News, articles, legislation and analysis, all about data protection and cybersecurity technologies

EDPB: Interplay between the ePrivacy and the GDPR European Data Protection Board released Opinion 5/2019

Annual Report: 2018 was a busy year for the EDPS – First annual report of European Data Protection Supervisor

Overview: Nine months after GDPR entry – EDPB Releases Overview on the Implementation and Enforcement of the GDPR

Cookies: Dutch DPO released guidance for free access to webpages content unconditioned by cookies acceptance – Websites must remain accessible when refusing to track cookies

Research: 85% of organisations suffered phishing and social engineering attacks last year – according to an Accenture cybercrime study.


Infographic of the week – Secure by Design Infographic available in Press Quality for download:  

EDPB Opinion 5/ 2019

The interplay between the ePrivacy and the

In December 2018, the Belgian Data Protection Authority requested the European Data Protection Board to examine and issue an Opinion on the interplay between the GDPR and the ePrivacy Directive, in particular regarding the competence, tasks and powers of data protection authorities.

EDPB considers that these questions concern a matter of the general application of the GDPR, as there is a clear need for a consistent interpretation among data protection authorities on the boundaries of their competences, tasks and powers.

Clarification is particularly needed to ensure, amongst others, a consistent practice of mutual assistance in accordance with article 61 of the GDPR and joint operations in accordance with article 62 of the GDPR.


EDPS Annual Report

First annual report of the European Data Protection Supervisor

2018 was a busy year for the EDPS and a pivotal year for data protection in general. Under new data protection rules, the rights of every individual living in the EU are now better protected than ever, the European Data Protection Supervisor (EDPS) said today, as he presented his 2018 Annual Report to the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE).

Giovanni Buttarelli, EDPS, said: Data protection hit the headlines in 2018. Public awareness about the value of online privacy is at an all-time high, while concern about the abuse of personal data by online service providers remains a topic of enquiry for governments around the world. In the EU, new rules on data protection go a long way towards addressing concerns, but more is required. Agreement on a new ePrivacy Regulation is urgent, but in the digital world, we also need to look beyond rules and regulations. Through initiatives focused on digital ethics and greater regulatory cooperation, the EDPS is determined to play a decisive part in shaping the digital future in the EU and further afield.

The 2018 Annual Report provides an insight into all EDPS activities in 2018. Chief among these were our efforts to prepare for the new legislation. The General Data Protection Regulation (GDPR) became fully applicable across the EU on 25 May 2018 and new data protection rules for the EU institutions are also now in place. Working with the new European Data Protection Board (EDPB), the EDPS aims to ensure consistent protection of individuals’ rights, wherever they live in the EU. Key figures for 2018:

  • 30 training sessions provided for EU institutions and bodies
  • 90 prior check Opinions issued (80% relating to EU administrative procedures)
  • 5 inspections
  • 3 visits to EU institutions
  • 11 Opinions issued on legislative proposals
  • 13 Formal Comments issued on legislative proposals


EDPB Overview

Nine months after GDPR entry

On February 26, 2019, the European Data Protection Board (the “EDPB”) presented its first overview of the GDPR’s implementation and the roles and means of the national supervisory authorities to the European Parliament (the “Overview”).

Nine months after the entry into application of the GDPR, the members of the EDPB are of the opinion that”the GDPR cooperation and consistency mechanism works quite well in practice. The national supervisory authorities make daily efforts to facilitate this cooperation, which implies numerous exchanges (written and oral) between them. These cooperation duties lead to extra workloads, additional time dealing with cases and have an impact on the budget of the regulators.”

