Η επίδραση του GDPR στο security

Posted On 02 Μαρ 2018
Tag: ,

Πως μπορεί να αλλάξει η έλευση του GDPR τα έργα και τον τρόπο λειτουργίας των συστημάτων ασφάλειας και πως αυτό θα επηρεάσει συνολικά τις εταιρείες του χώρου αλλά και τους τελικούς χρήστες;

 

Του Αριστοτέλη Λυμπερόπουλου

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων, γνωστότερος και ως GDPR (General Data Protection Regulation) θα ξεκινήσει να εφαρμόζεται στην Ελλάδα όπως και στις υπόλοιπες χώρες της Ε.Ε από τις 25 Μαΐου 2018. Όταν δηλαδή θα διαβάζετε αυτό το άρθρο θα έχετε στην διάθεση σας περίπου δύο μήνες προκειμένου να επιτύχετε τη συμμόρφωση με τις απαιτήσεις του νέου κανονισμού. Οπότε, όλοι οι οργανισμοί τους οποίους αφορά ο GDPR, οφείλουν ήδη να έχουν ξεκινήσει την προσπάθεια προσαρμογής τους στο νέο νομοθετικό πλαίσιο. Οι αναγνώστες του Security Manager, ενδιαφέρονται κυρίως για τις αλλαγές που επιφέρει ο GDPR στον χώρο της φυσικής ασφάλειας. Ειδικότερα, τους ενδιαφέρει τι πρέπει να προσέξουν και σε ποιες ενέργειες χρειάζεται να προβούν ώστε οι οργανισμοί τους να πετύχουν την συμμόρφωση με τον GDPR. Όπως άλλωστε θα δούμε και παρακάτω, ο χώρος της φυσικής ασφάλειας και οι διάφορες εφαρμογές που σχετίζονται με αυτόν τον χώρο επηρεάζονται σημαντικά από την έλευση του GDPR. Αυτό άλλωστε είναι εύλογο, καθώς η φυσική ασφάλεια ως επί το πλείστον βασίζεται στην άντληση και διαχείριση πληροφοριών και ο GDPR έρχεται ακριβώς να καθοδηγήσει τους οργανισμούς, στο πως θα διαχειρίζονται τον όγκο των δεδομένων που συνοδεύει τις διάφορες επιχειρησιακές λειτουργίες τους, με σκοπό την προστασία των δεδομένων ευαίσθητης υφής από οποιαδήποτε κακόβουλη πρόθεση.

 Διαφορές με την υφιστάμενη νομοθεσία

Η πρώτη διαφορά με την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ» είναι ότι εδώ πλέον αναφερόμαστε σε Κανονισμό (Regulation) και όχι σε Οδηγία (Directive). Αυτό σημαίνει στην πράξη ότι η εφαρμογή του Κανονισμού είναι υποχρεωτική για όλα τα Κράτη-Μέλη και άμεση καθώς δεν προϋποθέτει την έκδοση σχετικής νομοθεσίας από κάθε μέλος όπως γίνεται στην περίπτωση της Οδηγίας. Η διαφοροποίηση μπορεί μεν να ακούγεται ως μια τυπική απαίτηση αλλά είναι πολύ σημαντικό στοιχείο καθώς πλέον καμία καθυστέρηση δεν είναι ανεκτή. Καθυστερήσεις με τις οποίες είμαστε αρκετά εξοικειωμένοι καθώς πολλά κράτη μέλη (η Ελλάδα φυσικά δεν εξαιρείται από αυτόν τον κανόνα) σε ότι αφορά την εφαρμογή των Ευρωπαϊκών οδηγιών επέδειχναν μια σχετική καθυστέρηση με την δικαιολογία των μακροχρόνιων νομοθετικών διαδικασιών. Στην περίπτωση του GDPR αυτό δεν μπορεί να ισχύει. Η εφαρμογή του είναι άμεση και όπως είδαμε στην αρχή του άρθρου αναμένεται σε πολύ σύντομο χρονικό διάστημα.

