Najwyższy czas, by wielkie firmy zrozumiały, że nasza prywatność to nie produkt

Najbardziej interesujący jest jednak fakt, że Yahoo (bo o tej firmie mowa) był w trakcie negocjacji dotyczących przejęcia przez inną firmę (Verizon). W jaki sposób takie incydenty bezpieczeństwa i prywatności wpłyną na ostateczną wartość umowy - lub być może - fakt czy do niej w ogóle dojdzie? Poza bezpośrednimi stratami, tego typu wydarzenia przyciągają bardzo negatywny oddźwięk publiczny, mogą też doprowadzić do znaczącej utraty zaufania i reputacji.

Ten jaskrawy przykład podkreśla - po raz pierwszy w historii - jak incydenty bezpieczeństwa i prywatności mogą mieć bezpośrednie znaczenie biznesowe. Jeśli mowa już o kwestiach biznesowych, bezpieczeństwo, prywatność i ochrona danych stają się kluczowymi czynnikami mającymi wpływ na - na przykład - negocjacje (przejęcia) i inne procesy z zakresu rozwoju biznesu i firmy. Ryzyka związane z bezpieczeństwem, prywatnością i ochroną danych stają się bardzo szerokie. Jest kluczowe, by liderzy, zarządy, rady nadzorcze (“C-level”) zaczęły dobrze rozumieć wartość i wagę tych spraw, zwłaszcza biorąc pod uwagę nadchodzące zmiany regulacyjne.

W roku 2017 biznes i firmy będzie musiał stawić czoła z dodatkowym źródłem ryzyka i niepewności, której źródłem będzie prywatność i ochrona danych. Stanie się to dzięki nadchodzącym w Europie regulacjom, które jednak będą miały wpływ na cały świat. Organy regulacyjne w końcu zrozumiały, jak ważna jest prywatność i ochrona danych, a także jaki jest ich związek z biznesem i zaufaniem konsumentów, czyli obywateli. Społeczeństwo w coraz większym stopniu rozpoznaje ryzyka i zagrożenia czyhające na nas - z powodu lekkomyślnych architektur i projektów urządzeń Internetu Rzeczy (i innych produktów) - oraz ich wielu ich wad. Konsument nie oczekuje, że jego toster podłączony do internetu stanie się częścią botnetu, który będzie dalej przeprowadzał cyberataki. Konsument nie oczekuje też, że toster taki może stać się elementem szpiegującym jego właściciela.

Palący brak standardów, dobrych praktyk projektowania bezpieczeństwa i prywatności w przemyśle, a także brak adekwatnych regulacji rządowych już doprowadził do namacalnych, mierzalnych szkód dla firm (zarówno w zakresie finansowym, jak i utraty reputacji). Szczęśliwie, widać obiecujące zmiany na horyzoncie.

W maju 2018 w Unii Europejskiej zacznie obowiązywać nowe prawo, będące kamieniem milowym dla ram regulacyjnych. Będzie to ważnym wydarzeniem dla prywatności i ochrony danych. Regulacja ta - zwana Ogólną Regulacją Ochrony Danych (a w Polsce, Rozporządzeniem o Ochronie Danych), będzie także dodatkowo wzmocniona dodatkową regulacją (rozporządzeniem) ePrivacy. Te legislacje w sposób znaczący zwiększą standardy cyberbezpieczeństwa, prywatności i ochrony danych. Każda firma działająca w Europie, lub mająca tam użytkowników - będzie zmuszona stosować się do wymogów tych regulacji, które mają efektywnie zasięg globalny.

Są one ścisłe i będą egzekwowane, a firmy decydujące się nie przeznaczyć środków i zasobów na dostosowanie się - wystawiają się na ryzyko kar wynoszących nawet 20 milionów euro (lub 4% światowych przychodów). Pomimo tego, że regulacja ta wejdzie w moc w 2018, mądrze jest rozpocząć przygotowania wcześniej, najszybciej jak to możliwe. Proces ten jest stosunkowo skomplikowany i wymaga zasobów - nie tylko ludzi (inżynierów prywatności, analityków), ale także czasu i odpowiedniego zrozumienia ryzyk związanych z prywatnością i ochroną danych.