Cooperation Mechanism – The GDPR requires close cooperation between SAs of EEA (EU-28 + Iceland, Norway and Liechtenstein) in cases implying a cross-border component and supports this by using the following tools: ¾ the mutual assistance, ¾ the joint operation, ¾ the One-Stop-Shop cooperation mechanism, which introduces the obligatory intervention of a Lead Supervisory Authority for the cross-border cases. Here are a few statistics outlined on Hunton Privacy Blog ( ):

  • 642 procedures have been initiated to identify the lead DPA and concerned DPAs in cross-border cases. 306 of these procedures have concluded with the lead supervisory authority identified.
  • 30 different DPAs have registered a total of 281 cases with cross-border components in the Internal Market Information system– an IT system that provides a method of information sharing among supervisory authorities. The main topics of these cases relate to the exercise of individual rights, consumer rights and data breaches.
  • 45 one-stop-shop procedures were initiated by DPAs from 14 different EEA countries — 23 cases are currently at the informal consultation stage, 16 are at the draft decision stage and 6 cases have been finalized.
  • 444 mutual assistance requests, both formal and informal, have been triggered by DPAs from 18 different EEA countries.

Consistency Mechanism – One of the main tasks of the EDPB is to ensure the consistent application of the GDPR. One opportunity to ensure consistency is to provide general guidance on the interpretation of the GDPR, which will contribute to a common understanding and application of the provisions by the stakeholders, the supervisory authorities and the public in general. Since 25 May 2018, the EDPB has endorsed 16 guidelines prepared by the Article 29 Working Party (predecessor of the EDPB) and has adopted 5 additional guidelines. Another opportunity is to adopt consistency opinions and decisions. These decisions mainly address the national supervisory authorities and ensure a consistent application and enforcement of the GDPR.

  • The EDPB has adopted 28 consistency opinions regarding the national lists of processing subject to a data protection impact assessment.
  • The EDPB also has adopted a consistency opinion on a draft administrative arrangement for the transfer of personal data between financial supervisory authorities.
  • The EDPB is currently working on further consistency opinions and procedures relating to the interplay between the GDPR and the ePrivacy Directive, binding corporate rules and a draft standard contract between data controllers and data processors.

Budget and Human Resources

  • 23 DPAs reported an increase in their regulatory budgets for 2018-2019.
  • Three DPAs reported no increase in budget while two DPAs reported a decrease.
  • With respect to human resources, 17 DPAs reported an increase in headcount for 2018-2019, while eight reported no change and one DPA reported a decrease in personnel.

Implementation and Enforcement of the GDPR at National Level

  • The total number of cases reported by DPAs from 31 EEA countries totalled 206,326 with 94,622 of these comprising complaints and 64,684 initiated on the basis of data breach notification by controllers.
  • 52% of the above cases have concluded while 1% are being challenged before national courts.
  • DPAs from 11 EEA countries reported imposing administrative fines under the GDPR totalling €55,955,871.
  • The Overview concludes by noting that members of the EDPB view the GDPR as working well in practice and that the workload of DPAs is manageable due to thorough preparation for the GDPR over the past two years.



Dutch DPO released guidance for free access to webpages content unconditioned by cookies acceptance

One of the most important legal basis processing personal data under GDPR is the consent — which should be specific, informed and freely given in order for it to be valid under the law. Many websites are conditioning web pages browsing by implicit accept of Cookies policy, what is representing a serious lack of compliance with GDPR consent rules.

After receiving dozens of complaints from internet users who had had their access to websites blocked after refusing to accept tracking cookies, the Dutch data protection agency released a few days ago a Guidance related to this issue.

According to this guidance website that only give visitors access to their site if they agree to place so-called ‘tracking cookies’ or other similar ways of monitoring and recording behaviour through software or other digital methods, do not comply with the General Data Protection Regulation.

“The digital tracking and recording of Internet surfing behaviour via tracking software or other digital methods are one of the largest processing of personal data because virtually everyone is active on the internet. To protect privacy, it is therefore important that parties request permission from website visitors “, says Aleid Wolfsen, chairman of the Dutch DPA. “In this way, people can deliberately and appropriately use their right to the protection of personal data. If a website is asked for permission for tracking cookies and if it is not possible to access the website or service if they refuse access to the website or service, people under pressure will receive their personal data and that is unlawful. “

With so-called ‘cookie walls’ on websites (no permission means no access), the permission is not given freely, because website visitors do not get access to the website without giving permission. On the basis of the GDPR permission is not ‘free’ if someone has no real or free choice. Or if the person can not refuse giving permission without adverse consequences. With the announcement of this explanation of the standard, the organizations involved are instructed to adjust their practice where necessary. The DPA sent a letter to the organizations to which it received the most complaints with the standard explanation, announcing also that it will intensify the audit in the coming period to see whether the standard is applied correctly in the interest of protecting privacy.