Για το λόγο αυτό άλλωστε, τελευταία, υπήρχε μια έντονη κινητικότητα, ειδικότερα στις εταιρείες που κινούνται στον χώρο των συμβουλευτικών υπηρεσιών και οι οποίες προσπαθώντας να αυξήσουν το μερίδιο της αγοράς που καταλαμβάνουν, παρουσιάζουν σε δυνητικούς πελάτες τους τις επιπτώσεις του GDPR και τους κινδύνους που ενέχει η μη συμμόρφωση με αυτόν.

Μέσα λοιπόν σε αυτόν τον ορυμαγδό εξελίξεων σε σχέση με τις αλλαγές που επιφέρει η νομοθεσία για την προστασία των προσωπικών δεδομένων ανακύπτει ένα ευρύ φάσμα θεμάτων που σχετίζεται με την επίδραση του GDPR στον κλάδο της φυσικής ασφάλειας και πως μπορεί να υλοποιηθεί μια σειρά μέτρων που να επιτρέπουν τη βέλτιστη αντιμετώπιση αυτών των αλλαγών.

Το πρώτο λοιπόν που οφείλουν να αντιληφθούν όλοι οι εμπλεκόμενοι είναι ότι ο GDPR έχει εφαρμογή στην διαχείριση της φυσικής ασφάλειας ενός οργανισμού. Όλα τα σύγχρονα συστήματα διαχείρισης της ασφάλειας βασίζονται ως επί το πλείστον στην διαχείριση και αποθήκευση πληροφοριών σε ψηφιακή μορφή αλλά και σε αναλογική μορφή (παραδείγματος χάρη, καταγραφή εισερχόμενων και εξερχόμενων ατόμων με αριθμό ταυτότητας). Ο μεγαλύτερος όγκος αυτών των δεδομένων προέρχονται κυρίως όμως από τα συστήματα επιτήρησης τα οποία χρησιμοποιούνται όλο και περισσότερο από πολλούς οργανισμούς σε εσωτερικούς και εξωτερικούς χώρους. Εδώ ο κανονισμός GDPR έρχεται να επιβάλλει σημαντικές αλλαγές που αφορούν τόσο τους τελικούς χρήστες όσο και τους εγκαταστάτες των έργων που οφείλουν να υλοποιούν εφαρμογές συμβατές με το καινούριο νομικό πλαίσιο.

Αλλαγές που επιφέρει ο GDPR

Οι κυριότερες αλλαγές που θα επιφέρει ο νέος κανονισμός είναι οι ακόλουθοι:

  • Η θωράκιση των συστημάτων και η ασφάλεια των δεδομένων (privacy by design) να αποτελούν βασικό άξονα του σχεδιασμού του συστήματος. Αυτό στην πράξη σημαίνει ότι όταν καλούμαστε να υλοποιήσουμε ένα σύστημα επιτήρησης, είτε είμαστε από την πλευρά του χρήστη είτε από τον εγκαταστάτη, οφείλουμε να προνοήσουμε ώστε να ενσωματώσουμε τεχνικές που να ενισχύουν την ασφάλεια των δεδομένων. Χαρακτηριστικό παράδειγμα ορισμένων από αυτές τις τεχνικές είναι η δυνατότητα ενσωμάτωσης μηχανισμών ψευδωνυμοποίησης (pseudonymization) ή αλλιώς ανωνυμοποίησης δεδομένων. Με τη χρήση αυτών των μηχανισμών γίνεται εφικτή η ελαχιστοποίηση της διασταύρωσης των δεδομένων που αφορούν τα πρόσωπα που βρίσκονται μέσα στους χώρους που επιτηρούνται από τις κάμερες του συστήματος. Τεχνικές για την επίτευξη αυτού του σκοπού είναι η λειτουργία απόκρυψης περιοχών (λειτουργία μάσκας) ή το θόλωμα των προσώπων των ατόμων που καταγράφονται από τις κάμερες (blur faces). Είναι λειτουργίες που οφείλουν πλέον να διαθέτουν τα συστήματα που εγκαθίστανται τόσο σε δημόσιους όσο και σε ιδιωτικούς χώρους. Επιπλέον θα πρέπει να είναι καταγεγραμμένες και οι διαδικασίες στις οποίες να περιγράφεται επακριβώς πως θα χρησιμοποιούνται αυτές οι τεχνικές.
  • Μια άλλη απαίτηση που συνοδεύει τον GDPR είναι η ύπαρξη μελέτης εκτίμησης επιπτώσεων (Privacy Impact Assessment). Στην μελέτη αυτή θα πρέπει να αξιολογούνται οι ενδεχόμενοι κίνδυνοι για την ασφάλεια των προσωπικών δεδομένων και βάσει αυτών να προτείνονται μέτρα και ενέργειες για την αντιμετώπιση τους. Ουσιαστικά αυτή η μελέτη απαιτεί τον οδικό χάρτη για την προσαρμογή του οργανισμού στις απαιτήσεις του GDPR. Η υλοποίηση της απαιτεί χρόνο και εξειδικευμένο προσωπικό που θα έρθει σε επαφή με όλα τα τμήματα του οργανισμού (στην περίπτωση μας με το τμήμα που διαχειρίζεται τα θέματα φυσικής ασφάλειας) και σε πρώτη φάση θα καταγράψει όλα τα συστήματα στα οποία γίνεται διαχείριση ευαίσθητων πληροφοριών (data flow mapping). Στη συνέχεια οφείλει να διαπιστώσει τα ενδεχόμενα ρίσκα και να προτείνει τρόπους αντιμετώπισης. Συγκεκριμένα σε ένα σύστημα επιτήρησης ορισμένα από τα ερωτήματα που αποτυπώνονται μέσω της μελέτης είναι τα ακόλουθα:
    • ποιος διαχειρίζεται το σύστημα επιτήρησης
    • ποιος έχει δικαίωμα πρόσβασης στις κάμερες
    • ποιος έχει δικαίωμα πρόσβασης στα δεδομένα που καταγράφονται
    • που αποθηκεύονται τα δεδομένα και για πόσο χρονικό διάστημα
    • και ποσό πιθανή είναι η παραβίαση των δεδομένων αυτών από μη εξουσιοδοτημένους χρήστες.

