GDPR και τηλεργασία
Κατευθυντήριες Γραμμές εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας.
Λόγω των μέτρων περιορισμού που έχουν επιβληθεί για την αποτροπή εξάπλωσης του COVID-19, πολλοί οργανισμοί και επιχειρήσεις, αξιοποιώντας σχετικές δυνατότητες της τεχνολογίας, κάνουν χρήση της τηλεργασίας. Ως τηλεργασία θεωρείται η εργασία από απόσταση (δηλαδή χωρίς φυσική παρουσία στον χώρο της εργασίας) με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών, που καθιστούν ουσιαστικά το οικιακό δίκτυο και τον σχετικό εξοπλισμό ως προέκταση του δικτύου της επιχείρησης/Οργανισμού.
Είναι αλήθεια ωστόσο, ότι πολλοί φορείς προσάρμοσαν τις ροές εργασίας τους, χωρίς την απαραίτητη προεργασία με αποτέλεσμα να έχουν αυξηθεί σημαντικά κίνδυνοι σε σχέση με τα δεδομένα, όπως για παράδειγμα ο κίνδυνος της υποκλοπής, της αλλοίωσης ή η καταστροφή τους.
Ως γνωστόν, ο GDPR ισχύει ανεξαρτήτως του τόπου εργασίας. Αυτό σημαίνει πρωτίστως ότι οι επιχειρήσεις και οι οργανισμοί πρέπει να λαμβάνουν (και στο πλαίσιο της τηλεργασίας) όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα που απαιτούνται για την ασφάλεια των δεδομένων προκειμένου να αποτρέψουν μια ενδεχομένη παραβίαση τους. Περαιτέρω, και οι εργαζόμενοι με τη σειρά τους θα πρέπει να δείχνουν αυξημένη προσοχή σε θέματα που αφορούν στην ασφάλεια των οικιακών δικτύων και του σχετικού εξοπλισμού.
Στο πλαίσιο αυτό, η Αρχή Προστασίας Δεδομένων, με στόχο την ευαισθητοποίηση των υπευθύνων επεξεργασίας, των εκτελούντων την επεξεργασία, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων αλλά, ταυτόχρονα, και τις σχετικές υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων και τον νόμο 4624/2019, εξέδωσε Κατευθυντήριες Γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας. Τα μέτρα που προτείνονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αφορούν κυρίως την πρόσβαση στο δίκτυο, τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων και τον τρόπο πραγματοποίησης τηλεδιασκέψεων.
Για να δείτε αναλυτικά τις κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, πατήστε εδώ.
Προσφάτως και το υπουργείο Ψηφιακής Διακυβέρνησης σε συνεργασία με την Γενική Γραμματεία Τηλεπικοινωνιών και Ταχυδρομείων εξέδωσαν μια σειρά από συστάσεις προς όσους εργάζονται από το σπίτι, αναφορικά με την ασφάλεια των οικιακών δικτύων και την εν γένει χρήση των διαδικτυακών υπηρεσιών, ενώ και ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (European Union Agency For Cybersecurity- ENISA) εξέδωσε συμβουλές κυβερνοασφάλειας για την ε αποστάσεως εργασία.
Ένα είναι σίγουρο, ότι οι κίνδυνοι σε σχέση με μια ενδεχόμενη παραβίαση δεδομένων που τυγχάνουν επεξεργασίας από μια επιχείρηση ή έναν οργανισμό είναι ιδιαίτερα αυξημένοι στην εποχή του COVID-19. Και τούτο διότι η συντριπτική πλειοψηφία των παραπάνω φορέων κλήθηκε λόγω της έκτακτης και πρωτόγνωρης κατάστασης να εφαρμόσει ως κύρια πρακτική συνέχισης της λειτουργίας τους, έναν κατ’ εξαίρεση (όσον αφορά τουλάχιστον την χώρα μας) τρόπο εργασίας. Ελάχιστες όμως επιχειρήσεις και οργανισμοί ήταν προετοιμασμένες προς τούτο, γεγονός που ενισχύει την ανάγκη προσοχής που οφείλουν να δείξουν, προκειμένου να αποτρέψουν μία πιθανή παραβίαση δεδομένων και τις συνέπειες αυτής, όπως η αδυναμία πρόσβασης σε σημαντικά και κρίσιμα δεδομένα, αλλά και η πιθανότητα επιβολής διοικητικού προστίμου από την ΑΠΔΠΧ.
15 Συμβουλές για την ασφαλή εργασία από το σπίτι
- Εγκατάσταση και τακτική ενημέρωση αντιϊκού προγράμματος και “αναχώματος ασφαλείας” (firewall) στη συσκευή (π.χ. υπολογιστής, laptop κτλ.) μέσω της οποίας πραγματοποιείται η τηλεργασία.
- Εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και λειτουργικού συστήματος της συσκευής των εργαζομένων.
- Χρήση προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) με τις πλέον πρόσφατες, κάθε φορά, εκδόσεις τους. Μη τήρηση ιστορικού (ανώνυμη περιήγηση) ή διαγραφή από το ιστορικό των συνδέσμων εκείνων που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας.
- Υποστήριξη από τον φορέα διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, ιδίως όταν τηρούνται σε φορητό/αποσπώμενο μέσο αποθήκευσης (π.χ. usb stick). Ανά περίπτωση, θα πρέπει να εξετάζεται και το ενδεχόμενο κρυπτογράφησης των αρχείων και στην κυρίως συσκευή από την οποία πραγματοποιείται η τηλεργασία (H/Y, laptop κτλ.), ιδίως για δεδομένα υψηλού κινδύνου.
- Υποστήριξη, από τον φορέα, διαδικασιών λήψης αντιγράφων ασφαλείας για αρχεία με προσωπικά δεδομένα, τα οποία υφίστανται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας.
- Η χρήση VPN είναι ένα αρκετά αποτελεσματικό μέσο προστασίας. Ωστόσο, η τελική απόφαση των εφαρμοζόμενων τεχνικών λύσεων θα πρέπει να συνδυάζεται με τη φύση της εκτελούμενης εργασίας και τη σημασία των επεξεργαζόμενων δεδομένων.
- Για την αποστολή ευαίσθητων πληροφοριών προτείνεται η χρήση εφαρμογών που παρέχουν πλήρη κρυπτογράφηση (end-to-end encryption) στην επικοινωνία.
- Στο μέτρο του δυνατού, μην αναμειγνύετε δραστηριότητες εργασίας και ψυχαγωγίας στον ίδιο υπολογιστή.
- Αν πρόκειται να συμμετάσχετε σε μία τηλεδιάσκεψη μη διακινείτε τις σχετικές διευθύνσεις και οδηγίες μέσω των κοινωνικών δικτύων.
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και λογισμικό προστασίας στον εξοπλισμό σας (routers, υπολογιστές κτλ).
- Αποφύγετε την ανταλλαγή ευαίσθητων εταιρικών πληροφοριών (π.χ. μέσω ηλεκτρονικού ταχυδρομείου) μέσω πιθανώς μη ασφαλών συνδέσεων.
- Προσέξτε ιδιαίτερα με οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου σχετικά με τον COVID-19, καθώς αυτά μπορεί να είναι απόπειρες ηλεκτρονικού "ψαρέματος" ή απάτες (δείτε αναλυτικότερα παρακάτω). Σε περίπτωση αμφιβολιών σχετικά με τη νομιμότητα ενός μηνύματος ηλεκτρονικού ταχυδρομείου, επικοινωνήστε με τον υπεύθυνο ασφαλείας.
- Όλες οι εταιρικές εφαρμογές πρέπει να είναι προσβάσιμες μόνο μέσω κρυπτογραφημένων καναλιών επικοινωνίας (SSL VPN, IPSec VPN).
- Ενημερώστε τους εργαζομένους για τις ενέργειες στις οποίες θα πρέπει να προβούν για την αντιμετώπιση περιστατικών ασφαλείας και παραβιάσεων προσωπικών δεδομένων.
- Παροχή, όπου είναι δυνατόν, εταιρικών υπολογιστών / συσκευών στο προσωπικό κατά την τηλεργασία με ενημερωμένο λογισμικό ασφαλείας.
TIPS: Ενισχύστε τη διαδικτυακή ασφάλειά σας στο σπίτι
(Σύμφωνα με τις οδηγίες της EUROPOL)
- Wi-Fi: να αλλάζετε πάντα τον προεπιλεγμένο κωδικό πρόσβασης.
- Εγκαταστήστε λογισμικό προστασίας από ιούς σε όλες τις συσκευές.
- Ελέγξτε τα δικαιώματα των εφαρμογών σας και διαγράψτε όσες δεν χρησιμοποιείτε.
- Επιλέξτε ισχυρά και διαφορετικά passwords για email και προφίλ στα social media.
- Κάντε αντίγραφα των δεδομένων σας και ενημερώσεις λογισμικού.
- Ασφαλείστε τις ηλεκτρονικές συσκευές με passwords, PIN ή βιομετρικά στοιχεία.
- Ελέγξτε τις ρυθμίσεις απορρήτου των λογαριασμών των κοινωνικών μέσων.