“Cookie walls are non-compliant with the principles of consent of the GDPR. Which means that any party with a cookie wall on their website has to be compliant ASAP, whether or not we will check that in a couple of months, which we certainly will do.” stated a Dutch DPA member. According to a TechCrunch article named ”Cookie walls don’t comply with GDPR, says Dutch DPA”, even the cookie wall on the official European Internet organization site looks like a textbook example of what not to do — given the online ad industry association is bundling multiple cookie uses (site-functional cookies; site-analytical cookies; and third-party advertising cookies) under a single “I AGREE” option. 

The website does not offer visitors any opt-outs at all. If the user does not click “I  AGREE” they cannot gain access to the IAB’s website. So there’s no free choice here. You have to agree with imposed cookies or leave. The main problem here is a clear contradiction between GDPR consent spirit and former rules covered by the ePrivacy Directive from 2002, which is be expected to be released also as ePR EU Regulation. According to the Recital 25 from ePrivacy Directive: “Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device if it is used for a legitimate purpose.” But we don’t have to forget other GDPR consent golden rules as granularity and an opt-out option.

Many website cookies bar show a single box acceptance for all cookies categories, and the big majority didn’t offer an opt-out check-box alternative or simple button to close cookies windows… More clear explanations about this could be found on one of the official EU websites.  Here, on the EU Commission EU Internet Handbook, we can find an explanation about Cookies policy in Europe.

According to the site, „EUROPA websites must follow the Commission’s guidelines on privacy and data protection and inform users that cookies are not being used to gather information unnecessarily. The ePrivacy directive – more specifically Article 5(3) – requires prior informed consent for storage or for access to information stored on a user’s terminal equipment. In other words, you must ask users if they agree to most cookies and similar technologies (e.g. web beacons, Flash cookies, etc.) before the site starts to use them. For consent to be valid, it must be informed, specific, freely given and must constitute a real indication of the individual’s wishes.” Hmm. This seems to be more close to the GDPR free consent spirit. And the things become more serious reading the steps proposed for the cookies use in Europe: “The use of cookies on EUROPA is allowed under certain conditions. You should take the following steps.

  • Ask yourself whether the use of cookies is essential for a given functionality and if there is no other, non‑intrusive alternative.
  • If you think a cookie is essential, ask yourself how intrusive it is: what data does each cookie hold? Is it linked to other information held about the user? Is its lifespan appropriate to its purpose? What type of cookie is it? Is it a first or a third‑party setting the cookie? Who controls the data?
  • Evaluate for each cookie if informed consent is required or not:
  • first‑party session cookies DO NOT require informed consent.
  • first‑party persistent cookies DO require informed consent. Use only when strictly necessary. The expiry period must not exceed one year.
  • all third‑party session and persistent cookies require informed consent. These cookies should not be used on EUROPA sites, as the data collected may be transferred beyond the EU’s legal jurisdiction.
  • Before storing cookies, gain consent from the users (if required) by implementing the Cookie Consent Kit in all the pages of any website using cookies that require informed consent.
  • Inform users about the use of cookies in a plain, jargon‑free language in a dedicated “cookie notice” page linked from the service toolbar of the standard templates. This page should explain:
  • why cookies are being used, (to remember users’ actions, identify users, collect traffic information, etc.)
  • if the cookies are essential for the website or a given functionality to work or if they aim to enhance the performance of the website
  • the types of cookies used (e.g. session or permanent, first or third‑party)
  • who controls/accesses the cookie‑related information (website or third‑party)
  • that the cookie will not be used for any purpose other than the one stated
  • how users can withdraw consent

If the issues are not very clear yet, we have an example on the same website: a webpage capture with a three-point legend:

  • 1)    The cookie header banner displayed on all pages of a site using cookies that require informed consent.
  • 2)    A link to the specific cookie notice page is also available.
  • 3)    This element of the page will only display its content once the user chooses to accept the site’s cookies.



