Głównie w kontekście powierzanych danych wrażliwych zapewnienie prawidłowego poziomu zabezpieczeń jest wymagane. Warto się w ten wątek zagłębić i poruszyć równie istotne zagadnienie, jakim jest szyfrowanie danych.
Obowiązki wynikające z RODO
Zgodnie z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych, „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Dla każdego salonu optycznego przepis ten powinien stanowić punkt wyjścia w szyfrowaniu danych.
Uszczegóławiany jest on poprzez kolejne normy, które stanowią, że wśród wspomnianych czynności powinny pojawić się pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów czy „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”.
Umowa franczyzowa
Poruszając się po rynku optycznym, warto zwrócić uwagę na kwestię umowy franczyzowej. Bezsprzecznym jest fakt, że przedsiębiorstwo będące właścicielem marki jest w stanie narzucić, w ramach współpracy, sposób rozporządzania wypracowanym dotychczas formatem. Wyróżnić można zarówno elementy graficzne ułatwiające rozpoznawalność danej firmy, ale i know-how prowadzenia działalności, w tym obowiązek korzystania z konkretnych systemów elektronicznych czy sporządzania raportów sprzedaży u lokalnego partnera. Nie ulega wątpliwości, że w takiej sytuacji franczyzobiorca może także korzystać z przyjętego przez drugą stronę umowy modelu ochrony danych osobowych, w tym przywołanych środków technicznych i organizacyjnych.
Przy umowie franczyzowej zwróćmy też uwagę na to, kto posiada prawo do przetwarzania danych osobowych oraz, co chyba jest jeszcze ważniejsze, czy po zakończeniu współpracy franczyzobiorca będzie mógł posłużyć się zgromadzonymi danymi w swojej działalności (już poza franczyzą), np. w swoim systemie komputerowym. Warto podkreślić, że franczyzy przybierają w zasadzie dwa modele w odniesieniu do systemu informatycznego: albo dostarczają własny, zamknięty system informatyczny (wówczas zazwyczaj po jej zakończeniu nie będziemy mieć dostępu do danych), albo dostarczają tylko know-how bez systemu informatycznego, pozostawiając tu wolną rękę franczyzobiorcy (wtedy nawet po zakończeniu franczyzy będziemy mieć dostęp do zgromadzonych danych).
Dostęp do informacji w salonie optycznym
Prowadząc salon optyczny w zgodzie z unijnym RODO, należy pamiętać o sporządzeniu stosownych procedur, które nie tylko będą określały rodzaj postępowania w poszczególnych sytuacjach związanych z pacjentami (np. sposób przekazywania danych między podmiotami czy udostępniania informacji wrażliwych), ale także wskazywały w formie ewidencji osoby upoważnione w firmie do samego dostępu do danych osobowych. Pamiętając chociażby o zasadach minimalizacji, adekwatności i rozliczalności procesu przetwarzania tych danych, znamiennym jest, że wszyscy pracownicy nie mogą mieć wglądu do kompletu informacji o osobach fizycznych korzystających z pomocy. Sprzedawca, na mocy uprawnień systemu, co do zasady nie powinien mieć dostępu do danych na temat zdrowia pacjentów uzyskanych w toku wizyt okulistycznych. Szyfrowana jest wtedy baza danych, która jest źródłem informacji dla tego systemu. Powinna zostać wyznaczona odpowiednia osoba, najlepiej mająca wysokie kompetencje i wiedzę w kwestii ochrony danych osobowych, która sprawuje nadzór nad przestrzeganiem firmowych procedur, tym samym mając możliwość przywrócenia kopii zapasowych pewnych informacji w razie potrzeby.
Naruszenie ochrony danych osobowych
Niekiedy jednak, nawet mimo podjętych adekwatnych środków technicznych i organizacyjnych, może dojść do naruszenia ochrony danych osobowych (np. dokonano ich kradzieży). Wówczas, na podstawie przepisów, salon optyczny – jako administrator – jest zobowiązany do zgłoszenia tego naruszenia właściwemu organowi nadzorczemu w ciągu 72 godzin. Organem tym jest Prezes Urzędu Ochrony Danych Osobowych. Co istotne, w przypadku przekroczenia tego terminu, należy złożyć sprawozdanie opisujące przyczyny opóźnienia. Podobny obowiązek dotyczy również podmiotu przetwarzającego, którym może być dostawca oprogramowania – wtedy taka informacja powinna być przekazana administratorowi.
Niezależnie od tego, jeżeli powstałe naruszenie może generować wysokie ryzyko naruszenia praw lub wolności pacjentów, salon optyczny jest zobowiązany również ich powiadomić o zdarzeniu, a także wskazać jego charakter i możliwe konsekwencje. Wówczas warto również oznaczyć zastosowane środki, które podjęto, aby zminimalizować skutki tego naruszenia.