Με την ολοκλήρωση της μελέτης θα πρέπει να έχουμε στην διάθεση μας τις απαντήσεις σε αυτά τα ερωτήματα, τους κινδύνους που προκύπτουν και τις ενδεικνυόμενες ενέργειες για την ελαχιστοποίηση αυτών των κινδύνων.

 Data Protection Officer

Μια από τις σημαντικότερες αλλαγές που επιβάλλει ο νέος κανονισμός σε όλους τους οργανισμούς είναι η δημιουργία της θέσης του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer). Ανάλογα με την δραστηριότητα που ασκεί ο οργανισμός η θέση είναι είτε υποχρεωτική είτε προαιρετική. Σε δημόσιους οργανισμούς ή σε οργανισμούς που ασκούν συστηματική επιτήρηση σε μεγάλη κλίμακα και σε δημόσιους χώρους, η θέση είναι υποχρεωτική. Σε επιχειρήσεις που χρησιμοποιούν τα συστήματα επιτήρησης για λόγους ασφάλειας μέσα στις δικές τους εγκαταστάσεις πιθανώς να είναι προαιρετική. Προφανώς αυτή η διαφοροποίηση έχει μεγάλη σημασία, καθώς πλέον οι περισσότερες επιχειρήσεις –ανεξαρτήτως μεγέθους- χρησιμοποιούν κάμερες για την επιτήρηση των χώρων τους και η υποχρεωτική δημιουργία της θέσης του Data Protection Officer, πιθανώς να δημιουργούσε μια επιπρόσθετη μισθολογική επιβάρυνση ειδικότερα στις μικρές επιχειρήσεις. Στις περιπτώσεις όμως που θα απαιτηθεί η δημιουργία της θέσης του DPO θα πρέπει να διαθέτει ουσιαστικά προσόντα, τεχνογνωσία πάνω στο συγκεκριμένο αντικείμενο και επιπλέον να λάβει την απαραίτητη εκπαίδευση. Ο Υπεύθυνος Προστασίας Δεδομένων αναφέρεται κατευθείαν στην Διοίκηση του Οργανισμού και λειτουργεί αυτόνομα μέσα στον οργανισμό με σκοπό ακριβώς την βέλτιστη προστασία των δεδομένων προσωπικού χαρακτήρα που διακινούνται μέσα στον οργανισμό. Θα μπορούσαμε να τον παρομοιάσουμε με τον ρόλο του Τεχνικού Ασφαλείας και τις υποχρεώσεις που έχει αυτός σε θέματα ασφάλειας της εργασίας και υγείας των εργαζομένων. Εδώ όμως θέλει ιδιαίτερη προσοχή ώστε να μην εκπέσει ο ρόλος του DPO σε μια απλή νομική απαίτηση που θα πρέπει να καλυφθεί και ως εκ τούτου να ανατεθεί σε υφιστάμενο στέλεχος της εταιρείας χωρίς την απαραίτητη εκπαίδευση και εμπειρία που θα του επιτρέψουν να ανταποκριθεί με αποτελεσματικότητα στον ρόλο του. Εάν είναι αποτελεσματικός θα μπορέσει να βοηθήσει τον οργανισμό ώστε να ξεπεράσει πολλές από τις συμπληγάδες του νέου κανονισμού οι οποίες επιφέρουν και πολύ μεγάλα πρόστιμα. Ουσιαστικά θα πρέπει να συντονίσει πολλά διαφορετικά τμήματα (πληροφορική, ασφάλεια, οικονομική υπηρεσία) ώστε ο οργανισμός να αναπτύξει ένα αξιόπιστο πλάνο για την προσαρμογή στις απαιτήσεις του νέου κανονισμού.

