Avertisment: Modelul de aplicație este unul generalist cu posibilități foarte mari de extensibilitate și adaptabilitate la specificul oricărei companii.

În acest articol este prezentat un model de aplicație suport pentru implementarea și menținerea normelor GDPR în cadrul companiilor de diferite dimensiuni. El este construit pe platforma SharePoint din Office 365, planul Enterprise (implică utilizare de formulare de business) dar poate fi replicat și în mediul Intranet (SharePoint on Premises).

Modelul implementat este unul generalist, dar foarte extensibil și nu folosește cod compilat, bazându-se exclusiv pe funcționalitățile standard ale SharePoint (InfoPath + Liste). Aceasta metodă aduce avantajul personalizării și adaptării aplicației la specificul fiecărei companii la costuri mult mai reduse.

Orice propunere de îmbunătățire este bine venită. Pentru acces la varianta Demo, vă rog să mă contactați în privat de pe o adresă de companie. Expertiza GDPR este asigurată de dl. Adrian Munteanu.

Big picture

Implementarea și menținerea GDRP este un proces la nivelul întregii organizații, pe toată durata sa de funcționare. Pentru cei speriați de concept, majoritatea elementelor din GDPR trebuiau asigurate și până acum, sau o parte din ele ar trebui să se regăsească în instituțiile care au certificarea ISO9001 sau ISO27001.

Nomenclatoare suport

GDPR înseamnă la începutul implementării colectarea unui număr semnificativ de informații despre propria organizație. În majoritatea companiilor pe care le cunosc există tot felul de proceduri și regulamente care ne pot ajuta la colectarea acestor date. Cel mai important lucru este ca acestea să fie fidele.

Pentru completarea formularelor avem nevoie ca datele să fie cât mai omogene iar acest lucru se poate face doar dacă vom reuși să impunem utilizatorului final posibilitatea detaliată de a selecta datele colectate din liste.

Modelul de aplicație presupune utilizarea a unui număr de 8 liste predefinite de date:

• Structura – Se referă la structura organizatorică a companiei, la ora actuală pornit de la Business Unit plus 3 niveluri de ierarhizare. Multe companii folosesc forme diferite de nume pentru subdiviziuni, de aceea am preferat să le numim doar Nivel1, 2, 3. Fiecare subdiviziune reprezintă o nouă ramură în structură având propriul său cod, care poate ajuta la completarea mai rapidă a formularelor. Completarea structurii organizatorice ar trebui realizată de Management.;
• Date cu caracter personal – O listă de date generale cu caracter personal, structurate pe categorii, care ne vor ajuta mai târziu la completare formulare. Modelul de aplicație pune la dispoziția utilizatorilor un număr de 83 de date cu caracter personal grupate în mai multe categorii. Revizia acestor date se poate realiza de Legal sau în momentul completării formularelor de către DPO;
• Documente colectate – O listă nomenclator cu un număr de 21 tipuri diferite de documente care ar putea fi colectate. Exemple: CI, Pașaport, CV, Diplome, certificate, fotografie și alte documente purtătoare de date cu caracter personal. Revizia se poate realiza de Legal sau DPO la propunerea departamentelor de business;
• Lista proceduri – Conține lista de proceduri interne ca suport al proceselor de afaceri. Iar vă amintesc de faptul că ar trebui deja să le aveți; Ar trebui completată de SMI (Sistemul de Management Integrat) sau alte departamente conexe (Legal, Securitate, IT);
• Lista de procese – Conține un nomenclator al proceselor și activităților din cadrul companiei, în care sunt colectate, prelucrate și stocate date cu caracter personal. Am considerat că un proces poate avea mai multe activități, și de asemenea, un proces este asociat unei structuri organizatorice. Da, știm că există și procese transversal, dar fiecare proces are un responsabil care aparține unui departament. Departamentul default al proprietarului de proces este reprezentat de structura de inițiere a procesului. Procesele derivate dintr-un proces din amonte, sunt considerate procese distincte. Lista trebuie completată de către toți proprietarii de procese din cadrul organizației;
• Lista sisteme IT – Conține o listă de aplicații utilizate în colectarea și prelucrarea datelor cu caracter personal. Se completează de către departamentele de IT sub supravegherea DPO și Legal.
• Măsuri Securitate – O listă cu principalele măsuri de Securitate impuse de GDPR, ISO27001 și alte standarde sau bune practice în domeniul securității informațiilor. Se actualizează de DPO.

