ČIME DOPUNITI INFORMACIJSKI SUSTAV

Tko se upustio i dovršio kompliciran postupak, uglavnom je uspio napraviti poslovni iskorak – instalirajući nove strojeve, zapošljavajući nove ljude, šireći tržišta. Donosimo nekoliko primjera dobre prakse, ali i upozorenja na što sve treba svratiti pozornost.

Jedna je tvrtka angažirala drugu da joj u okviru prihvatljivih troškova EU-projekta ukupno vrijednog 750 tisuća kuna educira zaposlenike o novostima koje donosi novi Zakon o javnoj nabavi. U dokumentaciji o nadmetanju tvrtka je navela da traži stručnjaka za javnu nabavu koji će u deset dana odrađiti deset radionica i predvidjela za njega bruto trošak od 1500 kuna po danu. U dokumentaciji je ujedno predočila da je trošak svake od deset radionica 7500 kuna. Nakon održane edukacije tvrtki je ispostavljen račun da je za deset održanih radionica dužna platiti 75.000 kuna te da će je dodatnih 15.000 stajati desetodnevni angažman stručnjaka za javnu nabavu. Tvrtka naručitelj bila je spremna platiti ispostavljeni joj račun, ali…

ZADNJI JE ČAS ZA OBRAZOVANJE KADRA ZA PRIMJENU GDPR-a, ALI I PSEUDONIMIZACIJU PODATAKA I NJIHOVU ENKRIPCIJU, OSMIŠLJAVANJE I UVOĐENJE POLITIKE POVJERLJIVOSTI TE BRIGU ZA OTPORNOST CIJELOG SUSTAVA. POMOĆI MOGU IT ALATI, ALI KLJUČAN JE ANGAŽMAN ZAPOSLENIKA.

Taka-taka, tika-taka… tri su nepuna mjeseca ostala do pune primjene GDPR-a (engl. General Data Protection Regulation), europske regulative o zaštiti podataka. Skraćenica je vjerojatno poznata svima, kao i drakonske kazne do četiri posto godišnjih prihoda ako se ne ispune obveze GDPR-a. Možda je malo manje poznato da praktično nema poduzetnika koji ovu europsku uredbu neće morati primjenjivati. Kao i to što treba poduzeti da se obveze GDPR-a ispune te mogu li u tome pomoći ISO certifikati koji već uređuju poslovne procese u tvrtkama realnog i javnog sektora?

Glavne obveze GDPR-a više-manje su također poznate. Vezano uz podatke koje tvrtka prikuplja o svojim klijentima i zaposlenicima, potrebno je napraviti inventuru osobnih podataka koje kompanija aktualno posjeduje i obrađuje, zatim procijeniti rizike povezane s osobnim podacima te suziti opseg osobnih podataka koji se prikupljaju na one koji su nužni za određenu svrhu. A u svrhu zaštite tih podataka od ‘curenja’, pa onda i zloupotreba, kompanije trebaju provesti organizacijske i tehničke mjere koje će osigurati sigurnost osobnih podataka kojima barataju, uspostaviti proces koji jamči redovito ocjenjivanje i procjenjivanje učinkovitosti poduzetih mjera te osigurati sljedivost procesa i poduzetih napora za zaštitu informacijske sigurnosti. Sve to podrazumijeva obučavanje kadra za primjenu GDPR-a te provedbu pseudonimizacije podataka, njihove enkripcije, kreiranje i uvodenje politika povjerljivosti, kao i brigu za otpornost cijelog sustava.

Te na brzinu pobrojene obveze čine se komplicirane, a sigurno i jesu. Naime, u današnje digitalno doba sklonost ljudi i društva prikupljanju podataka najizraženija je u povijesti. Sve se prikuplja i pohranjuje na računalne poslužitelje u nadi da će se moći iskoristiti na neki način, uglavnom komercijalni. A bojazan od zloupotrebe tih podataka u kriminalne svrhe razlog je zbog kojeg ih Europska unija želi legislativom bolje zaštititi. Poduzetnicima koji imaju sreću da su uveli ISO certifikate taj će proces biti lakši jer su tim alatima u svoju organizaciju uveli strukturiranu sljedivost, a ne samo usko vezanu uz vlastite procese i procjenu nužnosti.

– ISO certifikati uvijek traže sljedivost procesa u organizaciji. S tog aspekta svaki je takav certifikat koristan jer je u organizaciji potaknuo svijest o potrebi za dokumentiranjem i sljedivošću procesa. Jednako tako ISO certifikati traže nadzor, mjerenje, analizu i kontinuirano poboljšanje sustava, što je sve potrebno i u ispunjavanju zahtjeva GDPR-a. Posebno ISO 27001, certifikat koji se odnosi na upravljanje informacijskom sigurnošću, detaljno razrađuje to područje pa uvelike pomaže jer organizacija ima već razrađene politike i procedure, procjenu i upravljanje rizicima i sve druge posebne elemente. Problematika osobnih podataka u tom smislu sagledava se samo kao dodatna kategorija unutar već postavljenog sustava – ustvrdio je Boris Stipetić, tehnološki konzultant u zagrebačkom Megatrendu.

Dakle, poduzetnici koji su uz ISO certificiranje naučili ponešto o sljedivosti u maloj su prednosti. No u toliko kratkom roku sigurno nije jednostavno organizirati sveobuhvatnu edukaciju i certificiranje u bilo kojoj organizaciji, a osim toga, za ispunjavanje obveza GDPR-a potrebne su i dodatne procedure jer je ISO samo jedan od korisnih alata. No s obzirom na to da danas svi uglavnom rade s podacima u digitalnom obliku, barem u sferama u kojima država ne postavlja izričit zahtjev za papirnatim podacima pomoću u ispunjavanju obveza GDPR-a može se pronaći u IT sektoru. Pritom, ne postoji univerzalan alat i još će dosta posla biti potrebno odraditi unutar same tvrtke.

Kako je objasnio Stipetić, izbor IT alata ponajprije ovisi o postojećoj IT arhitekturi korisnika te o njegovim znanjima i potrebama, a primjena alata može se razvrstati na dva načina te u dvije grupe, onima direktno povezanim s uvođenjem GDPR-a i onima u indirektnoj vezi.

Ovisno o vrsti podataka kojima barataju, alati se mogu raščlaniti na alate za upravljanje podacima u bazama, primjerice ERP, CRM ili ECM te alate za upravljanje podacima koji su pohranjeni odnosno pristupa im se na drugačiji način, poput osobnih podataka u e-mailovima ili na diskovima. Ovisno o grupi alata, može ih podijeliti na alate u ‘discovery’ fazi te alate u daljnjoj primjeni procesa upravljanja podacima utvrđenih GDPR-om.

– U fazi otkrivanja treba pronaći gdje su sve privatni podaci, bez obzira na to je li riječ o onima u bazama podataka ili na drugim mjestima, kao što je e-pošta. Vrlo često korisnici nisu ni svjesni gdje su im sve podaci, osobito ako govorimo o podacima koji nisu u bazama i tko im sve može i kako pristupiti. Nakon otkrivanja vrste i svih lokacija podataka koje sadržavaju privatne podatke, potrebno je razraditi niz procedura i procesa upravljanja tim podacima. Ispravno odabrani i primijenjeni IT alati u svakom slučaju omogućit će kvalitetno upravljanje privatnim podacima. Alati za nadzor podataka izvan baza podataka ponajprije moraju omogućiti praćenje i kontrolu lokacije podataka te kontrolu pristupa.