Στον GDPR εμφανίζεται και για πρώτη φορά ο ρόλος των data processors. Πρόκειται ουσιαστικά για το τμήμα ή τον εξωτερικό συνεργάτη που παρέχει την τεχνική υποστήριξη σε όσα συστήματα σχετίζονται με την διαχείριση των δεδομένων. Στην περίπτωση των συστημάτων ασφαλείας αφορά κυρίως όσους ασχολούνται με την τεχνική υποστήριξη των συστημάτων επιτήρησης είτε είναι εσωτερικοί συνεργάτες είτε εξωτερικοί. Θα πρέπει σε κάθε περίπτωση να διασφαλίζεται ακόμα και αν είναι εξωτερικός συνεργάτης η εναρμόνιση του τρόπου εργασίας με τις απαιτήσεις που προκύπτουν από την εφαρμογή του GDPR. Πλέον υπεύθυνοι για κάθε παραβίαση του κανονισμού είναι τόσο οι υπεύθυνοι επεξεργασίας (data controllers) δηλαδή οι οργανισμοί-τελικοί χρήστες όσο και οι data processors. Αυτή η αλλαγή επιβάλλει και σε όλες τις εταιρείες που δραστηριοποιούνται στο αντικείμενο της τεχνικής υποστήριξης συστημάτων επιτήρησης να λάβουν όλα εκείνα τα μέτρα που επιβάλλονται ώστε να συμμορφωθούν με τον GDPR

Ειδικά δε για όσους οργανισμούς χρησιμοποιούν και δικτυακές υπηρεσίες αποθήκευσης βασισμένες στην τεχνολογία cloud για την αποθήκευση και επεξεργασία των δεδομένων που συλλέγουν τα συστήματα επιτήρησης θα πρέπει να δουν και την συμμόρφωση των sites που έχουν επιλέξει για την αποθήκευση των δεδομένων τους.

 Καταγραφή διαδικασιών

Τόσο οι υπεύθυνοι επεξεργασίας δεδομένων (data controllers) όσο και οι data processors οφείλουν να διαθέτουν γραπτές διαδικασίες με τις οποίες να αποτυπώνεται με σαφήνεια όλος ο τρόπος με τον οποίο λειτουργεί το σύστημα επιτήρησης. Επίσης, θα πρέπει κάθε αλλαγή στον τρόπο με τον οποίο καταγράφονται και αποθηκεύονται τα δεδομένα να τεκμηριώνεται. Παραδείγματος χάρη, η μέγιστη διάρκεια αποθήκευσης των δεδομένων θα πρέπει να αποτυπώνεται γραπτώς όπως και κάθε άλλη παράμετρος που σχετίζεται με την διαχείριση των πληροφοριών. Το γραπτό σύστημα επίσης οφείλει να προβλέπει και τον τρόπο αντίδρασης τόσο των data controllers όσο και των data processors σε περίπτωση παραβίασης και υφαρπαγής των δεδομένων (data breaches). Εκεί ο κανονισμός είναι σαφής. Θα πρέπει οπωσδήποτε να υπάρχει ενημέρωση όλων των ενδιαφερομένων.