● Zarządzanie zgodą na przetwarzanie danych - stanie się bardzo ważnym elementem. Każda organizacja przechowująca lub przetwarzająca dane prywatne musi być w stanie pokazać, że zarządzanie nimi odbywa się za wiedzą lub zgodą użytkowników. Należy odpowiedzieć sobie na pytanie: czy Twoi użytkownicy są świadomi tego, że przechowujesz i zarządzasz ich danymi?

● Podejście Privacy by Design - będzie jedną z najważniejszych i kluczowych punktów nowych ram regulacyjnych. W uproszczeniu chodzi o to, że prywatność i ochrona danych muszą być ujęte w planowanie każdego nowego systemu - od samego początku, najlepiej - już od fazy projektowania. Kontrola prywatności i proces analizy ryzyka staną się ważnymi elementami produktów i cykli życiowych projektów. Kluczowym będzie pytanie: czy w firmie zaimplementowano ten proces?

● Ocena Wpływu na Prywatność stanie się standardowym procesem utrzymywania i zapewniania odpowiedniego poziomu prywatności i ochrony danych. Ramy regulacyjne będą wymagać od organizacji przeprowadzania tego procesu w projektach, gdzie mamy do czynienia z danymi prywatnymi, w celu oceny ryzyka. Kolejne istotne pytanie: czy firma może zademonstrować fakt przeprowadzenia oceny skutków dla prywatności?

Prywatność i ochrona danych staną się zatem mierzalne i zarządzalne. Taka jest właśnie rola Oceny Skutków dla Prywatności (czasem zwanej oceną wpływu na prywatność, szacowaniem wpływu na prywatność): pomiar prywatności i ochrony danych, projektowania, rozwoju, uaktualniania, utrzymywania aplikacji, systemów i produktów - mając na uwadze prywatność. Prywatność zostanie wbudowana w cykl rozwoju oprogramowania (i szerzej, produktów).

Ocena Skutków dla Prywatności to proces przeglądu i recenzowania założeń, wymagań i projektu produktu w celu ustalenia poziomu prywatności i ochrony danych. Jest to oszacowanie, które identyfikuje i szacuje ryzyka prywatności i ochrony danych - i oferuje sugestie, zalecenia i strategie łagodzące, mające na celu uzyskanie poziomu wysokiego. Tego rodzaju podejście oparte na szacowaniu ryzyka pomaga organizacjom na tworzenie lepszych produktów, wymaga od organizacji gwarancji, że prywatność i ochrona danych została ujęta od samego początku.

Osoby i zespoły przeprowadzające Oceny Skutków dla Prywatności muszą być ekspertami od bezpieczeństwa i prywatności, z doskonałą znajomością tematu - często jest od nich wymagane myślenie nieszablonowe, szczególnie jeśli mowa o projektach na wczesnych etapach planowania.

Proces Oceny Skutków dla Prywatności zyskuje coraz większe znaczenie na całym świecie. Nie chodzi tu tylko o Europę; w Stanach Zjednoczonych zalecenie to jest wydawane przez NIST (amerykańskie ciało standaryzujące) dla systemów, w których może istnieć możliwość przetwarzania danych osobowych. Innym ważnym wydarzeniem wskazującym na to, że proces ten zyskuje szeroką, globalną uwagę i znaczenie jest fakt, że proces Oceny Skutków dla Prywatności jest właśnie na ścieżce standaryzującej w ramach międzynarodowego ciała ISO. Standardy ISO są jasno rozpoznane i wykorzystywane w wielu działach przemysłu przez firmy i organizacje; zgodność z ISO jest szeroko uznawana jako kluczowy aspekt ciągłości działania biznesu, często w celu zidentyfikowania i zminimalizowania ryzyka.

