B2B-körkép

Dellei László, Kerubiel
Dellei László, Kerubiel
Forrás: Kerubiel
GDPR-újdonságok

Nem a polcra gyártjuk az adatvédelmi szabályzatokat

Egy átlagos magyar vállalat a minimum erőfeszítést mutatja adatvédelem területén, holott a hatóságok türelmi ideje már lejárt. Ha a komoly bírságok nem sarkallják a GDPR megfelelésre a vállalatokat, a vállalati adatvagyon megvédése mozgathatná őket – mondják Dellei László, a Kerubiel ügyvezető igazgatója és Vadász Gábor, a Kerubiel műszaki igazgatója.

– Milyen változásokra számíthatnak a vállalatok GDPR területén?

Dellei László (D. L.): Az adatvédelmi hatóságok kezdetben kellően türelmesek és elnézők voltak a vállalatokkal szemben. Az elmúlt időszak elegendő volt arra, hogy a vállalatok felkészüljenek a személyes adatok védelmére. Azt látjuk, hogy az eltelt időszakban sok incidens és adatszivárgás, adatlopás történt, melyről az adatvédelmi hatóságokat annak módja szerint a vállalatok értesítették is. De azt is látjuk, hogy a magyar hatóságok komolyan veszik tevékenységüket. Megszületett több komoly bírság is a türelmi időszak végén, és azt látjuk, hogy ez a szigorúság nem hagy alább. Szolgáltatásainkkal segítünk ezekre a megfelelésekre is felkészülni a vállalatoknak. Mi nem polcra gyártunk papírokat, adatvédelmi szabályzatokat, hanem a vállalat adatvédelmi auditálása során konkrét megoldásokat vezetünk be, ha ennek szükségét látjuk. A személyes adatok védelme kiemelt terület, és ezen a téren van mit fejlődjenek a magyar vállalatok.

– A magyar cégek komolyan veszik a személyes adatok védelmét?

Vadász Gábor (V. G.): - Vannak iparágak – mint például a pénzügyi szféra – ahol nagyon komoly intézkedéseket tettek azért, hogy biztosítsák, hogy a GDPR-nek megfelelően tárolják, kezeljék az adatokat. Láttam nagyvállalatokat is, ahol megnyugtatóan rendezték a kérdést. Tapasztaljuk, hogy az adatvédelmi tanúsítást, mint az átláthatóság egyik lehetséges igazoló eszközét, fontolóra veszik a nagyvállalatok. Azonban egy átlagos magyar vállalatnál jellemzően az alapvető minimum erőfeszítést mutatják adatvédelem területén. A vállalatoknak be kellene látniuk, hogy az adatok jelentik azt a vagyont, azt a pluszt, amely komoly versenyelőnyt adhat számukra, és a saját jól felfogott érdekük azokat megfelelően kezelni. Kevés cég tart ezen a fejlettségi fokon, sok a tennivalónk ezen a téren.

– Milyen területen vannak konkrétan hiányosságok?

D. L.: A vállalatok hajlamosak félvállról venni ezt a területet, pedig a hatóságok, mint említettem, komolyan ellenőrzik a területet, és bírságolnak is. Egy távközlési vállalatnál nemrég rekord mértékű bírságot szabott ki a hatóság, de más szektorok szereplői esetén is vastagon fogott a hatósági auditorok ceruzája. Az interneten barangolva olyan „low hanging fruit” megoldások implementálását sem látom, mint például a cookie-k megfelelő kezelését biztosító technikai intézkedések – holott ezzel megnyugtató benyomást tehetnénk a látogatóra.

A PRIME-VR2 célja

Jenny Rainbird, a projektpartner Inlecom szerint a PRIME-VR2 nagyon érdekes és fontos projekt a VR a betegek rehabilitációjában való alkalmazásában. Célja, hogy pozitív hatást gyakoroljon e társadalmi igény kielégítésére. Az Inlecom együttműködik a PRIME-VR2 partnerekkel annak biztosítása érdekében, hogy szilárd kereskedelmi terv létezzen, amely az IPR védelmére irányuló stratégiára támaszkodik szabadalmak bejelentésével, hogy fenntartható jövőt és növekedést lehessen biztosítani a projekt innovációk számára.

De ha mélyebbre megyünk, akkor a vállalatoknál problémát jelent, amikor egy adatalany alapvető jogait szeretné érvényesíteni. Például az adatalany élni kíván a tájékoztatáshoz, a hozzáféréshez vagy akár az elfeledtetéshez való jogával, és ezzel összefüggésben kikéri, hogy róla milyen adatokat tárolnak. A hasonló kérdésekre nincs minden esetben kidolgozott ügymenet, triviális esetben valamilyen ticketing rendszerrel próbálják kezelni. Hasonlóképp, gondot okoz az adatok anonimizálása, ahogy az adattörlés is nehézkes, főleg technológiai szemszögből.

