Osoby zajmujące się bezpieczeństwem informacji, niezależnie czy to jest IOD, dyrektor działu IT, A(B)SI, „bezpiecznik”, … prócz ciekawości powinny być kreatywne, twórcze i zdecydowanie mieć wyobraźnię! Przy czym nie zrozum mnie źle, nie chodzi mi o zdolności do fantazjowania, konfabulowania, bajania czy wręcz wróżenie z fusów, bo te zostawiam specjalistom i specjalistkom, a o umiejętność projektowania realistycznych, racjonalnych i zgodnych z wymaganiami przepisów prawa scenariuszy działania podmiotu, z którym współpracujesz. Jak to możliwe? Hmm, zacznijmy od początku:

         Etap 1. Okoliczności

         Otrzymujesz prośbę o akceptowanie (!) umowy powierzenia. Z doświadczenia wiem, że zwykle sprawa jest pilna lub dość pilna, bo umowa musi „wyjść” JUŻ! lub tuż za chwilę! Powodów jest  wiele, np.: 

👀 nagła potrzeba, która pojawia się w organizacji

👀 szybka decyzja biznesowa

👀 terminy i tryb postępowania w zamówieniach publicznych

👀 (nie)dostępność radcy prawnego

👀 zawirowania kadrowe działu, którego umowa dotyczy lub który przygotowuje umowę

👀 brak zasad lub ich nieznajomość w organizacji

ale niestety też o to, że zapisy związane z powierzeniem danych to swego rodzaju „dodatek” do Umowy, a nie stały element projektu i sposobu zarządzania nimi w relacjach z dostawcami /wykonawcami. Kiedy natomiast dopytujesz o konkrety, staje się wręcz niechcianym i zbędnym elementem „hamulcowym” całego przedsięwzięcia 😔

          Etap 2. Kontekst

          I tu pojawiają się co najmniej następujące opcje:

⏱ w Twojej organizacji stworzono wzór postanowień/umowy powierzenia, a Ty masz tylko „klepnąć”, że akceptujesz

⏱ od wielu lat konkretna usługa „związała się” na stałe z jakimiś zapisami, a Twoim zadaniem jest jak wyżej

⏱ projekt został zaproponowany przez dostawcę/wykonawcę, więc plus/minus jak wyżej

⏱ stanowi integralną część warunków licencji, więc, jeżeli korzystanie z licencji jest nieodzownym elementem któregokolwiek elementu biznesowego Twojej organizacji, to pozostaje jak wyżej, chyba, że masz istotny wpływ na podejmowanie decyzji strategicznych i jesteś w stanie zaproponować inne - bezpieczniejsze dla Twojej organizacji rozwiązanie lub chociaż przedstawić ryzyka biznesowe związane z przyjęciem takich warunków umowy

⏱ masz zaproponować gotową treść takich zapisów/umowy  🤫 …

         Zatem, nie powinno to być takie trudne ani wymagające zbyt wiele czasu czy wysiłku. Właściwie, to „wszystko masz”, albo „zawsze tak robiliśmy” , albo „nigdy nie było z tym problemu” a już na pewno nie było kontroli ani żadnego incydentu czy naruszenia!

         Tyle tylko, że z zapisów Umowy nic nie wynika, za to znajdujesz lakoniczny i tajemniczy wręcz opis przedmiotu usługi polegającej na  „przeprowadzeniu specjalistycznego audytu XXXX w zakresie analizy xxx zgromadzonych w zewnętrznym zarządcy  XXXX wraz z przedstawieniem wyników z przeprowadzonej analizy w zakresie przedstawienia działań z czynności wykonywanych w systemie przez wykonawcę”. A Ty jesteś być może jedyną osobą, która wie, że by ułożyć współpracę trzeba sprostać wymaganiom, których jest co najmniej kombinacja n! (en silnia): 🤔 RODO, 🤔 ISO,  🤔 bogactwo opinii/ decyzji UODO, 🤔 orzeczenia TSUE, 🤔 komunikaty EIOD, 🤔 wytyczne EROD (wcześniej również grupy roboczej art. 29), 🤔 inne powiązane przepisy prawa, chociażby ustawy o zamówieniach publicznych, KPC, prawo telekomunikacyjne, uśude  … do wyboru do koloru 🌈.