Podkreślenia wymaga jednak, że do naruszenia danych osobowych dochodzi wtedy, gdy dane są jawne. Wyciek odpowiednio zaszyfrowanych danych co do zasady nie naruszy reguł wynikających z RODO. Wyjątkiem jest np. wyciek zaszyfrowanych informacji wraz z algorytmem i kluczem (kluczami), które pozwolą na odszyfrowanie tych danych.
Szyfrowanie nie jest niczym nowym
Myśląc ogólnie o szyfrowaniu danych, często wyobrażamy sobie wielkie firmy IT, instytucje publiczne lub finansowe, które przechowują bardzo wrażliwe dane i dysponują systemami zabezpieczającymi wartymi fortunę. Zdecydowanie rzadziej aspekt ten rozpatrujemy w odniesieniu do danych własnej firmy lub danych prywatnych. Często wynika to z błędnego przekonania, że proces wdrożenia szyfrowania danych jest kosztowny i skomplikowany. Owszem, szyfrowanie bywa skomplikowane, ale proces jego wdrożenia w małych i średnich firmach, a także w domu może być prosty i niedrogi, a nawet darmowy.
Na początek warto uświadomić sobie fakt, że opisywany sposób zabezpieczania informacji nie jest niczym nowym. Ma ono nawet swoje korzenie głęboko w historii. Na przykład prostego szyfrowania metodą przesuwania używał w swojej korespondencji Juliusz Cezar. Swoją drogą warto zapoznać się z tym prostym mechanizmem sprzed wieków (jest ono szeroko i prosto omówione w Internecie), aby nieco oswoić się z tytułowym zagadnieniem, które najprościej nazwać można zmianą informacji jawnej na utajoną. Informacja taka może być poznana jedynie po uzyskaniu wiedzy o algorytmie użytym do jej utworzenia oraz klucza do jej poznania.
Istotną kwestią jest też fakt, że szyfrowanie danych można podzielić na symetryczne i niesymetryczne. Symetryczne zakłada, że istnieje ten sam klucz szyfrujący do zaszyfrowania i odszyfrowania danych. Szyfrowanie niesymetryczne stosuje pary kluczy – jeden do zaszyfrowania, drugi do odczytania danych. Obie metody są używane. Szyfrowanie symetryczne jest szybsze, natomiast szyfrowanie niesymetryczne jest bardziej bezpieczne. Wybór metody zależy od sytuacji i wymagań. W zabezpieczeniu danych firmowych i prywatnych częściej wykorzystuje się szyfrowanie symetryczne z dbałością o poufność użytego klucza.. Oczywiście istnieje wiele sposobów (algorytmów) szyfrowania danych, jednak większość z nas nie musi zaprzątać sobie tym głowy, pozostawiając te kwestie specjalistom. Przekręcając kluczyk w samochodzie, nie musimy przecież wiedzieć jak działa cały układ napędowy i silnik; ważne, że wiemy jak jechać. Analogiczne podejdźmy zatem do kwestii szyfrowania danych.
Po co nam szyfrowanie?
Na to pytanie najlepiej odpowiedzieć, posługując się przykładami z życia.
Scenariusz 1.
Załóżmy, że mamy w firmie kilka komputerów, na których przechowujemy istotne dla nas dane, jak na przykład baza danych systemu handlowego i systemu do prowadzenia gabinetu, skany ważnych dokumentów, korespondencja mailowa z kontrahentami itp. Zadbaliśmy już o kopie zapasowe tych danych i jesteśmy przekonani, że zapewniliśmy dostateczne bezpieczeństwo. Jednak pewnego dnia następuje włamanie do salonu. Nieproszeni „goście” ukradli nie tylko wartościowy towar handlowy, ale także cały sprzęt komputerowy. Nie martwimy się jednak tym, przekonani, że skoro mamy ubezpieczenie i kopie zapasowe danych, możemy zainstalować nowy sprzęt oraz oprogramowanie, którego używaliśmy, i odtworzymy dane z kopii zapasowych. Warto zadać sobie pytanie: co złodzieje zrobią z naszymi danymi? Pół biedy, jeżeli tylko sprzedadzą sprzęt; gorzej np., jeśli wpadną na pomysł, aby posłużyć się naszymi danymi oraz danymi naszych kontrahentów. Czarnym, mało prawdopodobnym, ale nie nierealnym może być także scenariusz, w którym złodzieje skontaktują się z naszą konkurencją w celu przekazania bezpłatnie pewnej próbki naszych danych…
Scenariusz 2.
Jako właściciel przedsiębiorstwa jesteśmy w podróży służbowej i mamy przy sobie naszego laptopa, na którym mamy wszystko, co jest nam niezbędne do prowadzenia biznesu, a także pewne dane prywatne, np. archiwum zdjęć rodzinnych. Zatrzymujemy się na obiad w restauracji i dzwoni nasz ważny kontrahent. Rozmowa telefoniczna przeciąga się, a my w tym czasie obserwujemy przez okno co dzieje się na zewnątrz. Po zakończonej rozmowie stwierdzamy, że nasz laptop zniknął. Na początku uspokajamy się, że przecież laptop to rzecz nabyta. Dopiero po chwili dociera do nas, że nasze dane wyciekły właśnie w obce ręce.