85% of organisations suffered phishing and social engineering attacks last year

Last year 85% of organisations experienced phishing and social engineering attacks and 76% suffered web-based attacks, according to the Ninth Annual Cost of Cybercrime Study, published by Accenture and Ponemon Institute.

Malware and web-based attacks were the most expensive at $2.6 million and $2.3 million respectively. Accenture says these two types of a cyber attack “represented a third of all cybercrime costs globally last year”.

However, the biggest jump in costs came from malicious insiders: last year, insider attacks cost each organisation $1.6 million on average, a 15% increase in 2017. Other key findings of the research are related to:

  • the average number of security breaches in the last year grew by 11 percent from 130 to 145.
  • the average cost of cybercrime for an organization increased US$1.4 million to US$13.0 million.
  • total value at risk of $US5.2 trillion globally over the next five years.











La 1 an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Evenimentul va avea loc pe data de 21 mai 2019 la hotelul Pullman din București.

Ne apropiem vertiginos de aniversarea unui an de când discutăm despre GDPR ca despre o realitate concretă, pentru mulți un coșmar, pentru alții o oportunitate… Din câte am putut constata până acum, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare.

Mai 2018 a fost punctul de plecare pentru noile reguli care se aplica pentru protecția datelor personale. Toate organizațiile – companii, instituțiile de stat, asociații si fundații – care prelucrează date personale au adoptat noi proceduri, au investit in echipamente de securitate, in cursuri, au angajat DPO, toate pentru a fi conforme cu GDPR .

Ce am învățat din practică în această perioadă? Ce nu s-a făcut prea bine? Ce ar mai fi de făcut? Și în special, care sunt noile provocări cu care ne confruntăm? Cum se poate verifica conformitatea?  Sunt doar câteva dintre cele mai importante întrebări la care împreună cu invitații la eveniment vom încerca să găsim cele mai bune răspunsuri.

Panelurile de discuții pe care le-am gândit pentru acest eveniment vor avea ca invitați în calitate de speaker reprezentanți ai autorităților publice, asociațiilor patronale, avocați, consultanți, furnizori de soluții de securitate cibernetica sau alte servicii în domeniul tehnologiei digitale.

Împreună cu acești experții și cu participanții vor încerca să dezbatem problemele de care ne-am lovit în eforturile legate de adoptarea cerințelor de conformitate GDPR. Participanții la eveniment vor putea adresa întrebări pe tot parcursul conferinței, dar le pot transmite organizatorilor și în avans, în momentul înscrierii.

Înregistrați-vă la conferință și veți avea ocazia de a comunica direct si de a construi relații de afaceri cu oamenii care lucrează in acest domeniu. Veți putea discuta aspecte practice si mai ales, ce ar mai fi de făcut pentru conformitatea  cu legislația în domeniu, dar și cu cele mai bune practice de implementare. Veți putea aborda subiecte mai puțin discutate, pe care cursurile și alte conferințe poate nu le-au abordat.

Pe site-ul oficial al evenimentului de la adresa: veți putea găsi o Agendă actualizată și deja vă puteți înregistra.

Aveți un interes special pentru GDPR? Vreți să știți ce s-a făcut bine anul ăsta și ce nu? Aveți întrebări la care nu a știut nimeni să vă răspundă? Veniți la eveniment și veți putea discuta cu cei care știu…

Nu uitați să vă marcați data în calendar și să vă înregistrați!


Despre Concord Communication

Specializata in organizarea de evenimente B2B – o importanta componenta in cadrul relațiilor publice, Concord Communication a organizat pentru prima data in România evenimente private pe tema GDPR.  Pe parcursul anului 2017,  a organizat trei astfel de evenimente in cadrul cărora a dezbătut noile prevederi ale Regulamentului General de Protecție a Datelor Personale.