Formularul de Documente colectate

Exemplu de formular de colectare informații despre documentele colectate.

Se completează la nivelul structurilor electronice și conține mai multe detalii legate de prevederile si procedurile interne și legale, maparea la procesele specifice structrurii organizatorice, presupune selectarea mai multor categorii de date și date. De asemenea, sunt solicitate detalii legate de forma de colectare (letric, electronic sau ambele), modul de păstrare a documentelor, schimbul documentului cu alte structuri interne sau externe, perioada de retenție specificată în politicile interne sau procedurile legale și modalitatea de distrugere sau ștergere a documentului purtător de date cu caracter personal.

Datele de pe mai multe documente colectate de diferite procese din diferite structuri organizatorice se pot centraliza apoi folosind funcțiile implicite ale SharePoint în fișiere Excel care pot fi manipulate în vederea extragerii de rapoarte. Finalitatea acestui proces de colectare a informațiilor este acela de a constitui suport în procesul de inventariere a datelor și minimizare a datelor colectate.

Exemplu practic de proces:

Eu persoană fizică merg la bancă pentru a îmi deschide un cont. Pe lângă alte documente banca îmi cere și cartea de identitate după care îmi face o fotocopie. Fotocopia este scanată și introdusă în sistemele interne (presupun asta). Este posibil ca acea fotocopie să rămână și într-un dosar. Acesta se poate numi procesul de deschidere cont. Operatorul de ghișeu poate deschide formularul specific cărții de identitate din SharePoint și poate consulta lista datelor personale pe care are voie să le colecteze.

După o perioadă de timp, merg din nou la aceeași bancă la același operator pentru o operațiune de transfer bancar. Acesta este un proces diferit: Transfer bancar client existent. Eu sunt deja în sistem. Am deja copia la CI acolo. În prezent operatorul îmi cere o nouă copie la cartea de identitate. De ce?! Habar nu am. În mod corect, el trebuie să mă identifice. Îi arăt cartea de identitate, o vede… o confruntă cu ce este în sistem și ar trebui să fie suficient. Fără altă copie pe care trebuie să o distrugă mai târziu.

În urma analizelor proceselor înregistrate, Departamentul Legal, DPO și managementul pot decide dacă mai este necesară colectarea unei noi copii sau nu. Ei pot identifica de asemenea, multe alte anomalii de colectare a datelor.

Voi reveni într-un alt articol cu detalii despre alte tipuri de rapoarte și analiză pe datele colectate.

Formularul PIA

Este un formular mai elaborat destinat justificării colectării anumitor date pe anumite procese. De asemenea, se utilizează pentru a determina gradul de risc al unei prelucrări și a stabili lista măsurilor de securitate care ar trebui aplicate. Se completează de proprietarul procesului de business cu asistența DPO și validarea acestuia. DPO împreună cu managementul decid măsurile de securitate concrete aplicabile. În cazul în care anumite măsuri nu sunt acoperite cu soluții tehnice, rapoartele rezultate pot constitui suport deciziei de implementare sau achiziție a unor instrumente și platforme de securitate.

Exemplu de formular PIA:

PIA este creată pentru procesele existente și se actualizează periodic sau în momentul în care apar schimbări în procese. De asemenea, trebuie completată pentru proiectele și procesele noi din cadrul companiei.