O GDPR σε μια εποχή που χαρακτηρίζεται ως την εποχή της πληροφορίας αποτελεί ένα σημαντικό βήμα για την διασφάλιση των ευαίσθητων πληροφοριών. Ο κανονισμός καλύπτει όλη την αλυσίδα διαχείρισης της πληροφορίας προσπαθώντας να ελαχιστοποιήσει όλα τα τρωτά σημεία τα οποία μπορούν να προκαλέσουν διαρροή ευαίσθητων δεδομένων.

 Βασικά μέτρα συμμόρφωσης

Αντιλαμβανόμαστε λοιπόν ότι ο GDPR επιφέρει σημαντικές αλλαγές στον τρόπο με τον οποίο διαχειριζόμαστε τα δεδομένα και η μη συμμόρφωση με αυτές τις αλλαγές επιφέρει σημαντικά πρόστιμα τα οποία λόγω του ύψους τους μπορούν να κλονίσουν ακόμα και πολύ υγιείς οικονομικά οργανισμούς. Η συμμόρφωση με τον κανονισμό ειδικά για τους μεγάλους οργανισμούς δεν είναι μια απλή υπόθεση. Για το λόγο αυτό υπάρχουν ειδικοί σύμβουλοι που διαθέτουν τεχνογνωσία και μπορούν να εξασφαλίσουν την συμμόρφωση ενός οργανισμού με τις απαιτήσεις του GDPR. Παράλληλα με αυτό το πλάνο προσαρμογής -το οποίο όπως εύκολα αντιλαμβάνεσθε απαιτεί για την υλοποίηση του- σημαντικούς ανθρώπινους και οικονομικούς πόρους καθώς και αρκετό χρόνο υπάρχουν και κάποια βασικές ενέργειες που κάθε οργανισμός ανεξαρτήτως μεγέθους μπορεί να κάνει αμέσως ώστε να αποδείξει ότι έχει ξεκινήσει να συμμορφώνεται με τον GDPR. Ειδικότερα για τα συστήματα επιτήρησης τα ακόλουθα βήματα είναι απαραίτητα και μπορούν να υλοποιηθούν εύκολα:

  1. Τοποθέτηση σημάνσεων οι οποίες θα είναι ευδιάκριτες και θα πληροφορούν όσους κινούνται σε ένα χώρο ότι στον χώρο αυτό λειτουργεί σύστημα επιτήρησης. Επίσης στις σημάνσεις θα πρέπει να αναγράφονται στοιχεία για τον διαχειριστή του συστήματος, το σκοπό της λειτουργίας του συστήματος και τα στοιχεία επαφής του ατόμου στον οποίο θα μπορεί να απευθυνθεί κάποιος στην περίπτωση που έχει απορίες σχετικά με όλα τα παραπάνω.
  2. Οι σημάνσεις θα πρέπει να έχουν το κατάλληλο μέγεθος σε σχέση με το περιεχόμενό τους και σε σχέση με τον χώρο στον οποίο είναι τοποθετημένες. Όταν παραδείγματος χάρη τοποθετούνται σε ανοιχτούς χώρους και απευθύνονται σε οδηγούς οχημάτων θα πρέπει να είναι μεγαλύτερες σε σχέση με σημάνσεις που τοποθετούνται σε κλειστούς χώρους.
  3. Το προσωπικό ενός οργανισμού οφείλει να είναι ενημερωμένο για τον σκοπό και τρόπο λειτουργίας των καμερών. Επίσης αν κάποιος τρίτος επισκέπτης ρωτήσει για το σύστημα επιτήρησης οφείλουν να μπορούν να τον κατευθύνουν στον υπεύθυνο του οργανισμού για την λειτουργία του συστήματος.
  4. Ιδιαίτερη προσοχή χρειάζεται στην τοποθέτηση και εστίαση των καμερών. Ακόμα και αν είναι τοποθετημένοι σε ιδιωτικό χώρο υπάρχει σημαντική πιθανότητα να καταγράφουν και χώρους εκτός της ιδιοκτησίας. Γενικά αυτό δεν επιτρέπεται αλλά αν υπάρχει ειδικός λόγος τότε σήμανση θα πρέπει να τοποθετηθεί και σε αυτούς τους χώρους.
  5. Θα πρέπει να εξεταστεί και η δυνατότητα τοποθέτησης κάποιων σημάνσεων χωρίς απαραίτητα να υπάρχει και σύστημα επιτήρησης οι οποίες όμως μόνο και μόνο με την ύπαρξη τους είναι πολύ πιθανό να αποτρέψουν πιθανούς παραβάτες του χώρου. Ακόμα και η χρήση προβολέων που ενεργοποιούνται με την κίνηση ώστε να φωτίζουν σκοτεινούς χώρους μπορούν να λειτουργήσουν αποτρεπτικά χωρίς να είναι υποχρεωτική και η εγκατάσταση ενός συστήματος επιτήρησης. Με αυτόν τον τρόπο ο οργανισμός εξοικονομεί τόσο το κόστος εγκατάστασης και συντήρησης ενός συστήματος επιτήρησης και παράλληλα αποφεύγει τις όποιες προσαρμογές απαιτούνται για την εναρμόνιση με τον GDPR.