Gasiti in linkul de mai jos  fotografii si alte detalii despre evenimentele anterioare pe tema GDPR (derulati in jos pentru a vedea cele trei evenimente organizate de noi)

Despre GDPR Ready

GDPR Ready!  este o platformă deschisă de know-how pentru toți cei preocupați de asigurarea conformității cu Regulamentul UE 679/ 2016. Pentru operatorii de date personale alinierea la cerințele GDPR presupune un proces complex, ce începe cu maparea datelor, înțelegerea fluxurilor de informații și scanarea proceselor de business. Prin GDPR Ready! aveți acces la resursele esențiale pentru înțelegerea implicațiilor noului Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică in cele mai bune condiții.





News, articles, legislation and analysis, all about data protection and cybersecurity technologies

Reports: 56% increase in the total number of complaints received by Irish data protection authority – according to the Annual Report 25 May – 31 December 2018 published by DPC

Research: Cybersecurity and risk management among top priorities for 2019 – according to research conducted by Computer Weekly/TechTarget

Data Breaches: 692,853,046 records leaked during data breaches and cyber-attacks in February 2019 – according to an IT Governance article

Guidelines: Assessing the proportionality of measures that limit the fundamental right to privacy stakeholder’s consultation launched by EDPS until 4th of April

Technology: Dublin is now Europe’s largest data hosting cluster – Capacity of Irish data centres to double in next four to five years, says the report

Graphic of the Week: A Layered Approach of Cybersecurity  

Source: The Cyber-security Hub


56% increase in the total number of complaints received by Irish data protection authority

Irish data protection authority launched this week the first annual report of the new Data Protection Commission (DPC) covering the period 25 May to 31 December 2018.

Highlights of the 2018 Annual Report include:

  • 2,864 complaints received. In total, 4,113 complaints were received in the 2018 calendar year representing a 56% increase in the total number of complaints (2,642) received in 2017.
  • 3,542 valid data security breaches notified. In total, 4,740 valid data security breaches were notified in the 2018 calendar year representing a 70% increase on the total number of valid data security breaches (2,795) recorded in 2017.
  • 136 cross-border processing complaints were received by the DPC through the new One-Stop-Shop mechanism that was lodged by individuals with other EU data protection authorities.
  • 15 statutory inquiries (investigations) were opened in relation to the compliance of certain technology companies with the GDPR.
  • 900 Data Protection Officer Notifications were received by the DPC.
  • Staffing numbers increased from 85 at the end of 2017 to 110 at the end of 2018.

Commenting on the impact the introduction of GDPR has had, the Data Protection Commissioner, Helen Dixon stated: “Although we are still in the stage of having to bust some myths and misunderstandings that have built up around the GDPR, we feel very optimistic about the improvements we will see in Ireland in personal-data-handling practices over the next few years.” READ HERE THE FULL REPORT ANNOUNCEMENT  


Cybersecurity and risk management among top priorities for 2019

According to the 2019 Computer Weekly/TechTarget, IT Priorities survey cybersecurity and risk management are among the top investment priorities.

Cybersecurity and risk management (32%) is second only to IT automation (33%) in Europe, the Middle East and Africa (EMEA), followed by cloud migration (29%), when it comes to the broad initiatives 1,578 IT decision-makers in the region plan to implement, The focus on cybersecurity and risk is further underlined by the fact that budget is expected to increase in this area by 39% of EMEA respondents, while 34% expect security budgets to increase in the UK. The increased emphasis broadly on cybersecurity and risk driven by data protection concerns is also reflected in the fact that data governance is the third most highly ranked information management initiative, planned by 33% of EMEA respondents and second most highly ranked in the UK (39%).

The growing recognition by the business of the importance of application security in reducing cyber risk and improving data security is reflected in the fact that 20% of EMEA respondents and 21% in the UK plan to deploy continuous testing as a software development initiative in 2019. While security remains a key area of focus, the survey shows there has been a shift in priorities in the past year, with data loss prevention (DLP) falling from top priority in 2018 to fifth in this year’s rankings, with just 26% of EMEA respondents planning to implement DLP compared with 55% a year ago.

