GDPR: új kihívások a felhőben

A technológia rohamos fejlődése a szakembereket is folyamatos kihívások elé állítja. Néha nehéz nem triviális hibába esni és egyre nehezebb a feladatunk a biztonság-tudatosság fenntartásában. Nézzük, miért?

Őszintén szólva magam is elszánt aktivistája vagyok annak, hogy az új technológiákat minél előbb át kell ültetni a vállalati gyakorlatba. Érdeklődéssel követem a mesterséges intelligencia rohamos okosodását, sokszor próbálgatom képességeit és szeretném ha nálunk is mielőbb és minél több területen bevetésre kerülne.

Másik “sapkámban” ugyanakkor – informatikai biztonság és adatvédelem – egy kis manó mindig a fülembe suttogja: lehet ezt így? Biztonságos ez így? GDPR-komform ez így? Épp a minap történt meg, hogy valahogy ez a kis manó bealudhatott…..A ChatGPT 4.o funkcióit teszteljük, s ennek során maga PT (én így szólítom) hívta fel a figyelmet arra, hogy az elemzési célú adatokhoz ezentúl közvetlenül a OneDrive-ból vagy a Google Drive-ról is hozzáférhetek. Mennyivel kényelmesebb ez, mint a letöltés-feltöltés!

Sőt, a kényelem mellett akár biztonságosabb is lehet, hiszen nem kell számítógépre letöltenem olyan adatokat, amiket a céges policy szerint nem tárolhatok a saját gépemen. Oh, igen…….de aztán gondolkodóba estem: mennyire sértem meg ezzel mégis a cég adatkezelési és információbiztonsági szabályait? Egyrészt a feltöltéshez engedélyeznem kell a hozzáférést Google Drive-on és/vagy OneDrive-on tárolt adataimhoz, másrészt vajon mire hatalmazom fel ezzel az alkalmazás-szolgáltatót?

PT-t nem lehet azzal vádolni, hogy nem ad pontos és korrekt választ erre a kérdésre. Egyrészt felhívja a figyelmemet, hogy alaposan olvassam el az adatkezelési tájékoztatót.  Másrészt pontosan felsorolja a felületen is, hogy felhatalmazásom alapján miután megkapta az engedélyt megtekintheti, törölheti, megoszthatja, rendszerezheti, harmadik feleknek továbbíthatja  ezeket a file-okat és hozzáférhet további személyes adatokhoz is.

Mondanom sem kell, hogy ezek után úgy döntöttem, nem adom meg az engedélyt. A gyors és kreatív adatelemzési és vizualizációs képességek éppen azoknál a méretű adattábláknál, adatállományoknál lehetnek fontosak, amikben már egészen biztosan lehetnek személyes adatok, sőt érzékeny személyes adatok is. Az elkészített elemző anyagokban az adatok többségükben aggregálásra vagy anonimizálásra kerülnek, de ez nem jelenti azt, hogy a rendszer nem tárolja ezeket (a Felhőben) és nem kezeli azokat, akár harmadik feleknek átadva.

Az eset tanulsága nem csak az, hogy az egyes megoldások integrálásának a vállalati folyamatokba számos szempontja van: többek között a személyes adatok kezelése és az információ biztonság. Ezeket feltétlenül kezelni kell a rohamosan fejlődő technológiai megoldások vállalati folyamatokba illesztésénél. Ugyanilyen fontos következtetés az is, hogy a munkatársakat folyamatosan képben kell tartani az új technológiák által megnyitott új kockázatok megértésében és abban, hogy ezzel kapcsolatban szemfülesek legyenek.

Legyetek bátrak és innovatívok, de legyetek résen!

Judit

0