GDPR: Die Anwendung der Vorschriften ist sehr kostspielig
In dieser Hinsicht ist die Verordnung sehr eindeutig. In Artikel 34 heißt es: "Unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowie der Art, des Gegenstands, des Kontexts und des Zwecks der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen ergreifen der für die Verarbeitung Verantwortliche und der für die Verarbeitung Verantwortliche angemessene technische und organisatorische Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem Folgendes gehört ... " (siehe GDPR: die vollständige Verordnung).
UNSER KOSTENLOSES EBOOK HERUNTERLADEN
Daher kann ein kleines Unternehmen mit einer wirtschaftlichen Kapazität, die nicht in der Lage ist, die angemessenes Sicherheitsniveaubeispielsweise zur Verarbeitung von genetischen Daten, führt diese Tätigkeit nicht aus.
Andererseits, es ist nicht zu erwarten, dass es das Sicherheitsniveau erreichen kann, das für stärker strukturierte Unternehmen möglich ist mit reicherem Geld. Die Verordnung verlangt also nicht, dass Sie den längsten Schritt des Weges gehen, sondern dass Sie Maßnahmen (auch ohne finanzielle Kosten) strukturieren, die es dem Unternehmen ermöglichen, die von ihm durchgeführten Behandlungen durchzuführen und dabei die Rechte der Personen, auf die sich die Daten beziehen, zu garantieren, indem Sie Maßnahmen anwenden, die das damit verbundene Risiko minimieren (siehe unsere GDPR eBook).
Darüber hinaus führt die Datenschutz-Grundverordnung den Grundsatz der Rechenschaftspflicht oder der Verantwortung des Inhabers ein, sein Möglichstes zu tun, um die Rechte der Betroffenen zu gewährleisten.
Was will die Verordnung also andeuten?
Lassen Sie uns einige konkrete Fälle zum Verständnis anführen:
- die gemeinsame Nutzung von Benutzernamen und Passwort durch Mitarbeiter derselben Realität;
- Verwendung desselben Passworts für mehrere Systeme, Websites und Anwendungen;
- Verwendung von mnemonischen Passwörtern (Geburtsdaten, Namen von Personen, gebräuchliche Wörter);
- Nutzung von Anwendungen und Systemen ohne Zugangscode;
- Verwendung von Post-its mit Benutzernamen und Passwort für den Computer, Drucker, Netzwerk.
Das ist offensichtlich:
- wenn es keine AnmeldedatenSo muss ein möglicher Angreifer keine Zeit damit verschwenden, sie zu finden;
- wenn 2 Personen die Schlüssel teilenIm Falle von Problemen wird es schwierig sein, diejenigen zu identifizieren, die sich möglicherweise der Leichtfertigkeit schuldig gemacht haben;
- a Passwortwiederholung ist eine Erleichterung für diejenigen, die es erraten wollen, um gesetzeswidrige Handlungen auszuführen: Ich aktiviere mich selbst, um sie einmal zu finden und sie dann in allen Systemen wiederzuverwenden, zu denen der rechtmäßige Inhaber Zugang hat;
- a mnemonisches Passwort ist am einfachsten zu replizieren, da er zu den ersten Versuchen gehört, die jedes automatische System (und jeder Angreifer, auch wenn er in Cybersicherheit nicht besonders erfahren ist) mit einem hohen Maß an Erfolg (wenn auch nicht vollständig) durchführt.
Welche Risiken sind mit der Umsetzung der Verordnung verbunden?
Im Falle einer Kontrolle wird es für jeden Firmeninhaber schwierig sein zu sagen, dass er alles getan hat, um das Risiko der Behandlung zu minimieren. Abschaffung dieser schlechten Praktiken ist mit keinen nennenswerten finanziellen Kosten verbunden, vor allem wenn man sie mit dem Risiko und den Sanktionen vergleicht, die im Falle ihrer Entdeckung vorgesehen sind.
Es wird ausreichen, von der Verantwortung aller Mitarbeiter für den Wert der Unternehmensdaten auszugehen (Schulungsmaßnahmen) und Programme zu verwenden, die heute sehr weit verbreitet und in vielen Fällen kostenlos sind, nämlich Passwort-Manager (Passwort-Manager). Sie ermöglichen es Ihnen, alle Anmeldeinformationen zu speichern, die Sie sich merken müssen, und nur diejenige für den Zugriff auf das Programm zu speichern.
Die einfache Installation eines gutes Antivirus auf allen Systemen und ihre regelmäßige Aktualisierung dient nicht nur der Verbesserung der Datensicherheit (und damit der durchgeführten Behandlungen), sondern ermöglicht auch Verringerung des Risikos der Ausfall eines Geräts, des gesamten Informationssystems des Unternehmens mit den Kosten, die ein Produktionsstillstand mit sich bringt.