Topping the EMEA security initiative rankings in 2019 is email security (28%), followed by identity and access management (27%) and user security training (27%). This shift in focus shows an increased recognition of the fact that email continues to represent one of the top ways cyber attackers are compromising enterprise security and the continued importance of employees as an organisation’s first line of cyber defence. MORE ABOUT RESEARCH HERE  

Data Breaches

List of data breaches and cyber-attacks in February 2019 – 692,853,046 records leaked – according to IT Governance 

The shortest month of the year is over in a flash, but not before a significant number of data breaches and cyber-attacks could take place.

The total of leaked records in February is 692,853,046, enlarging the 2019’s total to 2,462,038,109. A simple statistic evaluation shows that’s roughly 30,000 records per minute so far this year…

Anyone is interested could subscribe to Daily Sentinel to receive daily updates on the latest data breaches and cyber-attacks



Assessing the proportionality of measures that limit the fundamental right to privacy 

As the independent advisor to the EU institutions and bodies under Regulation (EU) 1725/2018 on all matters concerning the processing of personal data, the European Data Protection Supervisor ( EDPS) intends to issue Guidelines for assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.

The Guidelines will complement the EDPS Necessity Toolkit and specify, having regard to the fundamental right to the protection of personal data enshrined under Article 8 of the Charter, the more wide-ranging guidance by the Commission and the Council to check compatibility of legislative measures with the Charter of Fundamental Rights of the European Union.

Before issuing the Guidelines in their final version, the EDPS is launching a stakeholders’ consultation on the draft version of the Guidelines, which you can find hereunder. The deadline for receiving your input is 4 April 2019.

The replies to the consultation should be sent to the Policy and Consultation Unit of the EDPS: READ FULL INFO HERE  


Dublin is now Europe’s largest data hosting cluster – Capacity of Irish data centres to double in next four to five years says the report

Dublin is now Europe’s largest data hosting cluster, surpassing London with 25 per cent of the European market, according to a new report, which also shows that more than €1 billion was spent on data centres in Ireland last year.

The report from Host In Ireland, a strategic global initiative created to increase awareness of the benefits of hosting digital assets here, and Bitpower, a digital information provider, shows that there were 53 data centres in operation in the State at the end of 2018, with a capital investment spend of over €1 billion in 2018. A further spend of some €1.3 billion is expected in 2019. Ireland has become an increasingly popular location for data centres of global technology firms, with Facebook opening a facility in Clonee, Microsoft ramping up construction in Grange Castle, and Amazon Web Services building in Clonshaugh and Tallaght.

According to the report, some 16 data centres became operational over the course of 2018 with a further 28 in development, “the highest level of activity we’ve seen yet”. In total, there are 53 data centres here with “hyper-scale”, which typically have a minimum of 5,000 servers and are at least 929sq m  in size, but often much larger, accounting for 72 per cent of the market.

At the end of 2018, there were about three million square feet of data centre space in the Dublin Metro area, and according to the report, “indications are that this capacity will double in four to five years” with a spend of about €4 billion over the coming four years.

We expect 2019 to bring continued growth as Ireland continues to build its reputation”, said Garry Connolly, president and founder of Host in Ireland. Figures from the IDA show that the hosting industry had created about 2,800 jobs in Ireland as of May 2018, a figure that is expected to continue to rise.


Iată un interviu publicat de revista Market Watch în primul număr din acest an. Cu ocazia ”Zilei protecției datelor” aniversată în întreaga Europă pe data de 28 ianuarie, am avut plăcerea să răspund la câteva întrebări legate de realitățile adopției GDPR după 7 luni de la intrarea în vigoare. Cum ne apropiem vertiginos de momentul ”1 an de GDPR”, iar lucrurile nu s-au schimbat prea mult de la sfârșitul lui ianuarie, redau mai jos discuția cu Mona Muscă.