Wyżej wymienione scenariusze będą miały zupełnie inny obrót w sytuacji, gdy wiemy, że nasze wrażliwe dane były nie tylko gdzieś skopiowane lub zarchiwizowane, ale również zaszyfrowane. W takiej sytuacji moglibyśmy mówić, że straciliśmy sprzęt, ale nie doszło do wycieku danych. I właśnie po to szyfrowanie jest nam bardzo potrzebne!
Warto zauważyć, że przytoczone scenariusze miały miejsce w przestrzeni realnej. Zdawać sobie musimy jednak sprawę, że obecnie możemy mieć częściej do czynienia z masą innych zdarzeń w przestrzeni wirtualnej. Do kradzieży danych może dojść przez Internet, gdzie hacker wykorzysta np. nasz zainfekowany komputer z którego przechwyci pewne dane. Szyfrowanie danych zabezpiecza także takie zdarzenia, oczywiście pod warunkiem, że hacker nie pozna sposobu szyfrowania i kluczy.
Zwróćmy też uwagę na fakt, że w odniesieniu do RODO szyfrowanie nie jest niezbędne, ale jeśli dojdzie do wycieku danych, trzeba powiadomić, zgodnie z obowiązującymi przepisami, odpowiednie organy, jak zostało to opisane powyżej.
Koszt i metody szyfrowania danych
Wiele osób myśli, że wdrożenie szyfrowania jest bardzo kosztowne. Otóż podstawowe szyfrowanie danych można wykonać zupełnie bezpłatnie w oparciu o tzw. rozwiązania Open Source. W sieci znaleźć można wiele narzędzi do tego celu. Jednym z najpopularniejszych jest True Crypt w wersji 7.1a. To nieskomplikowane, bezpłatne narzędzie pozwoli np. na utworzenie zaszyfrowanej partycji (litery dysku) o wybranej pojemności na dysku wybranego przez nas komputera. Partycja ta dostępna będzie jedynie po podaniu znanego nam hasła. Po podaniu hasła dane będą zatem dostępne, a bez tego hasła dane są niedostępne i zaszyfrowane. W tej lokalizacji wystarczy umieścić nasze wrażliwe dane i zadbać, o to by nikt niepowołany nie znał do niej hasła.
Inną dość popularną metodą może być zakup dysku sieciowego (tzw. NAS). Taka metoda wymaga co prawda zakupu dodatkowego urządzenia, ale nie jest to bardzo kosztowne. Jeżeli wybrane przez nas urządzenie będzie mieć funkcję szyfrowania danych, a także dwa dyski i przydatną funkcję RAID 1 (odbicie lustrzane danych na obu nośnikach), to oprócz szyfrowania uzyskamy także dodatkową kopię bezpieczeństwa. Po wyborze takiego urządzenia należy odpowiednio go podłączyć do sieci (LAN lub Wi-Fi) i korzystać z niego w celu przechowywania danych wrażliwych. Ceny urządzeń NAS do użytku domowego lub niewielkich firm są przystępne. Przykładowe ceny takich urządzeń przedstawiamy poniżej:
- serwer plików NAS Synology DS220j
+2 x 4 TB Seagate IronWolf – około 1800 zł, - serwer plików NAS QNAP TS-230 2GB
+ 2 x WD Red 2 TB – około 1500 zł, - serwer plików NAS WD My Cloud EX2 Ultra 8 TB – 1600 zł.
Przechowywanie danych w chmurze publicznej
Ostatnią popularną metodą jest przechowywanie naszych danych w chmurze publicznej. Chodzi o dość rozpowszechnione rozwiązania pozwalające na przechowywanie danych w Internecie (np. dysk Google). Rozwiązania tego typu są zazwyczaj bezpieczne w kwestii szyfrowania i bezpieczeństwa danych, ale płacimy tu na pewno prywatnością swoich danych (szczególnie w usługach darmowych, na które należy spoglądać z pewną rezerwą). Kwestię prywatności danych trzeba w takich usługach rozpatrywać samodzielnie, mając na uwadze, że bezpieczeństwo danych nie jest tym samym, co prywatność danych.
Wdrożenie dysku sieciowego lub oprogramowania do szyfrowania może wymagać dodatkowo fachowej pomocy (np. firmy informatycznej, która obsługuje nasz zakład optyczny). Koszt usług tego typu nie jest jednak wygórowany, a na pewno nie jest wart oszczędności w perspektywie możliwych zagrożeń.
W nawiązaniu do powyższego, warto postawić na współpracę z podmiotem, który zapewnia odpowiedni poziom zabezpieczeń, w tym szyfrowania, ale i cyklicznie aktualizuje elementy systemu, dostosowując je do zmieniającej się rzeczywistości. Salon optyczny, korzystając z zaufanego partnera w tym zakresie, jest w stanie zminimalizować ryzyko wystąpienia potencjalnych naruszeń.
