Δημιουργήσαμε ένα νέο μοντέλο ψηφιακού μετασχηματισμού, Digital ecosystem, για την εκκίνηση, αναβάθμιση & χρηματοδότηση, Μικρομεσαίων Επιχειρήσεων & Startups.

Η Νέα κανονικότητα για τις ΜμΕ μαζί με τον Επιχειρηματικό και τον Ψηφιακό μετασχηματισμό επαναφέρει στο προσκήνιο και την προσαρμογή τους στον GDPR . Η ΑΠΔΠΧ απαιτεί πλέον από όλους, μικρούς και μεγάλους να μπορούν να Τεκμηριώσουν τα μέτρα ασφάλειας που έχουν λάβει αλλά και να μπορούν ν' αποδείξουν την συμμόρφωση τους.

 

"Τα μέτρα ασφάλειας πρέπει να τεκμηριώνονται με κατάλληλα έγγραφα πολιτικής, όπως επιβάλλει η αρχή της λογοδοσίας. Παράλληλα, πρέπει να είναι αποδεδειγμένα επικυρωμένα από τη διοίκηση του υπευθύνου ή του εκτελούντος την επεξεργασία, ώστε να μην υπάρχει περιθώριο αμφισβήτησής τους."

 

Οι Υπεύθυνοι και οι εκτελούντες επεξεργασία μπορούν να χρησιμοποιούν εγκεκριμένο κώδικα δεοντολογίας (σύμφωνα με το άρθρο 40 του ΓΚΠΔ) ή μηχανισμό πιστοποίησης (άρθρο 42 ΓΚΠΔ) για την απόδειξη της συμμόρφωσής τους, δηλαδή προς απόδειξη ότι, καταρχήν, λαμβάνουν τα ενδεδειγμένα μέτρα ασφάλειας. Επισημαίνεται, βέβαια, ότι οι φορείς θα πρέπει να είναι σε θέση να αποδείξουν ότι τα εν λόγω μέτρα εφαρμόζονται αποτελεσματικά στην πράξη.

 

Αναζητήστε τον Μέντορα σας για την δημιουργία ενός Κώδικα Δεοντολογίας

 

Σύμφωνα με την ΑΠΔΠΧ, απαραίτητο βήμα για την απόδειξη της συμμόρφωσης είναι η καταγραφή των μέτρων ασφάλειας. Η ύπαρξη πολιτικής ασφάλειας, η οποία έχει εγκριθεί από τη διοίκηση του υπευθύνου επεξεργασίας και εφαρμόζεται στην πράξη, αποτελεί ορθή πρακτική, ενώ σε πολλές περιπτώσεις μπορεί να θεωρηθεί και απαιτούμενο (π.χ. μεγάλες επιχειρήσεις, επιχειρήσεις με κύριο αντικείμενο την επεξεργασία δεδομένων προσωπικού χαρακτήρα ανεξαρτήτως μεγέθους, επιχειρήσεις των οποίων οι πράξεις επεξεργασίας υπόκεινται στην απαίτηση για  διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων  κ.λπ.). Δείτε περισσότερες πληροφορίες σχετικά με την πολιτική ασφάλειας.

Στις περισσότερες περιπτώσεις απαραίτητη για τον προσδιορισμό των κατάλληλων μέτρων ασφάλειας είναι η μελέτη επικινδυνότητας. Ανάλογα με τα αποτελέσματα αυτής και την πολιτική ασφάλειας προκύπτουν τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα ασφάλειας. Τα μέτρα αυτά, όπως και οι απαραίτητες ενέργειες για την υλοποίησή τους, περιέχονται στο Σχέδιο Ασφάλειας (Security Plan). Ανάλογα με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα  επεξεργασία, το Σχέδιο Ασφάλειας μπορεί να περιλαμβάνει επιμέρους εφαρμοζόμενες πολιτικές και μέτρα ασφάλειας, σε περιοχές (κατηγορίες μέτρων ασφάλειας) που καλύπτουν συγκεκριμένους στόχους της πολιτικής ασφάλειας. Σε κάθε περίπτωση, το Σχέδιο Ασφάλειας πρέπει να υπόκειται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα πληροφοριακά συστήματα και τις τεχνολογικές υποδομές. Επιπλέον, στο Σχέδιο Ανάκαμψης από Καταστροφές (Disaster Recovery Plan), το οποίο συμπληρώνει το Σχέδιο Ασφάλειας, περιέχονται τα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ.

Στην υπο-ενότητα «Μέτρα ασφάλειας» παρουσιάζεται ενδεικτική, μη εξαντλητική, κατηγοριοποίηση των μέτρων ασφάλειας. Επίσης, στην υπο-ενότητα «Σχέδιο ανάκαμψης από καταστροφές» παρουσιάζονται τα αντίστοιχα μέτρα ασφάλειας. Επισημαίνεται ότι ο εκάστοτε φορέας πρέπει να προσδιορίζει τις διαδικασίες του και τα σχέδιά του έτσι ώστε τα λαμβανόμενα μέτρα να είναι τα κατάλληλα για τους κινδύνους που ενέχει η επεξεργασία.