La 7 luni de la data de 25 mai 2018, când legislația europeană în domeniu a devenit mai strictă, care este statusul în privința conformității cu GDPR al companiilor din România?
Privind din perspectivă regională, România nu oferă un statut special, diferit față de alte țări ale UE. Trebuie să ținem cont, bineînțeles, de specificul local legat de statutul economic și peisajul juridic, însă entitățile de afaceri din România se confruntă cu aceleași provocări cheie precum orice altă țară a UE. Ceea ce este important pentru orice verificator în privința datelor cu caracter personal este înțelegerea faptului că problematica GDPR nu ar trebui tratată ca o calamitate. Efectuând eforturi coordonate pentru a se alinia la standardele de conformitate coordonate de principiile GDPR, orice organizație ar trebui să adopte schimbările necesare în procesele de afaceri ca un motor al transformării afacerii. Și din această perspectivă apare drama. Potrivit cercetărilor mele și a unei interacțiuni permanente cu realitățile pieței, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare/disruptivă.

Confidențialitatea, integritatea și disponibilitatea datelor sunt principalele motoare ale politicilor de securitate a datelor. Credeți că se aplică după experiența din 2018?
Privind la unul dintre cele mai importante obiective ale noului Regulament al UE, conformitatea cu GDPR ar trebui să merite în primul rând din punct de vedere al drepturilor fundamentale de libertate ale oricărui cetățean al UE și sub aspectul consolidării încrederii în viața privată a datelor. Trebuie să învățăm cum să avem respect față de datele noastre, cum să le protejăm, pentru ca aceste date să ne confere libertate de mișcare în cea mai mare siguranță. Aceasta este una dintre paradigmele GDPR. Cealaltă este construirea unei culturi a datelor cu caracter personal. Un proiect de adoptare GDPR nu este o implementare IT simplă sau o actualizare a conținutului contractual pentru a se potrivi noului cadru legal. Un proiect de adoptare a GDPR ar trebui în primul rând să creeze baza pentru implementarea culturii GDPR. La fel ca în industria securității cibernetice (cybersecurity), nu am avut o soluție 100% sigură. Orice zid tehnologic nou a fost făcut să fie spart … În aceeași filozofie este practic imposibil să te consideri 100% conform GDPR. Dar pentru a te apropia mai mult de acest ideal, trebuie să construiești o cultură GDPR. Și pentru asta avem nevoie de timp. Trebuie să creăm o cultură de încredere, de confidențialitate în organizația noastră. Trebuie să educăm angajații cu privire la importanța și impactul protejării clienților, a angajaților și a informațiilor partenerilor, precum și în privința înțelegerii rolului cheie pe care îl joacă oricine, prin menținerea siguranței.

Înțeleg că înainte de orice trebuie să construim încredere …
Cam despre asta e vorba. Iar printre principalii driveri în construirea încredererii într-o cultură GDPR fiabilă sunt:
• Dacă colectați, protejați.
• Respectați măsurile de securitate rezonabile pentru a păstra informațiile personale ale persoanelor fizice în siguranță de la accesul necorespunzător și neautorizat.
• Fiți transparenți și etici în privința modului în care colectați, utilizați și distribuiți informații personale.
• Gândiți-vă la modul în care persoana individuală se poate aștepta ca datele sale să-i fie utilizate și la setările necesare pentru a-i proteja informațiile din start.
• Construiți încrederea făcând ceea ce spuneți că veți face.
• Comunicați clar și concis publicului politica dvs. de confidențialitate, publicați-o pe pagina dvs. web și actualizați Termenii și condițiile și Politicile cookie-urilor în acord cu spiritul GDPR.

Care este locul protecției datelor în cadrul strategiei de securitate cibernetică? Sunt conștienți managerii și angajații companiilor? Este omul factorul critic în această ecuație?
Transformarea esențială pe care o aduce GDPR-ul este legată de faptul că trebuie să reconsiderăm strategia de securitate cibernetică. Centrul datelor nu mai este protecția datelor. Avem nevoie de asigurarea ciclului de viață pentru întregul flux de date cu caracter personal. Trebuie să extindem eforturile noastre de protecție de la datele de business la întregul flux de date personale dintr-o companie, de la colectarea de date, procesarea simplă, stocarea locală, criptarea datelor, schimbul de date și instrumentele de comunicare, transferul datelor internaționale, până la arhivarea datelor și stocarea finală.
Rezumând, avem nevoie de soluții end-to-end. Iată diferența dintre conceptele foarte specifice ale evaluării impactului asupra vieții private (PIA – Privacy Impact Assessment) și conceptul mai amplu al evaluării impactului asupra protecției datelor (DPIA – Data Protection Impact Assessment).