Formularul este structurat în 4 categorii:

1. Context: stabilirea contextului pentru care se completează PIA
2. Justificare: Presupune răspunsul la o serie de întrebări generale care să ajute Legal și DPO la luarea deciziei de aprobare a prelucrării și/sau a măsurilor de securitate implementate.
3. Controale: reprezintă un chestionar bazat pe cerințele GDPR pentru asigurarea controalelor administrative pentru protecția datelor persoanei vizate.
4. Riscuri: reprezintă un chestionar pe baza căruia proprietarul de proces poate stabili un nivel de risc al colectării și prelucrării datelor cu caracter personal specificate în contextul PIA.

Rezultatele tuturor formularelor colectate se pot exporta și analiza în Excel sau alte instrumente specifice de analiză și interpretare a datelor.

Cam atât pentru astăzi!

Mulțumesc pentru feedback și partajare articol!

Republicare din revista PIN Magazine, Nr. 7, Decembrie 2017, http://www.pinmagazine.ro/2017/12/17/elemente-de-gdpr-in-office-365-pune-ti-datele-la-adapost-de-scurgeri-sau-furt/

Avertisment: Nu sunt expert GDPR și acesta nu este un articol tehnic.

Apărut în urmă cu ceva timp și cu aplicabilitate concretă din 25 mai 2018, GDPR este unul din cele mai prezente buzzword-uri ale acestor zile. Dincolo de beneficiile pe care le-ar putea aduce, GDPR reprezintă o nouă oportunitate de afaceri, care readuce în prim plan „implementatorii” de standarde integrate de management: ISO9001, ISO27001 și alte ISO care au legătură cu managementul informației și proceselor. Doar că regulamentul european nu mai este o opțiune, un must have ci o regulă concretă de gestionare a sistemelor informaționale din cadrul tuturor tipurilor de companii care au legătură cu informații personale. Piața fiind atât de mare, dar și cerințele foarte complexe, pe piața implementatorilor „joacă” acum casele mari de avocatură, marile firme de consultanță IT și management și mulți alții.

Concret, nimeni nu are nevoie de o certificare GDPR sau, mai direct, de un carton atârnat pe perete. Poate foarte multe companii au deja implementate mare parte din normele respective și trebuie doar să le formalizeze puțin. Poate cu ajutorul unui avocat, consultant sau doar o sumă de minți luminate din companie. Un principiu de bază în securitatea sistemelor informaționale este limitarea suprafeței de atac. Asta se traduce în GDPR cu inventarul informațiilor pe care le colectezi în sistemul tău informațional, reducerea acestora dacă este cazul, păstrarea acestora în locuri securizate și neutilizarea în campanii de marketing sau „contacts exchange”. Inventarul informațiilor și proceselor este primul pas.

Procesele în cadrul companiilor (și nu mă refer deloc doar la cele de stat) au de multe ori trasee birocratice inimaginabile. Cel puțin pe „hârtie”. Pentru că „practica” mai adaugă sau mai scurtcircuitează pași și te „trezești” cu o altă copie de buletin într-un fișet. Sunt documentate aceste procese undeva? Normal că da. Ele sunt în tot felul de regulamente interne pe care nu le citește nimeni, în documentele ISO pe care nu le-a citit nimeni, dar cel mai frecvent, ele sunt cu adevărat doar în mintea oamenilor de pe „traseu”. Normal că aceste cuvinte nu reflectă o realitate absolută. Harta fiecărui proces, cea reală corectă și care să poată încăpea într-un „A4”, este al doilea pas pe care l-aș urma eu.

Fiecare proces colectează, prelucrează și generează date și informații rezidente electronic pe documente structurare sau nestructurate. Cele structurate sunt în responsabilitatea aplicațiilor și dezvoltatorilor de aplicații. Cele nestructurate intră în seama aplicațiilor de document management. O utilizare neconformă a informațiilor, practicată alarmant de frecvent de utilizatori, este aceea de a exporta informațiile din aplicații și a le manipula în documente nestandardizate, nestructurate, fără politici de clasificare sau acces asociate. Normal că avem nevoie de Excel-uri pentru a face rapoarte, sau pentru a extrage doar câteva rânduri dintr-o bază de date pentru a face un proces verbal în Word, sau doar anumite informații cu care să putem face o prezentare PowerPoint pentru stakeholders. Și toate acestea le trimitem ca atașament pe mail-ul personal ca să lucrăm puțin și acasă cu ele.