 

 

Ακολουθείστε τα εξής βήματα για την Συμμόρφωση

Για να σας βοηθήσουμε στην τεκμηρίωση της συμμόρφωσης της επιχείρησης σας στον GDPR οι Μέντορες του insTech και Μέσω του Οδηγού Cyber Plan, μπορείτε να ακολουθήσετε τα εξής βήματα για την επίτευξη της συμμόρφωσης σας με τον Κανονισμό

Εγγραφείτε στο insTech για να μπορέσετε να λάβετε τους οδηγούς συμμόρφωσης

 

1

ΕΝΗΜΕΡΩΣΗ - ΕΤΟΙΜΟΤΗΤΑ:

Ενημερώστε το ανθρώπινο δυναμικό του οργανισμού σας για τις επερχόμενες μεταβολές, υπογραμμίζοντας τις σημαντικές επιπτώσεις σε περίπτωση παραβιάσεων. Αξιολογήστε τους πιθανούς κινδύνους για τα προσωπικά δεδομένα που συλλέγετε και επεξεργάζεστε. Διαμορφώστε στρατηγική αντιμετώπισης των πιθανών κινδύνων με τεχνικά και οργανωτικά μέτρα.

2

ΚΑΤΑΓΡΑΦΗ:

Οφείλετε να τηρείτε ειδικά αρχεία επεξεργασιών; Αν ναι, καταγράψτε ενδελεχώς τα δεδομένα που τηρείτε και μεταβιβάζετε, τις επεξεργασίες στις οποίες προβαίνετε, τον σκοπό τους και τη νομική βάση.

3

ΕΛΕΓΧΟΣ ΤΗΡΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ:

Εξετάζετε συνεχώς αν κατά την επεξεργασία των δεδομένων τηρούνται οι αρχές που διέπουν τη νόμιμη επεξεργασία των δεδομένων και αν γίνονται σεβαστά τα δικαιώματα των υποκειμένων.

4

ΕΛΕΓΧΟΣ ΣΥΓΚΑΤΑΘΕΣΗΣ:

Εξετάστε τις μεθόδους για εξασφάλιση συγκατάθεσης για κάθε επιδιωκόμενο σκοπό επεξεργασίας.

5

ΑΝΑΘΕΩΡΗΣΗ ΠΟΛΙΤΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΔΙΑΔΙΚΑΣΙΩΝ:

Επικαιροποιήστε τις διαδικασίες για τον χειρισμό των αιτημάτων και την ικανοποίηση των δικαιωμάτων των πολιτών, ιδίως ως προς τη διαγραφή δεδομένων (δικαίωμα στη λήθη) ή την παροχή τους σε αναγνώσιμο ηλεκτρονικό μορφότυπο (φορητότητα δεδομένων).

6

ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ:

Θα πρέπει να είστε σε θέση να εκτιμήσετε τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα.

7

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ:

Ανάλογα με τη δραστηριότητα που ασκείτε, εξετάστε αν χρειάζεται να ορίσετε «υπεύθυνο προστασίας δεδομένων».

8

ΠΑΡΑΒΙΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ:

Υιοθετήστε μεθόδους για την ανίχνευση, την καταγραφή και τη διερεύνηση περιστατικών παραβιάσεων. Διαθέτετε διαδικασία για τις γνωστοποιήσεις παραβιάσεων προς την Αρχή και τα υποκείμενα;

9

ΔΡΑΣΤΗΡΙΟΤΗTΑ ΣΕ ΠΕΡΙΣΣΟΤΕΡΑ ΚΡΑΤΗ ΜΕΛΗ:

Στην περίπτωση αυτή πρέπει να προτείνετε το κράτος της κύριας εγκατάστασής σας.

10

ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΕΚΤΟΣ ΕΕ:

Αν διαβιβάζετε δεδομένα και σε τρίτες χώρες, επιλέξτε κάποιο μηχανισμό διαβίβασης, όπως δεσμευτικούς εταιρικούς κανόνες (BCRs), τυποποιημένες συμβατικές ρήτρες (SCCs), πιστοποιήσεις στο Privacy Shield (για τις ΗΠΑ).

11

ΚΑΛΥΨΗ ΤΟΥ ΥΠΟΛΟΙΠΟΜΕΝΟΥ ΚΙΝΔΥΝΟΥ;

Η ασφαλιστική κάλυψη στον κυβερνοχώρο (Cyber insurance Plan) εξελίσσεται τόσο γρήγορα όσο η τεχνολογία. Κάτι που σήμερα θεωρείται βασική κάλυψη δεν ήταν διαθέσιμη μόλις πριν από τρία χρόνια καθώς οι βελτιώσεις στις καλύψεις, είναι προϊόν καθημερινής διαπραγμάτευσης στην αγορά.

Sign up for e-mails on new, insTech

Θα σας στείλουμε email όταν δημοσιεύονται νέα άρθρα σχετικά με αυτό το θέμα.

Σχετικά με τους συγγραφείς


Konstantinos Paterakis
(I write about tech, cyber & finance)

Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos


view in Linkedin

by:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.