Ανέτοιμες οι επιχειρήσεις για τον νέο ευρωπαϊκό κανονισμό προστασίας δεδομένων

Του Παναγιώτη Μαρκίδη

Οι ισχύουσες πρακτικές διαχείρισης δεδομένων δοκιμών (test data management practices), που ακολουθούνται από τις περισσότερες επιχειρήσεις κατά τη διάρκεια ανάπτυξης και ελέγχου εφαρμογών, δεν είναι επαρκείς για να καλύψουν τις απαιτήσεις συμμόρφωσης του γενικού κανονισμού για την προστασία των προσωπικών δεδομένων (General Data Protection Regulation – GDPR) της Ευρωπαϊκής Ένωσης, όπως προκύπτει από μελέτη για λογαριασμό της CA Technologies.

Μόνο ένας στους τρεις, από τα στελέχη των εταιρειών που πήραν μέρος στην έρευνα, πιστεύει ότι οι τρέχουσες πρακτικές του οργανισμού του συμμορφώνονται πλήρως με τον GDPR, ο οποίος θα επηρεάσει οποιαδήποτε επιχείρηση διαχειρίζεται προσωπικά δεδομένα Ευρωπαίων πολιτών.

Η πλειοψηφία των ερωτηθέντων από την πλευρά των επιχειρήσεων δεν ήταν απόλυτα σίγουροι ότι ο οργανισμός τους θα μπορούσε να καλύψει δύο βασικούς όρους του GDPR, γνωστούς και ως «Δικαίωμα στη λήθη» και «Δικαίωμα στη φορητότητα των δεδομένων».

«Τα προσωπικά δεδομένα, όπως αυτά ορίζονται από τον GDPR, σε συνδυασμό με τα υψηλά πρόστιμα -20 εκατ. ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου ενός οργανισμού (το μεγαλύτερο εκ των δύο )- θα πρέπει να θέσουν τα τμήματα πληροφορικής και τις ομάδες ανάπτυξης εφαρμογών σε υψηλή επιφυλακή, προκειμένου να προστατέψουν τα δεδομένα αυτά τόσο στα περιβάλλοντα ανάπτυξης όσο και σε αυτά των δοκιμών», υποστήριξε ο Jeff Scheaffer, στέλεχος της CA Technologies, η οποία αναπτύσσει λογισμικό για τoν ψηφιακό μετασχηματισμό των εταιρειών.

Η μελέτη διαπίστωσε επίσης πως οι οργανισμοί χρειάζεται να αλλάξουν τις βασικές τους διαδικασίες. Περισσότεροι από 90% των ερωτηθέντων αναφέρουν ότι ο κανονισμός θα επηρεάσει τον τρόπο με τον οποίο συλλέγουν, μεταφέρουν, χρησιμοποιούν, επεξεργάζονται, αποθηκεύουν και λαμβάνουν ή αποστέλλουν προσωπικά δεδομένα εκτός ΕΕ.

Οι μεγαλύτερες τεχνολογικές προκλήσεις, οι οποίες αναγνωρίστηκαν από το 88% των συμμετεχόντων στην έρευνα ως ένα πιθανό ρίσκο στη συμμόρφωση με τον GDPR, συμπεριλαμβάνουν:

-Άναρχη αποθήκευση ευαίσθητων δεδομένων, χωρίς διαδικασίες ταξινόμησης και κατηγοριοποίησης.

-Πολλαπλά αντίγραφα δεδομένων παραγωγής αποθηκευμένα σε όλο το εταιρικό δίκτυο.

-Αμφισβητούμενες πρακτικές ανάπτυξης κώδικα ή ελάχιστα κατανοητά μοντέλα δεδομένων.

-Κατανομή των δεδομένων δοκιμών σε πολλαπλά προσωπικά μηχανήματα δοκιμών.

Προκειμένου να ανταποκριθούν στην προθεσμία συμμόρφωσης στον GDPR της 25ης Μαΐου του 2018, εννέα στους δέκα δήλωσαν ότι θα χρειαστεί να επενδύσουν σε νέες τεχνολογίες και υπηρεσίες οι οποίες περιλαμβάνουν κρυπτογράφηση, analytics και reporting και τεχνολογίες διαχείρισης δεδομένων δοκιμών.