GDPR a gyakorlatban - Az eltűnt pendrive esete

Eltelt egy év a GDPR rendelet hatályba lépése óta - és a Föld forog tovább! Volt értelme a tavalyi mizériának? Mi változott? Egyszerű, hétköznapi esettanulmányokkal próbálunk rávilágítani arra, mi lett volna ha …

Az eltűnt pendrive esete Az adatvédelmi incidenseknél nem csak a facebook méretű kiszivárogtatási botrányokban kell gondolkodnunk. Sokkal hétköznapibb esetek fordulnak elő a mindennapokban. (FRISS HÍR a cikk végén!) Régi barátom keresett meg: ajánljak neki egy megbízható pendrive típust. Korábban gyakran segítettem neki a TETFOG havi jelentésekben és a mentések elvégzésében, jó ideje egy 8 GB-os Kingstont használtunk. - Betelt? - kérdeztem meglepődve. - Nem, eltűnt. - válaszolta a telefonban rezignáltan. - Jelentetted? - Mit? Kinek? -lepődött meg most ő

- Lehet, hogy csak valamelyik fiók alján lapul! Amikor elmondtam neki, hogy tavaly május óta az ilyen „adatvédelmi incidenseket”, ha fennáll az adatok megsemmisülésének, vagy illetéktelen kezekbe kerülésének veszélye, 72 órán belül be kell jelenteni a NAIH-nak, különben komoly bírságra lehet számítani - gondolkodóba esett. Hallottam a hangján, hogy ez számára újdonság. Elmondta, hogy már mindent tűvé tettek a rendelőben és otthon is (gyakran hordta haza), de egyelőre nem találják. Igazából az se kizárt, hogy valahol kiesett a táskájából. Megnyugtatására gyorsan végeztem egy hevenyészett számítást: kb. mennyi lehet a számára legkedvezőtlenebb eset bekövetkezésének valószínűsége?

Esemény Valószínűsége Halmozottan val. %

Elhagyta (nem a fiókban lapul) 50% 0,5

Valaki megtalálta 25% 0,5*0,25=0,125

A tartalom felkeltette a figyelmét 10% 0,125*0,1=0,0125

Talált feltörő programot és sikerült az adatbázis hackelése 50% 0,0125*0,5=0,00625

Megfordult a fejében, hogy az adatok valamire felhasználhatók 50% 0,000625*0,5=0,003125

Visszaél a helyzettel (felhasználja, vagy értékesíti az adatokat,

megzsarol, vagy bejelent) 10% 0,003125*0,1=0,0003125 %

A 0,03 % (3 század százalék) nem sok, de nem is nulla (ha a becslések nem túl durvák, akkor 3.000 hasonló esetből 1 végződne balul)! Rossz esetben a pendrive és rajta kb. 6 ezer fős címlista, lakcímekkel, telefonszámokkal, TAJ számokkal, egészségügyi adatokkal kerülhetett illetéktelen kezekbe. Ha ez valóban a fekete forgatókönyv szerint zajlik le, minden bizonnyal kellemetlen következménnyel járna. Mit tehetett volna? Ha idejében átvilágíttatja adatkezelési gyakorlatát, mi javasoltuk volna, hogy a régi pendrive-ot cserélje le egy titkosított kivitelre. Így 10 ezer forintos ráfordítással egyszer s mindenkorra megoldotta volna ezt a problémát, teljes nyugalommal hátradőlhetett volna: biztonsági kockázat az eltűnéssel nem keletkezik, és őt nem terheli felelősség.