Orice schimbare într-o organizație implică o schimbare a modului de execuție a operațiunilor uzuale ale utilizatorilor, ceea ce de multe ori conduce la o scădere de productivitate. Educarea și responsabilizarea utilizatorilor este cel de-al treilea pas necesar unei adopții reușite în contextul GDPR.

Cei mai mari jucători pe piața aplicațiilor de management de documente (Microsoft cu Office 365, Google cu G Suite) dar și foarte multe companii globale sau naționale, oferă soluții concrete de eficientizare și adaptare la cerințele regulamentului european. Dar mare parte din funcționalitățile acestor aplicații depind foarte mult de modul în care oamenii aleg să lucreze cu ele, dincolo de proceduri și regulamente. Centralizarea documentelor și păstrarea acestora într-o singură locație, pe mare parte din ciclul de viață al documentului, nu este o noutate. Fluxurile de lucru asociate documentelor, dar și formularelor au ajuns la o maturitatea tehnologică absolut necesară fluidizării proceselor birocratice din companiile moderne.

Specialiștii de la Microsoft identifică patru mari etape în eficientizarea proceselor de management al informațiilor în contextul GDPR: Descoperă, Gestionează, Protejează și Raportează.

Figura 1 – Cei 4 pași ai GDPR

Pentru fiecare etapă dispunem de instrumente dedicare operațiunilor respective.

Aplicațiile de căutare (Search) pun la dispoziția responsabililor cu securitatea informațiilor seturi extinse de căutare a documentelor pe bază de cuvinte cheie, expresii sau expresii regulate (regex). Componentele de eDiscovery oferă posibilitatea de a deschide cazuri de analiză a conținutului informațional din SharePoint sau din Exchange-ul on-line cu posibilitatea de blocare a documentelor care răspund criteriilor de căutare, în așa fel încât să poată fi analizate fără a exista posibilitatea modificării lor pe tot parcursul derulării acelui caz. De asemenea, Office 365 oferă instrumente destul de puternice de limitare a pierderii sau scurgerii informațiilor (DLP – Data Loss Prevention) care acționează pe bază de reguli definite în centrul de Security & Compliance. Pentru versiunile on-premises componentele de DLP trebuie asigurate prin alte mecanisme, mare parte din funcționalități regăsindu-se în ambele metode de implementare a soluției de document management bazată pe tehnologiile SharePoint.

Politicile de retenție sunt prezente în SharePoint încă din primele versiuni ale acestuia, dar sunt foarte puțin utilizate de către companii. Nu de puține ori am fost pus în postura de a migra SharePoint-uri on-premises de la o versiune la alta. De tot atât de multe ori am fost nevoit să „car” dintr-o parte în alta sute de Gb de documente vechi, și prin vechi însemnând care nu au mai fost accesate, vizualizate de cel puțin doi ani. Aceste documente vechi și care nu mai sunt necesare generează costuri cu: serviciile de indexare, serviciile de inventariere a permisiunilor și audit, serviciile de stocare în baze de date, serviciile de stocare în copiile de siguranță, serviciile de scanare antivirus… și nu în ultimul rând cu serviciile de migrare. Retenția documentelor, definită corect, nu presupune ștergerea documentului de la prima iterație (momentul în care s-a împlinit condiția de arhivare), ci pot include mai multe etape (staging) de eliminare (safe) a documentului: arhivarea într-o arhivă electronică de cloud, mutarea într-o arhivă electronică din on-premises, ștergerea finală a documentului.

Clasificarea informațiilor și documentelor pare a fi una din cele mai anevoioase și cronofage operațiuni din GDPR și nu numai. Definirea taxonomiilor, tipurilor de documente și apoi aplicarea etichetelor descurajează orice inițiativă de acest gen dacă nu este proiectată și dimensionată corect ca efort. Una din cele mai spectaculoase operațiuni din Office 365 în raport cu GDRP este aceea de auto-etichetare a documentelor pe bază de etichete (labels) predefinite în centrul de Security & Compliance. La ora actuală sunt implementate 80 de tipuri de informații sensibile care permit autoetichetarea dintre care nici una pentru informații specifice documentelor oficiale din România: Serie și număr buletin sau CNP.