Totul se referă la conformitate/compliance. Dar este acum o lume mai sigură?
„Conformitatea/compliance” este un termen folosit de 85 de ori în conținutul Regulamentului UE. Ce este cu adevărat conformitatea? În diferitele etape, controller-ul de date sau procesorul de date trebuie să demonstreze că desfășoară orice activitate legată de protecția datelor cu caracter personal, respectarea principiilor (articolul 5c.2), numirea unui RPD (articolul 37), alinierea la o analiză a riscurilor sau o DPIA (articolul 35), adoptarea protecției datelor prin proiectare (articolul 25), registrele activității de prelucrare (articolul 30) sau sistemul de gestionare a breșelor datelor (articolul 33, 34). Deci, practic, trebuie să dovedim această conformitate prin orice proces, politică sau procedură adoptată.

Ce schimbări a dus legislația privind protecția datelor la tendința spre cloud?

Aici este ceva chiar amuzant. Cloud computing-ul a fost perceput de la început ca o tehnologie perturbatoare. Acum trebuie să analizăm cât de disruptiv este GDPR pentru serviciile cloud. Vestea bună este că din punct de vedere al protecției datelor Cloud-ul nu este o problemă. Atâta timp cât termenii contractuali respectă principiile, avem o bază juridică pentru servicii, răspunderea este asumată în mod transparent, iar persoanele vizate sunt îndeajuns de informate cu privire la condițiile de procesare și stocare a datelor lor, totul fiind în concordanță.
În funcție de tipurile de servicii oferite, un furnizor de cloud poate fi considerat un procesor de date simplu (găzduire și hosting fără gestiune) sau un furnizor privat, public sau hibrid. Din punct de vedere al protecției datelor și al caracteristicilor de securitate, este binecunoscut faptul că un serviciu de cloud ar putea fi considerat o soluție de siguranță prin transferarea responsabilităților de protecție a datelor către furnizorul de servicii cloud.
Să ne reamintim că Alianța pentru Securitate în Cloud a stabilit acum doi ani un Cod de Conduită referitor la problemele de securitate a serviciilor cloud oferind furnizorilor din cloud o resursă foarte valoroasă pentru a demonstra conformitatea prin adoptarea acestui Cod de Conduită.

In piața românească care sunt cei mai importanți factori de risc legați de adoptarea GDPR?
Aici intrăm într-o zonă „50 grey shadows”. Debutul oricărui proiect de aliniere este organic legat de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Conducerea trebuie să conducă activitățile, să înființeze o echipă, să delege o persoană responsabilă și, îndeosebi, să planifice resurse. Asta înseamnă să te implici. Orice analiză sau audit de afaceri, care reprezintă primul pas în realizarea unui proiect de asigurare a conformității, se referă la nivelul de implicare managerială. Sunt managerii direct implicați, participă la discuții sau deleagă o persoană de încredere care să se ocupe de tot?
Ce situații s-ar putea întâmpla de fapt? Toți pașii implementării până în prezent au fost, în majoritatea cazurilor, sub impulsul presiunii externe și rareori rezultatul convingerii reale a conducerii. Din păcate, există încă mulți manageri care consideră GDPR: o prostie, un exercițiu simplu birocratic, o amenințare cu sancțiuni uriașe care nu vor pune niciodată în pericol organizația noastră, o mulțime de bani aruncați, un mare bluf: niciunul dintre amici sau parteneri nu a făcut nimic pentru asta, și nu i s-a întâmplat nimic. Și lista ar putea continua mult și bine…

Aici poate fi citit articolul original ”Evoluția adopției GDPR la șapte luni de la lansare” publicat de Market Watch pe 14 februarie