          Etap 3. Kreuj - planuj, pytaj i wdrażaj

         Teraz pozostaje już tylko Twoja wiedza, doświadczenie, konsekwencja oraz wspomniana wyobraźnia w poszukiwaniu sposobów na ustalenie konkretów, tzw. „mięsa”, czyli wszystkiego, co istotne jest z punktu widzenia konkretnych czynności do wykonania przedmiotu umowy - zabezpieczenia w porozumieniach z dostawcami, w szczególności odpowiedzialności co do:

👈 zarządzania dostępem do systemów i aplikacji wszystkich kategorii użytkowników, w tym pracowników dostawcy/ wykonawcy, np.:

👈 czy działają z upoważnienia i wyłącznie na polecenie administratora

👈 czy zobowiązani są do zachowania poufności powierzonych informacji i sposobów ich zabezpieczania oraz na jak długo

👈 czy zostali przeszkoleni i działają zgodnie z wytycznymi/poleceniem administratora

👈 w jaki sposób przydzielane są im prawa dostępu

👈 jaki typ praw dostępu otrzymają - czy są to prawa uprzywilejowanego dostępu

👈 czy sesje są monitorowane lub/i wymagają rejestrowania 

👈 jak sformułowane zostały i jakie są zalecenia bezpiecznego logowania

👈 czy określono metody uwierzytelniania i w jaki sposób przekazywane są dane do uzyskania dostępu

👈 czy aktywność pracowników dostawcy/wykonawcy podlega ograniczeniom i czy jest nadzorowana, a jeżeli tak, to przez kogo

👈w jaki sposób i  kiedy odbierane są prawa dostępu

👈 sformułowania zabezpieczeń kryptograficznych

👈 określenia zasad zwrotu aktywów

👈 postępowania w sytuacjach naruszenia

👈 komunikacji i wskazania osób odpowiedzialnych za koordynację i nadzór nad umową

👈 zasad wypowiedzenia umowy

👈 określenia odpowiedzialności i kar umownych UWAGA! zawsze adekwatnych i odpowiadających szkodzie, jaką administrator może ponieść z tytułu uchybienia dostawcy/wykonawcy w związku z należytą realizacją przedmiotu umowy ...

          Etap 4. Kreuj - współpracuj, wspieraj i zapobiegaj

         I tu chwila oddechu i pocieszenia. Tak wale nie musi się dziać 🥳.

Niezależnie od tego czy jesteś administratorem, IOD, pracownikiem działu IT; czy jesteś dużym przedsiębiorcą czy małym przedszkolem, przychodnią czy salonem fryzjerskim, naprawdę masz istotny wpływ, jak sprawnie przeprowadzić uzgodnienia zasad bezpieczeństwa w relacjach z dostawcami/wykonawcami! 

Złotym środkiem jest współpraca:

👈 (wzajemna) dostępność osób odpowiedzialnych za bezpieczeństwo i ochronę danych oraz Twoje - administratorze wsparcie tych osób, dopasowane do potrzeb organizacji (na podstawie m.in.: ilości danych, ich zakresu, ilości systemów, istotności/wartości biznesowej procesów przetwarzających dane)

👈 poziom wiedzy fachowej i kwalifikacje osób odpowiedzialnych za bezpieczeństwo i ochronę danych

👈 niezbędne zasoby do pracy, w tym pozycja w strukturach organizacyjnych i niezależność IOD, dyrektora działu IT, A(B)SI i bezpiecznika też!

👈 zapewnienie udziału w zagadnieniach związanych z ochroną danych osobowych, jeszcze na etapie projektowania rozwiązań/relacji, a nie podczas incydentu lub naruszenia

👈 kompetencje „miękkie” ww. specjalistów, tj. osobowość, konsekwencja, zaangażowanie, charyzma oraz wspomniana wcześniej wyobraźnia i kreatywność 🤗.

        To dzięki tej współpracy, organizacja uczy się wyznaczania standardów w relacjach z podmiotami zewnętrznymi, uzgadniania i dokumentowania ich istotnych szczegółów, potwierdzania ich realizacji względnie nienależytego ich wykonania. Ostatecznie chodzi o to, by zapisy umowy, w szczególności te związane z powierzeniem danych, realnie odzwierciedlały uzgodnienia Stron co do sposobów realizacji przedmiotu umowy.

 A wydmuszkom wykonanym dla świętego spokoju, Mów(i)My zdecydowane NIE!

          Etap 5. Efekty

✅ Bezpieczeństwo prawne, organizacyjne, techniczne i technologiczne Twojej organizacji

✅ Świadomość podczas podejmowania decyzji z uwzględnieniem ryzyk dla Twojego biznesu

✅ Płynność w podejmowaniu decyzji strategicznych

✅ Realne scenariusze zasad bezpieczeństwa w relacjach z Twoimi dostawcami/wykonawcami

✅Ograniczenie szkód majątkowych i wizerunkowych

✅Zaufanie Klientów i pozostałych Interesariuszy, np. osób, których dane dotyczą, do Twoich usług

✅Zwiększenie efektywności procedowania umów

✅Skuteczność komunikacji

✅ Zapobieganie sytuacjom konfliktowym i stresowym

✅Rozwój ludzi, wiedzy, technologii, a w konsekwencji Przewaga konkurencyjna 🥳.

Powodzenia!

Natalia