Standaryzowany przez ISO proces Ocena Skutków dla Prywatności (ang. Privacy Impact Assessment) ma być sfinalizowany w maju 2017. Oznacza to, że proces ten wkrótce będzie miał realne znaczenie biznesowe na całym świecie.

Ocena Skutków dla Prywatności to wszechstronne i skuteczne narzędzie, pozostawia on stosunkowo dużą elastyczność i może być dostosowane dla wielu różnych projektów, w zależności od wymagań biznesowych. W Unii Europejskiej, nowe regulacje GDPR (w Polsce - RODO) będą wymagały przeprowadzania wariantu Oceny Szacowania na Prywatność, zwane Oceną Skutków dla Ochrony Danych, dla większości projektów które wiążą się ze znaczącym ryzykiem (np. poprzez wykorzystywanie nowych technologii, lub przetwarzania danych prywatnych). Ocena Skutków dla Ochrony Danych nie jest tak szeroka jak Ocena Skutków dla Prywatności, ale również mierzy ona i identyfikuje ryzyka prywatności i ochrony danych.

Jednym z ważnych aspektów Oceny Skutków dla Prywatności jest fakt, że może ona wcześnie wskazać elementy o wysokim ryzyku. W tym przypadku ta część planu projektu może zostać ponownie rozważona. Organizacje mogą oczywiście przyjąć do wiadomości ryzyko i uruchomić, wdrożyć projekt i produkt o wysokim ryzyku. Jednak w przypadku incydentu bezpieczeństwa i prywatności - przykładowo masowego wycieku danych - organizacja będzie musiała wykazać i zademonstrować, że Ocena Skutków dla Prywatności (lub Ochronę Danych) została przeprowadzona. Chodzi o wykazanie, że wzięto pod uwagę ryzyko i dołożono wszelkich rozsądnych starań, aby je zminimalizować - podejmując odpowiednie działania. Organizacje, które nie będą w stanie pokazać, że Ocena Skutków dla Prywatności została przeprowadzona, staną przed ryzykiem dotkliwych kar finansowych.

W tym sensie, proces Oceny Skutków dla Prywatności powinien być rozumiany jako metoda zmniejszająca ryzyko. Sugeruje to też inny ciekawy możliwy rozwój wydarzeń wynikający z nowych regulacji. Ocena Skutków dla Prywatności stanie się bardzo ważna podczas
negocjacji ws przejęć firm. Potencjalny nabywca, świadomy możliwych kar finansowych (czy warto kupić firmę, do której być może wkrótce będzie trzeba dołożyć 20 mln euro?), może mieć życzenie by poznać, jak nowy nabytek zarządza ryzykiem. W jaki sposób może to zrobić? Będzie chciał zobaczyć Ocenę Skutków dla Prywatności. Dokument ten zostanie przeanalizowany przez ludzi kompetentnych (ekspertów w procesach prywatności o ochronie danych. Zespoły tych ludzi być może będą także chciały przeprowadzić własne Oceny - lub chociażby stwierdzić prawidłowość już istniejących Ocen, jeśli mogą mieć wpływ na ryzyko.

Od strony liderów zarządzających organizacjami byłoby rozsądnym założenie, że prywatność i ochronę danych faktycznie należy traktować poważnie. Prywatność od roku 2017 stanie się kwestia biznesową. Wszyscy na tym zyskamy.

dr Łukasz Olejnik bada, konsultuje i pomaga w kwestiach cyberbezpieczeństwa i prywatności, ochrony danych, anonimizacji i nowych technologii. Autor prac o bezpieczeństwie i prywatności nowych technologii, m.in. przeglądarek internetowych, Internetu Rzeczy, sensorów. Jego prace mają praktyczny wpływ na działanie szeroko używanych technologii. Więcej informacji o jego działalności można znaleźć na stronie internetowej prywatnik.pl. Na Twitterze jako @Prywatnik.