse persoane (victimele) să accepte să dea bani unor ”infractori” pentru a-i prinde în flagrant. Naivi, oamenii care credeau că dau o mână de ajutor poliție, au rămas fără bani.

În urmă cu doua luni vă prezentam cele mai frecvente amenințări de securitate, o colecție de 26 de pericole descrise de care trebuie sa ne ferim și pe care trebuie să  învățăm să le putem identifica. Va recomandăm să fiți vigilenți și să vă informați constant asupra pericolelor existente. Urmărind știrile platformei noastre sau informările săptămânale ale CERT.RO, veți putea afla care sunt ultimele amenințări identificate de experții în securitate.

LATER EDIT

Pe pagina sa de Facebook, CERT-RO ne asigură că "s-au efectuat toate demersurile necesare blocării acelui site care găzduiește această tentativă de păcăleală, iar Google a inclus deja o avertizare pentru cei care accesează acel link.

Iată ce vă sfătuiește CERT-RO să faceți dacă ați fost victime ale acestei fraude:
1️⃣ să verificați tranzacțiile de pe contul bancar anexat cardului, pentru eventuale plăți suspecte,
2️⃣ să notificați acest lucru cât mai rapid băncii emitente a cardului, pentru a-l bloca și emite altul, cu alte date,
3️⃣ să depuneți o plângere la cea mai apropiată secție de Poliție, în cazul în care au suferit pagube financiare în urma unui astfel de incident.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Sunt angajații un risc de securitate?

Editorial

Vizualizari: 879

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Da, angajații reprezintă unul dintre cele mai mari riscuri în ceea ce privește securitatea unei unei organizații. Și nu spunem noi asta mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajați), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Analiza răspunsurilor a peste 1500 de respondenți din întreaga lume ne prezintă câteva elemente asupra cărora orice top level manager ar trebui să reflecte înainte de a adopta strategia de securitate a afacerii sale.

Primul lucru care ne-a atras atenția este faptul că 15% dintre amenințările de securitate înregistrate de o organizație provin din rândul propriilor angajați, aceștia clasându-se pe podiumul riscurilor, fiind surclasați doar de infractori cibernetici și hackeri.

De ce sunt vulnerabile companiile la amenințările interne?

Lipsa programelor de conștientizare, a procedurilor clare, a unui program adecvat de instruire al angajaților ii pune pe aceștia în situația de a nu fi conștienți de greșelile pe care le pot face. Astfel, aceștia vor trata cu superficialitate și lipsa de responsabilitate fluxurile de date din organizație, acesta fiind drumul cel mai scurt către incidentele de securitate.

Revenind la studiul ISACA, 57% dintre respondenți consideră că programele de training pentru angajați sunt cea mai buna soluție pentru diminuarea riscurilor privind securitatea organizației, în timp ce 36% dintre aceștia considera ca externalizarea serviciilor de specialitate în domeniul securității cibernetice ar conduce la o mai buna gestionare a amenințărilor la securitatea organizației.

Interesant este faptul că 60% dintre respondenți admit că bugetul alocat securității cibernetice este insuficient pentru a asigura un grad adecvat de protecție, deși  recunosc că este foarte probabil să fie ținta unui atac cibernetic în decursul acestui an.

33% dintre directori vă vor concedia dacă veți cauza un incident de securitate

Un studiu interesant, realizat de Nominet, ne arată faptul că angajații care cauzează accidental un incident de securitate se pot confrunta cu mari probleme. Mai exact,  33% dintre directorii de companii chestionați au declarat că vor rezilia contractul angajaților dacă aceștia vor cauza un incident de securitate.

Sa fie oare acesta caza pentru numărul mic de incidente de securitate raportate? Revenind la studiul ISACA, aflăm că 3 din 4 indecente nu sunt raportate sau gravitatea lor este mult subdimensionată.

Cu alte cuvinte noi nu vom afla decât de bresle care nu mai au loc sub covor, asta pentru că marea majoritate a organizațiilor încearcă să le ascundă existenta sau gravitatea pentru a evita sancțiunile financiare, costurile de remediere sau cele asociate prejudiciilor de imagine.

Ce concluzii putem trage?

Carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale este un factor de risc. Acesta poate fi diminuat substanțial în urma instituirii unor programe de instruire cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei.

Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Costurile cu neinstruirea personalului pot fi foarte mari

Răspunderea este a angajatorului:“Datorită raportului de prepușenie dintre operator și salariații cu atribuții în domeniul protecției datelor personale, operatorul, adică societatea, va suporta povara costurilor asociate unei eventuale reclamații. Vina unui incident de securitate (breșă) ce privește datele personale, aruncată pe umerii un angajat neinstruit, nu exonerează în nici un fel responsabilitatea operatorului (angajatorului). Referitor la instruirea GDPR a angajaților, Cristina ne atrage atenția asupra faptului că acesta “trebuie să fie un proces ciclic (bianual sau cel puțin anual) pentru a putea fi sincronizat cu evoluția perpetuă a amenințărilor. Mai mult, instruirea GDPR a personalului ar trebui solicitată pentru fiecare modificare adusă fluxurilor de date și proceselor sau a legislației aplicabilă”, afirmă Cristina Mătasă, Consultant GDPR.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Prima amendă GDPR în Belgia a fost aplicată unui primar

Autoritatea de supraveghere din Belgia a impus prima penalizare financiară de la intrarea în vigoare a GDPR, ne informează Comitetul European pentru Protecția Datelor. Probabil mulți dintre cititori […]

Votul electronic: soluție sau problemă?

Consecventa eșecurilor Ministerul Afacerilor Externe în organizarea alegerilor pentru românii aflați în afara granițelor țării a redeschis discuțiile privind votul electronic. Alegerile europarlamentare din luna mai a acestui […]

Când încep certificările GDPR în România ?

Certificarea GDPR se dovedește a NU fi unul dintre subiectele de interes pentru entitățile implicate în domeniul protecției datelor cu caracter personal, în ciuda faptului că instituirea unor […]

Care sunt conceptele cheie și scopul GDPR?

Scurt istoric Comisia Europeană a propus în 2012 Regulamentul general privind protecția datelor pentru a sprijini evoluția economiei digitale europene. Unul dintre obiectivele acestora a fost să permită […]

S-a lansat Ghidul Operatorilor privind monitorizarea video!

Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda, a publicat de curând Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate […]

De câți DPO are nevoie România ?

În cadrul unui eveniment privat la care au luat parte experți în protecția datelor în vederea realizării unui bilanț după un an de GDPR, reprezentantul Autorității Naționale de […]

Hitler ar fi iubit rețelele de socializare

Bob Iger, Directorul Executiv al Disney, a criticat în termeni foarte duri platformele de social media afirmând chiar că „Hitler ar fi iubit rețelele de socializare pentru ca […]

După primul an GDPR în România, e timpul să încetăm cu dezinformările!

„GDPR-ul nu este o revoluţie, este o evoluţie!”, aşa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există înca din 1995 şi a […]

Filmele interactive aduc noi provocări în domeniul protecției datelor

Mi-am petrecut weekendul captivat de filmele interactive în care am eu posibilitatea de a schimba scenariul si finalul filmului în functie de propriile mele alegeri. Trebuie sa recunosc […]

ASCPD: Știrile false, adevărate bombe invizibile

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei […]

BREXIT-ul și datele personale

O poveste cu iz de drama și efecte istorice Care este legătura între Brexit și datele personale? De curând am urmărit cu mare interes filmul Brexit: The Uncivil War, […]

Facebook sau Fakebook ? Despre eliminarea comportamentului inadecvat coordonat din România

Conform unui comunicat de presa din 7 Martie 2019, semnat de Nathaniel Gleicher, șeful pentru cyber-security al Facebook, au fost eliminate mai multe Pagini, grupuri și conturi care […]

Pași repezi pentru o Dictatură Digitală în China ?

Sistemul de credit social al Chinei a fost comparat cu Black Mirror, Big Brother și alte povești S.F. la care vă puteți gândi acum însă realitatea este mai […]

Noi obligatii legale pentru spitalele si clinicile medicale publice si private

Potrivit dispozițiilor legii naționale de transpunere a Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de […]

Intimitatea și sistemul de sănătate

Prin intimitate înțelegem dreptul unui individ sau al unui grup de a se bucura de neintruziunea celorlalți, inclusiv dreptul de a hotărî ce informații despre ei pot fi […]

Cine poate filma și publica în scop jurnalistic ?

Cine este jurnalist ? Cine poate filma și publica în scop jurnalistic ? Înregistrarea în spațiul public reprezintă o prelucrare de date cu caracter personal ? Persoana publică […]