Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: "cele mai bune practici se bazează pe diversitatea serviciilor profesionale, abilitatea de personalizare, expertiza internațională și oferta flexibilă centrată pe client.". În prezent este Analist GDPR și Consilier în afaceri la GDPR Ready! și a acceptat provocarea dpo-NET a de răsăunde al cele mai arzătoare întrebări despre GDPR ale momentului.
Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru) Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?
RC: Fără să luăm aceste cifre la modul absolut, ca cetățeni europeni se poate spune că principalul motiv este lipsa de informare legată de drepturile noastre fundamentale la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene. De unde această lipsă de informare? Ori nu le pasă ce se întâmplă cu datele lor personale, considerându-se în afara oricărui risc cu implicații majore, ori, pur și simplu nu știu... Deși din 2016 se tot vorbește despre asta, sunt foarte mulți cei care nu știu pentru că nu a stat nimeni să le explice. Și acesta este rezultatul direct al lipsei de eficiență al programelor de comunicare din partea autorităților naționale de supraveghere.
Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?
RC: Pe termen lung trebuie să privim figura de ansamblu asociată eforturilor UE de construire a pieței unice digitale. O Europă digitală nu poate fi construită fără cetățeni digitali. Așa că, să fim optimiști, și să sperăm că pe termen lung oamenii vor deveni tot mai conștienți de drepturile lor, și de importanța respectării drepturilor celorlalți prin prelucrarea adecvată a datelor personale în procesele de business în care sunt antrenați.
Un studiu ASCPD atragea atentia la inceputul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate?
RC: Ținând cont de caracterul special al datelor prelucrate în unitățile medicale acest lucru mi se pare revoltător. Nu au nicio scuză pentru asta. Spitalele de stat din România nu sunt pregătite să ne proceseze datele așa cum cere legea, deși în ultima perioadă sunt tot mai multe cazuri de atacuri informatice. Și nu faptul că au adrese pe Yahoo e cel mai grav, ci că nu au un DPO. Din analiza GDPR Ready efectuată pe un eșantion de peste 450 de site-uri, a reieșit că 9 din 10 spitale publice nu au o Politică de Securitate pe site.
Având în vedere atacurile cibernetice asupra sistemului sanitar românesc din ultimele saptămâni, ce măsuri considerați că trebuie luate imediat ?
RC: Pe linia celor spuse anterior, răul trebuie tratat de la rădăcină. Ar trebui formată o echipă operațională din membrii Min. Sănătății, Min. Com.&TI, CERT.RO și alte organisme, care împreună cu Autoritatea de Supraveghere să pună la punct un set de Norme sau un Cod de Conduită menit să reglementeze politica GDPR în domeniul sănătății publice. Spitalelor care nu au capacitatea să adere la acest Cod de Conduită ar trebui să li se aplice niște penalități administrative. In paralel trebuie făcute eforturi pentru sensibilizarea conducerilor acestor spitale, care trebuie să înțeleagă faptul că pe lângă responsabilitatea actului medical o au și pe aceea de adopție de măsuri tehnice și operaționale adecvate.
Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?
RC: Nu este necesar ca persoanele vizate să identifice prelucrările ilegale. Aceasta este obligația operatorilor și procesatorilor de date. Desigur, noi putem observa în destule cazuri că ceva este în neregulă cu datele noastre, dar e mult mai important ca noi să ne cunoaștem în primul rând drepturile și să știm să acționăm în consecință.
Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?
RC: Acest proces de educare trebuie să acopere tot. Ca persoane vizate avem datoria să fim primii care să ne informăm și să ne protejăm datele, cunoscându-ne drepturile. Ca operatori sau procesatori, nu trebuie să uităm că și noi suntem în aceeași situație cu persoanele vizate ale căror date le prelucrăm și în consecință trebuie să ne înțelegem responsabilitatea pentru rolul pe care îl jucăm. În proiectele mele și la cursuri le explic întotdeauna clienților că respectarea unor norme elementare de securitate, din care majoritatea nici nu țin de GDPR, trebuie să devină o normalitate, precum spălatul pe dinți sau verificarea apei, gazului și a electricității atunci când plecăm de acasă. O politică de securitate IT și un plan de breșe sunt la fel de obligatorii și de utile ca măsurile de protecție în caz de incendiu sau instrucțiunile de evacuare a unei clădiri.
În România, până în acest moment, s-au acordat trei amenzi pentru nerespectarea GDPR și autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta dvs practică, cei mai mult operatori se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor?
