Videokonferencia és adatvédelem
Szerző: TCI Olvasási idő: 6 perc
Miként egyeztethető össze, és hogyan működtessük jogszerűen?
Járványhelyzet ide vagy oda, egyre többen és többet dolgozunk otthonról - a találkozók többsége jellemzően átkerült az online térbe. De mi a helyzet a videokonferenciákkal és a hozzájuk kapcsolódó személyes és üzleti adatvédelemmel?
Vajon milyen adatbiztonsági kockázatot jelent a videokonferencia a vállalatok számára? Ahhoz, hogy a te céged is biztonsággal használja ezeket az eszközöket, fontos legalább a következőket témákban felkészülni:
KÖVETELMÉNYEK A VIDEO-ESZKÖZÖKKEL SZEMBEN
Videokonferencia a kollégákkal? Nem kell, hogy azonnal az adatbiztonsági kockázatok villogjanak a szeme előtt, de - különösen egy üzleti videokonferencia esetében - a használt eszközöknek fontos megfelelniük bizonyos követelményeknek, ezeket pedig a legszerencsésebb az első használat előtt tisztázni:
· Milyen eszközt használjunk? Van-e vállalatspecifikus videokonferencia-eszközünk, vagy Saas (Software as a Service) - megoldást kell választanunk?
· Van-e a választott eszköznek üzleti verziója? Ezek a verziók magasabb szintű biztonsági előírásoknak képesek megfelelni, és a Koronavírus-járvány idejére számos eszköz üzleti verziója használható ingyenesen.
· Hol található a szolgáltató, illetve a szolgáltatást biztosító szervereik (hosting)? Előnyös, ha az Európai Unió területéről választunk rendszert, mivel ezekre közvetlenül vonatkoznak a GDPR előírásai, - így egyfajta garanciát kaphatunk a megfelelő szintű adatvédelemre.
· Amennyiben olyan videokonferencia-eszközt szándékozunk használni, amelynek szolgáltatója az EU-n vagy az Európai Gazdasági Térségen (EGT) kívül helyezkedik el, vagy amelynek használata során az adatok továbbításra kerülnek ún. "harmadik országba", tisztázni kell, hogy az adott ország vagy szolgáltató megfelelő szintű védelmet nyújt-e, illetve a szolgáltató megfelelő garanciákkal rendelkezik-e adatvédelmi szempontból.
· Saas-szolgáltatóval minden esetben kötelező adatfeldolgozói szerződés megkötése (ld. GDPR 28. cikk). A megbízható Saas-szolgáltatók számára ez nem újdonság, így járnak el és általában fel is tüntetik az erre vonatkozó elkötelezettségüket adatkezelési tájékoztatójukban.
TECHNIKAI ÉS SZERVEZETI INTÉZKEDÉSEK
Amennyiben sikerült a fenti kritériumok alapján eszközt választani, akkor tovább léphetünk a szükséges műszaki és szervezeti intézkedésekre:
· Képes a választott eszköz titkosítva továbbítani az elküldött adatokat?
· Módosíthatók-e manuálisan az adatvédelmi beállítások az eszközön belül? Számos igen népszerű eszköz, például a Zoom esetében is feltétlenül szükséges helyesen konfigurálni az adatvédelmi beállításokat az esetleges illegális adatfeldolgozás elkerülése érdekében. (https://www.pcx.hu/egyre-tobb-a-biztonsagi-problema-a-zoom-videohivas-es-chat-alkalmazassal)
· Törlik-e meghatározott idő elteltével a megosztott adatokat, rögzített videofelvételeket, illetve fényképeket? Apropó, rögzítés! Amennyiben a videohívás egyes részeit rögzíteni szeretnénk, akkor fontos, hogy erről minden résztvevőt előzetesen értesítsünk!
· Meghívókat mindig csak azoknak küldjünk, akiknek valóban szükséges a jelenléte/hozzászólása.
· A képernyőmegosztásról: alapvető fontosságú figyelnünk arra, hogy csak a hívással összefüggő információk legyenek láthatóak a képernyőn. Mit jelent ez a gyakorlatban? Zárd be a felesleges tartalmakat és az ablakokat, vagy állíts be egy különálló asztalt, amelyen nem láthatók fájlok vagy hivatkozások!
· Ügyelj a környezetedre is! Fontos, hogy mi látható a résztvevők hátterében? Fehér fal vagy egy íróasztal iratokkal terítve, netán egy flipchart tábla teleírva vállalati információkkal? Ugye, hogy nem mindegy? A feledékeny kollégák számára léteznek olyan videóeszközök, amelyek erre a célra készült funkcióval bírnak, és elmossák, kitakarják a hátteret.
· Telekonferencia esetén is kötelezőek az adatvédelmi ökölszabályok: tilos a megosztott Login! Müller Csilla account-jához kizárólag Müller Csilla férhet hozzá. Ez rendkívül fontos, különösen, ha kép nélkül használjuk az eszközt.
A fenti tanácsok közül számos alkalmazható párhuzamosan a csevegőeszközökre is. Mint minden adatvédelmi kérdésnél, a videokonferenciáknál is kiemelt fontosságú a munkavállalók képzése és érzékenyítése, kétség esetén pedig érdemes minden tisztázatlan kérdést egyeztetni az adatvédelmi tisztviselővel a használat előtt. Tudjuk, ha az adataink egyszer elszabadulnak az online térben, szinte lehetetlen újra visszaterelni őket.