Microsoft pune în schimb la dispoziția specialiștilor o procedură de definire a acestor informații sensibile (https://goo.gl/1H1rG3) și de import a lor în centrul de DLP pentru autoetichetare. Cheia este definirea corectă a unei expresii regulate (regex) care să poată fi utilizată de instrumentele de căutare pentru identificarea similitudinii de informații. Această tehnică este foarte bine cunoscută de majoritatea programatorilor de aplicații clasice sau web. De exemplu: pentru a căuta un șir de caractere de forma unui buletin cu variantele: MX123456 sau MX 123456 sau MX-123456 expresia pe care trebuie să o utilizăm este: ^[A-Z]{2}[^a-zA-Z]?[0-9]{6}. Pentru un CNP, exemplu de validare pe lungime și primul caracter din CNP, expresia ar putea fi: ^[1|2|5|6][0-9]{12}, care semnifică faptul că șirul trebuie să înceapă neapărat cu 1, 2, 5 sau 6, urmat de 12 caractere de la 0 la 9. Pentru o validare exactă a CNP-ului, expresia regulată ar putea fi mult prea complexă.

Protecția documentelor în Cloud se asigură la fel ca în on-premises: aplicații antivirus și sisteme complexe de gestiune a drepturilor digitale (Information Rights Management) care presupun că un document poate fi accesat, doar în modul în care a fost solicitat, doar de persoana desemnată și doar în locația desemnată. Aceste mecanisme superioare de protecție sunt destinate de obicei documentelor cu un grad ridicat de confidențialitate iar uneori sunt foarte dificil de configurat. În Office 365 configurarea acestor servicii de IRM este mult mai simplă prin modul integrat de certificare digitală și verificarea identității utilizatorului și echipamentului de pe care se accesează un document.

Componenta de raportare este probabil cea mai dorită de managementul companiilor, pentru că oferă o privire de ansamblu cu privire la manipularea conținutului informațional din întreaga organizație. Funcțiile de audit pot fi configurate atât la nivel centralizat cât și la nivelul fiecărei biblioteci de documente din SharePoint.

Enumerarea celor mai importante funcționalități pentru managementul bibliotecilor de documente din Office 365 și SharePoint: Nume listă, descriere și navigare; Setări versiune; Setări complexe; Setări validare; Setări navigare metadate; Setări vizualizare pentru locație; Permisiuni pentru această bibliotecă de documente; Information Rights Management; Setări flux de lucru; Aplicați eticheta la elementele din această listă sau bibliotecă; Setări cuvinte cheie și metadate întreprindere; Generare raport plan fișiere; Setări politică de gestionare a informațiilor; Setări declarație înregistrare.

Fiecare din aceste funcționalități ne pot ajuta în îndeplinirea dezideratelor GDRP, dar înainte de toate ne sunt utile în derularea proceselor de afaceri din cadrul companiilor.

Office 365 ca și oricare altă soluție de document management, nu constituie un panaceu al GDPR. Este doar un instrument care poate ajuta companiile să își deruleze procesele de afaceri într-un mod transparent, securizat, flexibil și conform cu reglementările legale în vigoare.

Referințe:

• Microsoft Benchmark Tool – https://www.gdprbenchmark.com/
• Microsoft Trust Center – https://www.microsoft.com/en-us/TrustCenter/Privacy/gdpr/default.aspx
• Adrian B. Munteanu Blog – https://adimunteanu.wordpress.com/
• Accelerate your General Data Protection Regulation (GDPR) Compliance Journey – https://info.microsoft.com/ww-landing-M365EGDPR-accelerate-your-GDPR-compliance-whitepaper.html
• Data Classification Toolkit – https://msdn.microsoft.com/en-us/library/hh204743.aspx