A company with no security policy has no security at all

Foto Credit "Effingham Cricket Club"

Am citit asta undeva și mi s-a părut că spune într-o propoziție o întreagă carte.

Am fost la o conferință despre aplicabilitatea GDPR. Una din întrebările care a apărut acolo a fost ” Dacă sună un fost angajat și datele sale personale de pe mail sau de pe rețea: Ce facem?  Îi dăm mailurile, îi ștergem mailurile, etc? „

Răspunsurile expertului, la acea conferința, au fost bineînțeles niște bâiguieli legate de „interesul legitim”.

Cum ar trebui totuși abordata situația? (Pe scurt)

Aici revenim la titlul articolului. Dacă avem o Politică de Protecția Datelor bine scrisă, însoțita de o Politică de Securitate la fel de bine scrisă și de politici și proceduri de retenție a datelor la fel de bine scrise,  jumătate din problema este rezolvată. Cealaltă jumătate se rezolvă prin aducerea la cunoștință și însușirea acestora de către angajați (în cazul nostru). Aici nu mă refer doar la semnarea în coltul din dreapta jos ca oamenii au luat la cunoștință ci ca am făcut partea noastră de training, awareness, etc, astfel încât oamenii să știe la ce să se aștepte. Bineînțeles, presupunem că politicile amintite sunt respectate.

O soluție la îndemâna ar fi ca în politicile și procedurile amintite mai sus sa existe instrucțiuni clare în ceea ce privește

  • obligațiile angajatului de a își „marca” datele personale din mail – ex: puse într-un folder denumit – Date Personale,
  • cât sunt păstrate bazele de date cu e-mailuri după plecarea angajatului
  • care este politica de retenție a datelor
  • cum se pot accesa datele după ce angajatul părăsește compania

Nu, asta nu înseamnă ca trebuie sa ne transformam în birocrați și să trimitem oamenii să consulte regulamente, politici și proceduri, ci pur și simplu înseamnă că toată lumea știe ce are de făcut.