Ο κανονισμός GDPR έρχεται και αναταράζει τις ισορροπίες σε ότι έχει να κάνει με την διαχείριση των δεδομένων. Οι οργανισμοί βρίσκονται απέναντι σε μια πρόκληση με πολλές πτυχές και είναι αδύνατο ακόμα και για εκείνους τους οργανισμούς που αντιλήφθηκαν έγκαιρα την σημασία του GDPR να ισχυριστούν ότι είναι απόλυτα έτοιμοι.

Από την άλλη κανείς δεν μπορεί να αρνηθεί ότι με όλα τα θετικά και αρνητικά του ο νέος κανονισμός είναι κάτι που χρειαζόταν καθώς η τεχνολογική επανάσταση μας έχει οδηγήσει σε μια εποχή όπου ο όγκος των πληροφοριών που δημιουργείται κάθε στιγμή δεν έχει προηγούμενο. Οπότε ήταν απαραίτητο να τεθεί ένα νομικό πλαίσιο για την προστασία αυτών των δεδομένων καθώς ήδη έχουμε γίνει μάρτυρες πολλών προσπαθειών για την υφαρπαγή δεδομένων που σχετίζονται με ευαίσθητες πληροφορίες. Ο GDPR προφανώς και δεν αποτελεί την πανάκεια αλλά σίγουρα αποτελεί ένα ακόμα σημαντικό βήμα. Καθώς όπως αναφέραμε και στην αρχή του άρθρου τα σύγχρονα συστήματα φυσικής ασφάλειας βασίζονται κυρίως στην διαχείριση πληροφοριών είναι φυσικό να επηρεάζονται από την έλευση του GDPR. Όσο και αν μας φαίνεται λοιπόν δύσκολη η προσαρμογή στο νέο περιβάλλον θα πρέπει να αντιληφθούμε ότι είναι απαραίτητη αυτή η μετάβαση. Οι κάμερες καταγράφουν δεδομένα και τα συστήματα επιτήρησης δίνουν την δυνατότητα αποθήκευσης και επεξεργασίας πληροφοριών που σαφώς σχετίζονται με ευαίσθητες πληροφορίες. Ήταν καιρός λοιπόν όλη αυτή η διαχείριση να τεθεί υπό ένα αυστηρό νομικό πλαίσιο το οποίο παράλληλα με την βελτίωση της ασφάλειας θα διασφαλίζει και το δικαίωμα των ανθρώπων στην ιδιωτικότητα.

Σχετικά Άρθρα

off

17 Απλοί Κανόνες για την Νόμιμη Εγκατάσταση Συστημάτων Βίντεο-Επιτήρησης!

Posted On 08 Μάι 2020
off

GDPR και CCTV

Posted On 21 Ιούν 2019
off

Μετά το GDPR, έρχεται το ePrivacy!

Posted On 24 Αυγ 2018

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

Αρχείο Περιοδικών

Smart Press A.E. | Μάγερ 11, 10438, Αθήνα | Τηλ.: 210 5201500, Fax: 210 5241900