Gdpr Compliance

 

Πάνω από 200.000 ήταν ο αριθμός των καταγγελιών στις τοπικές αρχές προστασίας δεδομένων προσωπικού χαρακτήρα και άνω των 64.000 ο αριθμός των περιστατικών παραβίασης ασφάλειας προσωπικών δεδομένων το 2018, σύμφωνα με την International Association of Privacy Professionals. 56 εκατ. ευρώ ήταν το ποσό των προστίμων που επιβλήθηκε από τις Τοπικές Αρχές. Οι απαιτήσεις για αποζημιώσεις έναντι παραβιάσεων αναμένεται να πάρουν την μορφή κύματος χιονοστιβάδας και στην Ελλάδα με το που ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων GDPR γίνει νόμος του κράτους, άλλα και όσο η ψηφιακή τεχνολογία εξελίσσεται και μετατρέπεται σε όπλο στα χέρια των κυρβερνοεγκληματιών.

Αξιοσημείωτο είναι ότι η ασφαλιστική αγορά, σύμφωνα με πηγές που επιθυμούν να κρατήσουν για ευνόητους λόγους την ανωνυμία τους, έχει γίνει μάρτυρας διαφόρων φαινομένων κυβερνο-εκβιασμού. Οι κυβερνοεγκληματίες απειλούν, οι απαιτήσεις τους δεν ικανοποιούνται και τότε οι απειλές των κυβερνοεγκληματίων περνούν σε δεύτερη φάση: απειλούν για παραβιάσεις ευαίσθητων προσωπικών δεδομένων. Συμβάντα που αν πραγματοποιηθούν θα κοστίσουν στις επιχειρήσεις μία περιουσία.

Αντιμέτωπες με παραβιάσεις ασφάλειας προσωπικών δεδομένων έχουν έλθει και οι ασφαλιστικές. Ασφαλιστικές και εταιρείες υγείας στις ΗΠΑ έπεσαν θύματα κλοπών, όπου ευαίσθητα προσωπικά δεδομένα εκλάπησαν και πωλήθηκαν στην “μαύρη αγορά”. Μάλιστα, οι τιμές πώλησης των προσωπικών ιατρικών δεδομένων σε αυτήν την αγορά είναι υψηλότερες ακόμα και από τις τιμές πώλησης των δεδομένων πιστωτικών καρτών. Οι αγοραστές των δεδομένων αυτών μπορούν να τα χρησιμοποιήσουν για την δημιουργία απαιτήσεων από ασφαλιστικές και συνταξιοδοτικά ταμεία.

Άλλοι επικίνδυνοι στόχοι είναι: οι Χρηματοοικονομικοί Οργανισμοί, η Βιομηχανία και το Χονδρεμπόριο, τα Logistics, οι Τηλεπικοινωνίες, τα Ε-shops, οι υπηρεσίες outsourcing, οι εταιρείες telemarketing, τα Μέσα Μαζικής Ενημέρωσης, και λιγότερο κλάδοι όπως το Real Estate, Ψυχαγωγία, Εκπαίδευση, Λιανεμπόριο.

O Κανονισμός εφαρμόζεται από τις 25 Μαΐου 2018 σε όλα τα κράτη μέλη της ΕΕ και ρυθμίζει τα δικαιώματα των φυσικών προσώπων με: Τα προσωπικά τους δεδομένα, την επεξεργασία των προσωπικών τους δεδομένων, την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της ΕΕ, τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός ΕΕ.

Ο Κανονισμός επίσης απαιτεί από τις εταιρείες να εκπαιδεύσουν το προσωπικό τους, να πάρουν τα κατάλληλα μέτρα ασφαλείας για την προστασία των πληροφοριών τους, να κάνουν μελέτες επιπτώσεων εξ’ αιτίας παραβιάσεων, να σχεδιάσουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας, να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων, να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (DPO),να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων. Οι εταιρείες πρέπει να αποδεικνύουν ότι έχουν συμμορφωθεί με τον Κανονισμό.

Ο Κανονισμός επιβάλλει την υποχρεωτική γνωστοποίηση του συμβάντος μέσα σε 72 ώρες. Αλλά και την επιβολή προστίμων προς τις επιχειρήσεις που δεν έλαβαν τα κατάλληλα μέτρα ασφαλείας προστασίας των δεδομένων των πελατών τους. Το ύψος του προστίμου μπορεί να ανέλθει στο 4% του τζίρου τους ή στα 20 εκατ. ευρώ όποιο από τα δύο αυτά είναι υψηλότερο.

Ο ρόλος των ασφαλειών είναι να μεταφέρουν τον κίνδυνο από τους ιδιώτες ή την επιχείρηση στις αγορές, συνεπώς και το cyber insurance είναι εργαλείο του υπολειπόμενου κίνδυνου. Με άλλα λόγια εκείνων των κινδύνων που δεν δύνανται να μειωθούν με τη χρήση διαδικασιών και συναφών πολιτικών διαχείρισης. Στο νέο αυτό περιβάλλον καλούνται να λειτουργήσουν οι επιχειρήσεις και να συμμορφωθούν με τον GDPR.

Οι επιχειρήσεις, λαμβάνοντας υπ’ όψιν ότι δεν υπάρχει ασφάλεια 100%, καλούνται να εξετάσουν τις επιλογές που έχουν ως προς την μεταφορά των κινδύνων που απομένουν με ασφαλιστικά προϊόντα κατά των κυβερνοεπιθέσεων ή πιο σωστά cyber κινδύνων.

Οι πιο σημαντικές περιπτώσεις αποζημιώσεων μεταξύ 2013-2016 οφείλονταν σε ransomware & cyber extortion, σε απώλεια δεδομένων από hacking, σε μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα, σε malware/virus, σε απώλεια δεδομένων εξ’ αμελείας εργαζομένων, σε κυβερνοεκβιασμό, σε συμβάντα παραβίασης νομοθεσίας προσωπικών δεδομένων, σε λάθη ΙΤ συστημάτων, σε διακοπή ροών εργασιών.