RC: A fost un moment de evoluție a cauzelor de responsabilizare: la început, imediat după anunțarea aprobării noului regulament în mai 2016, toată lumea s-a speriat de mărimea amenzilor și de celelalte modificări cu care venea GDPR în raport cu vechea legislație. Ulterior, pe măsură ce ne apropiam de momentul 25 mai 2018 și foarte puțin după aceea, nevoia de conformitate a venit ca un tăvălug, având ca mix de surse responsabilizarea, exemplul altora sau teama de necunoscut. Apoi s-a intrat în cunoscuta perioadă de acalmie în care nimeni nu a mai făcut nimic pentru că nici nu s-a întâmplat nimic. Eram împreună la un eveniment dedicat unui an de GDPR când mulți oameni din domeniu apreciau că e nevoie de amenzi ca să se întâmple ceva. Părerea mea este că trebuie insistat pe necesitatea transformării în business, că trebuie învinsă rezistența la schimbare și că trebuie arătate celor responsabili toate beneficiile induse de un proces de asigurare a conformității: adoptarea de norme și reguli ne face mai eficienți, reduce pericolele interne și ne asigură o etichetă de încredere față de ecosistemul de business în care evoluăm. Părerea mea este că cele 2 amenzi anunțate și probabil alte 5-6 care sunt pe rol nu au cum să determine brusc peste 50% dintre managerii din România că trebuie să facă ceva. Să nu uităm că sunt încă foarte mulți care nu știu despre ce este vorba și care sunt convinși că organizațiile lor nu au nimic de-a face cu datele personale... Trebuie continuat cu mare sârguință procesul de conștientizare și sensibilizare în masă. Legat de cele 2 cazuri apărute la noi, aș comenta numai atât. E foarte ciudat că s-a ajuns la asta, pentru că ambii operatori, prin natura activității, ar fi trebuit să fie compatibili și pentru legea 677/ 2001. Puteau fi evitate aceste vulnerabilități? Cu siguranță, dacă cei 2 operatori s-ar fi gândit și la verificarea adecvării tehnice și operaționale. Nu știu cum s-au petrecut lucrurile intern, dar cineva a tratat totul cu superficialitate, limitându-se probabil la asigurarea necesarului de documente. Legat de al doilea caz, sunt mulți care consideră că documentele pe suport de hârtie nu intră sub incidența GDPR. S-a văzut cât de păgubitoare poate să fie o astfel de atitudine...
Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania avem un tratament preferențial pentru instituțiile publice, amenda maxima pentru nerespectarea GDPR-ului fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce risca operatorii privați.
RC: Legat de ce se întâmplă în instituțiile publice, prefer să nu comentez. Ne batem cu morile de vânt. Politizarea schimbă radical regulile jocului. Aștept cu nerăbdare, ca pe o curiozitate profesională, nu din dorințe revanșarde, primul anunț al Autorității care vizează o instituție publică...
Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar fi constient de riscurile pe care internetul le ascunde?
RC: Depinde de modul în care rețelele sociale afectează integritatea datelor noastre personale prelucrate de operatori. Statisticile de utilizare a Internetului amintite se referă la activități de navigare și accesare individuale. Ca indivizi suntem expuși, iar faptul că 86% dintre utilizatorii români au cont de social media, prin extinderea analizei la volumul total al populației, cifrele devin nerelevante și nu cred că suntem cei mai vulnerabili din Europa din această perspectivă. Vulnerabilitatea noastră constă în analfabetismul digital, și în faptul că nu știm sau nu putem să folosim tehnologiile digitale așa cum trebuie. Studiile DESI ne-au situat an de an pe ultimele locuri din UE (ultimii sau penultimii într-o strânsă tovărășie cu Bulgaria). Digital Economy and Society Index (DESI) este un index compozit ce cumulează indicatorii specifici pentru 6 direcții de activitate ce implică pregătirea digitală: conectivitatea, abilitățile digitale ale capitalului uman, folosirea serviciilor Internet de către cetățeni, integrarea tehnologiilor digitale în business, folosire serviciilor publice digitale și nivelul de dezvoltare al cercetării IT&C. Ce zice DESI 2019 despre starea digitală a României? https://ec.europa.eu/digital-single-market/en/desi
La Conectivitate suntem pe locul 27 (din 28), la abilitățile digitale tot pe 27, la folosirea Internetului pe 27, la integrarea tehnologiilor pe 27, la folosirea serviciilor publice pe digitale pe 27, iar la nivelul IT&C pe locul 6, ca procentaj al industriei din PIB. Ce e greșit aici?
Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?
RC: Răspunderea pentru copii o poartă în primul rând părinții. Mulți dintre copiii care au posibilitatea intră pe Internet înainte de școală. Părinții au principalul rol în educația digitală a copiilor și asta se referă nu numai la crearea de conturi sau postarea pozelor pe Internet. În cazul GDPR pentru copii sub 16 există obligația obținerii acordului părintelui, dar să nu uităm că nu totdeauna decizia unui părinte privitoare la datele personale făcute publice presupune și acordul copiilor pentru acest lucru. Școala are rolul ei, prin integrarea elevilor în programe educaționale care să-i învețe ce și cum să folosească de pe Internet, dar educația digitală de bază se face în cei 6 ani de acasă...
Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?
RC: Decizia aparține întotdeauna utilizatorului și întotdeauna există o miză, o momeală, prin care acesta e convins să facă ceva. Tot procesul acesta trebuie să fie transparent și dacă luăm o decizie, să cunoaștem toate implicațiile acesteia.
Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?
RC: Cauzele sunt legate de alfabetizarea digitală. A se vedea comentariile de la întrebarea nr.9
Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Dar dacă noi nu reușim sa identificam nici breșele, cum am putea identifica riscurile?
RC: Sunt două lucruri diferite. Riscurile sunt cauza, iar breșele sunt consecințele. Identificarea breșelor ține de latura tehnologică a sistemelor de protecție cybersecurity. Analiza de risc este un proces care se face în avans și care ține de componentele umane, operaționale și tehnice ale unei organizații.
A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?
RC: Am comentat destul de mult pe tema asta în articolele din GDPR Ready. Nu putem spune că nu s-a întâmplat chiar nimic. Cei mai mari operatori și-au făcut temele prin derularea de activități de conformitate. După depășirea momentului de panică din ziua de 25 mai 2018, când foarte multe companii și-au canibalizat bazele de date, s-a intrat într-o perioadă de aparent calm, în are mulți operatori au adoptat o atitudine sănătoasă de pregătire și asimilare, și-au instruit oamenii și aparent sunt la un nivel de conformitate care să le asigure un anumit grad de confort. Partea proastă este că acest grad de confort dispare imediat la cea mai mică tentativă de atac. Partea cea mai proastă este că fiecare și-a construit un castel din cărți de joc, dar puțini s-au preocupat de edificarea unei reale Culturi GDPR care să le asigure temeinicia construcției. Exemple clare sunt cele două cazuri devenite publice de la noi. Puteau fi evitate breșele de securitate? Cu siguranță, dacă cineva ar fi urmărit modul de punere în practică a livrabilelor și controalelor adoptate. Știu destul de puține cazuri în care operatorii au avut timpul și resursele să simuleze intern sau extern apariția unor breșe. Despre analizele DPIA ce să mai vorbim. Deși aici lucrurile sunt de clare, nivelul de confuzie e destul de mare cu toate ghidurile WP29 și aplicația software realizată de CNIL. O bună analiză de impact poate avea rolul implementării unui standard și reprezintă cel mai elocvent barometru pentru conformitatea acțiunilor întreprinse într-un proiect GDPR. Desigur. Specialiștii recomandă DPIA în cazul noilor procese de business, dar pentru sănătatea afacerii este bine să facem o astfel de analiză și în cazul proiectelor GDPR realizate până acum. Numai așa avem posibilitatea documentată de a vedea că ceva nu e în ordine, că ce apare în documente nu se pupă cu realitatea...
Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări ? Ce măsuri au fost luate până în prezent ?
RC: Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, ca transpunere a Directivei UE 2016/1148 și are ca scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică. Spre deosebire de GDPR, companiile din cele 7 segmente industriale ce intră sub incidența NIS erau destul de bine pregătite theoretic pentru noile prevederi. Faptul că CERT.RO a fost stabilit ca organism de reglementare, supraveghere și control și care va îndeplini și cu funcție de Punct Unic de Contact la nivel national și de echipă CSIRT națională este un lucru foarte bun. Provocările, ca și la GDPR sunt legate de punerea efectivă în aplicare și care intră clar în atribuțiile CIO din fiecare organizație.
Cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?
RC: Este un efort care ne privește pe toți. De obicei evit să comentez activitatea celor îndreptățiți să coordoneze această diseminare. Este treaba lor și pentru toată lumea e clar că s-a făcut prea puțin pentru asta. Acesta este motivul pentru care a apărut inițiativa GDPR Ready, din dorința de a suplini lipsa de informație și de a oferi operatorilor și procesatorilor de date personale informații concrete despre ce au de făcut. După o serie de 15 articole de fundamentare GDPR au urmat publicarea celor 3 Cataloage GDPR Ready, o premieră absolută nu numai pentru piața din România, evenimente și paneluri dedicate, un site special, un newsletter, un grup dedicat de discuții pe LinkedIn și, cel mai recent, studii și analize de piață privitoare la stadiul asimilării. Astea toate s-au făcut Pro Bono și în completarea activităților curente de consultanță, formare, business development și auditare internă. Mai sunt multe de făcut, nu ducem lipsă de proiecte, dar toate la vremea lor...