– A járványhelyzet is hozott új fejlesztendő területeket?

D. L.: Gyakori probléma, hogy a munkaadó elfelejti tájékoztatni a partnereket, kollégákat, hogy a publikus vagy irodai területeken kamerával vagy a munkahelyi hálózaton szoftveresen megfigyeli a munkavégzést, vagy annak bizonyos részeit monitorozza. Sok vállalat ugyanakkor felhőalapú szolgáltatást is igénybe vesz, ami költséghatékonyság szempontjából teljesen érthető üzleti döntés. A felhőszolgáltatások igénybevételénél azonban az adatkezelők sok esetben megfeledkeznek meggyőződni többek között arról, hogy az adatokat fizikailag az EU területén belül lévő adatközpontban tárolják-e. Ezekre a problémákra az adatvédelmi hatásvizsgálatok mind-mind fényt deríthetnek, és feltárhatóvá válnak az adatkezeléssel járó kockázatok.

– A Kerubiel nemrég két partnerséget kötött, ezek miért fontosak cégük életében?

D. L.: Még az elején szeretném leszögezni, hogy a Kerubielnél az adatkezelés területén szolgáltatásokra építve kínálunk értéknövelt tanácsadást, vezetői tanácsadást, ezen nem tervezünk változtatni. A magyar vállalatoknál tapasztalt GDPR-hiányosságokra reagálva éreztük fontosnak két partnerséget kötni: az egyik a világ legnagyobb szállítója GDPR területén, a OneTrust, a másik pedig a magyar kiberbiztonsági vállalkozás, a Black Cell. A OneTrust megoldása a GDPR teljes vertikumában szolgáltatásokat és egyedi megoldásokat nyújt adatkezelők részére. A felkészülés, rendszer bevezetés, az értettségi fok és kontrollok minőségének ellenőrzése területén egyaránt fontos partner, de a GDPR-auditori munkánkat is teljes mértékben támogatja. Miután a vállalatoknál feltárjuk az adatvédelmi hiányosságokat, rámutatunk a fejlesztendő területekre és elkészítjük a szabályzatokat, megoldásokat is tudunk biztosítani, melyek garantálják, hogy a vállalati GDPR-megfelelőséget a folyamatok is teljeskörűen támogatják.

Vadász Gábor, Kerubiel
Vadász Gábor, Kerubiel

– És a Black Cell partnerség?

V. G.: Ez a partneri viszonyunk eléggé friss, pár hete kötöttünk megállapodást, amely speciális IT biztonsági és kibervédelmi megoldások, SOC, illetve kritikus infrastruktúra védelem területére egyaránt kiterjed. Az adatvédelem szorosan összefügg az IT biztonság kérdésével, és azt tapasztaltuk, hogy a kkv-k részéről egyre gyakrabban merül fel az igény egy Security Operations Center jellegű szolgáltatás igénybevételére – ezt viszont saját erőből, nulláról felépíteni rendkívül költséges, időigényes munka lenne. A Black Cell SOC szolgáltatásait „white label” partneri viszony keretében tudjuk akár a kkv-szektorban is értékesíteni, melynek segítségévek a kiberbiztonsági kockázatokat a vállalat hatékonyan tudja kezelni. Az új partneri megállapodásaink azokon a fókusz területeken is segítenek, ahol pénzügyi intézményeket támogatunk az MNB engedélyeztetési eljárásokban.

– A Kerubielnél komoly K+F tevékenység is folyik, erről elárulna többet?


V. G.: A közelmúltban több innovatív projektet is sikeresen zártunk a mesterséges intelligencia, és az IoT területeken. A PRIME-VR2 fejlesztési projektet az Európai Bizottság finanszírozza, tavaly ősszel indult. A projekt célja egy virtuális valóság alapú platform fejlesztése, melyet rehabilitációs célokra használhatunk. A kutatások azt mutatják, hogy a virtuális valóság játékok komolyan segíthetik a stroke-on átesett betegek rehabilitációját, a forgatókönyveket kutatóorvosok, orvoscsapatok dolgozzák ki. A Kerubiel feladata ebben a rendszerintegrációs platform megvalósítása. Ha minden a tervek szerint halad, jövő év folyamán már lesz tesztelhető prototípusa a rehabilitációs virtuális játéknak. Addig is keressük azokat a hazai partnereket, intézményeket, rehabilitációs központokat, a stroke területén kutató orvosokat, akik nyitottak a megoldás tesztelésére.