Firmy budują pancerne sejfy na dane klientów, ale klucz oddają amerykańskim władzom. Michel Paulin, CEO OVH, podpowiada dlaczego warto wybrać europejską chmurę?
Dane są strategicznym paliwem dla firm i rządów, a ich przyrost otwiera szerokie spektrum możliwości, począwszy od innowacyjnych modeli biznesowych, przez łatwiejsze podejmowanie decyzji, po generowanie kolejnych okazji… Perspektywy te są w równej mierze ekscytujące, co przerażające. Firmy badają potencjał sztucznej inteligencji i Big data – tymczasem wydaje się, że nadal nie są świadome wrażliwości znacznej części danych ani celowości ich ochrony. I choć Europejczycy są generalnie zadowoleni z wejścia w życie dyrektywy RODO, wiele firm nie podziela tego entuzjazmu.
Wokół RODO, które weszło w życie ponad rok temu, narosło wiele mitów. Najpierw jak grzyby po deszczu pojawiały się firmy oferujące m.in. audyty, upatrując w przestraszonych przedsiębiorcach źródła łatwego zarobku. Panikę wzmagała perspektywa szybkiego wejścia ustawy w życie i to, że co rusz wychodziły na jaw kolejne jej nieścisłości. Oliwy do ognia dolewały niewłaściwe interpretacje zapisów, które doprowadzały niekiedy wręcz do kuriozalnych sytuacji, jak nadawanie pacjentom przychodni lekarskiej bajkowych pseudonimów, by nie ujawniać personaliów podczas wywoływania ich na wizytę.
Czas na kary
Potem przyszedł czas na egzekucję prawa. Na Google, za naruszenie RODO, zostało nałożone 50 mln euro kary, ale konsekwencje prawnej beztroski dotknęły również mniejsze podmioty. Pierwsza kara w Polsce, w wysokości miliona złotych, została nałożona niecały rok po wejściu RODO w życie, a werdykt ten podzielił nawet prawników. Wiele firm ponownie zaczęło poszukiwać możliwości, by w świetle wychodzących na jaw obostrzonych interpretacji unijnej dyrektywy, przystosować swoją firmę do jej wymogów.
Według firmy prawniczej DLA Piper, od momentu wprowadzenia w życie RODO, we wszystkich krajach Unii Europejskiej, odnotowano ponad 59 tys. przypadków naruszenia dyrektywy. Najwięcej z nich miało miejsce w Holandii (ponad 15 tys.) – w Polsce z kolei odnotowano ponad 2 tys. takich incydentów[1]. Według badania ComputerWorld, obecnie 87% polskich przedsiębiorców wdrożyło procedury zgodności z RODO.
Realne korzyści
W spełnianiu coraz bardziej zaostrzających się wymagań regulacyjnych (tych dotyczących RODO, ale także cyberbezpieczeństwa czy sprawozdawczych – jakie muszą spełniać firmy) świetnie sprawdza się model chmurowy. Przedsiębiorcy, którzy zdecydują się na jego wdrożenie, mogą być pewni, że ich dane są bezpieczne, gdyż – jak wynika z raportu Kaspersky Lab – aż w 90% incydentów naruszenia bezpieczeństwa danych wynika z błędów ludzkich, a nie z działań dostawców chmury.
Przedsiębiorcy często zapominają jednak, że ważne jest nie tylko to, aby ich dane były bezpiecznie przechowywane w chmurze, ale też znaczenie ma fakt, kto je tam przechowuje. Jednym słowem – bywa, że budujemy opancerzone sejfy, żeby chronić swoje cenne dane, a klucze do nich powierzamy obcej administracji, ryzykując, że zaoferujemy mu pełny dostęp do wszystkich naszych informacji. Stąd tak ważny jest wybór dostawcy chmury z terytorium Europy.
Dziurawy sejf
Amerykańska ustawa CLOUD Act[2] przyznaje administracji Stanów Zjednoczonych nieograniczony dostęp do danych należących do europejskich firm. Warunkiem jest, że dane te są hostowane przez amerykańskiego usługodawcę. Ta nowa postawa protekcjonizmu gospodarczego oznacza, że dane trzeba będzie teraz uważać za eksterytorialne, kiedy tylko nawiąże się współpracę z amerykańskim usługodawcą, nawet jeśli pozostaną one w Europie. Sami usługodawcy bronią się z niepokojącą pewnością siebie, argumentując, że nie będzie miało to wpływu na sferę gospodarczą. Przepisy są istotnie dość niejasne: nie ma precyzyjnej definicji, czym właściwie są „poważne przestępstwa” i co stanowi „bezpieczeństwo publiczne”, którego rzekomo ma chronić nowe prawo. Nie uściślono też jakie dokładnie treści będą w zasięgu amerykańskiej jurysdykcji.
Co zatem zrobić, żeby chronić wrażliwe dane biznesowe? Po pierwsze mieć świadomość, że wybór dostawcy chmury ma wpływ na to, kto i w jakim zakresie ma wgląd do danych. Ważne, by strategiczne informacje nie trafiały w niepowołane ręce. Współpraca z amerykańskimi usługodawcami nie jest obligatoryjna – istnieją przecież alternatywne i sprawdzone europejskie rozwiązania. Wiele firm opanowało odpowiednie technologie i dysponuje potrzebnymi umiejętnościami.
Współpracując z europejskim dostawcą, dokładnie wiemy choćby, gdzie konkretnie fizycznie są przechowywane nasze dane oraz jakiemu prawodawstwu podlegają. W świecie, w którym sposoby wykorzystania danych, np. do identyfikacji i manipulacji, stają się nieograniczone, ochrona danych musi być priorytetem. Jeśli rewolucja danych ma przynieść wyczekiwany postęp, wszyscy muszą mieć możliwość kontrolowania swoich danych, wprowadzania innowacji i swobodnego prowadzenia działalności – a RODO zapewnia najbardziej zaawansowaną i najpełniejszą ochronę danych osobowych na świecie.
[1] https://www.dlapiper.com/fr/france/news/2019/02/dla-piper-gdpr-data-breach-survey/
[2] The Clarifying Lawful Overseas Use of Data Act