Biztosítás GDPR ellen
A héten szép csendesen elfogadásra került az Infotv. módosítása, a legfontosabb viszont az, hogy a NAIH a módosításban megkapta a felhatalmazását, szóval már mindenki nyugodtan eszegetheti a hekket, ihatja a fröccsöt, van már nekünk Hatóságunk! Hú, ez olyan, mint egy népdal, hogy aszongya:
Hátéde van már nékünk Hatóságunk, csuhajja!
Péterfalvi a heréket csavarja,
Addig nyúzza, addig töri a lelket,
A GDPR az őrületbe kerget.
Leszóllott a magas lóról Attila,
Hun van kérem az incidens papírja?
Ha nem jött meg időre a jelentés,
Abból lészen rózsám bíz a büntetés.
Na, de visszaugorva az időben, kb. egy éve poénkodtam TT barátommal, hogy már alig várjuk a GDPR elleni biztosítások megjelenését, hát kérem, veszek is egy lottószelvényt izibe, merthogy megjelentek az említett biztosítási termékek a piacon.
Hogyan működnek?
Általában „adatvédelmi felelősségbiztosítás” néven futnak, de természetesen mindenféle csodálatos nevet is rájuk aggatnak a biztosítók és az alkuszok, talán a két legismertebb a Cyber-Risk Biztosítás és a CyberEdge Biztosítás (két külön biztosító terméke).
A biztosítók elvárnak bizonyos alapvető intézkedéseket, szóval ezek a biztosítások sem mentesítik a szervezetet attól, hogy az adatvédelemmel foglalkozzanak. Kicsit hasonló ahhoz, hogy a lakásbiztosítások is elvárnak (értéktől függő) védelmi intézkedéseket, egyetlen biztosító sem fog fizetni, ha nincs ajtó, hevederzár, rács, riasztó, stb. a lakásban.
A biztosítás megkötéséhez ki kell tölteni egy kérdőívet, amelyben meg kell adni, hogy milyen személyes adatokat és milyen célból kezelünk (különleges adatok, pl. EÜ, vallás, stb. kizárva), illetőleg nyilatkozni kell a védelmi intézkedésekről is (elég alapszintű műszaki védelmet várnak el, tűzfal, vírusvédelem, jelszavak kezelése, patchelés, stb. – viszont ezek hiányában a biztosító nem fog szerződést kötni).
Még egyszer: minden biztosító el fogja várni, hogy alapvető intézkedések és megfelelő adatkezelési körülmények legyenek nálunk biztosítva. Amennyiben nem a valóságot nyilatkozzuk, úgy, ha esemény történik, és kiderül, hogy nemigazán úgy működtünk, ahogy azt nyilatkoztuk (vagy szándékos, súlyos gondatlanság vélelme merül fel), egy vasat sem fogunk kapni.
Szintén meg kell határoznunk a kockázatátvállalás összegét, tehát meg kell mondanunk, hogy pl. évi 2 millió ft kárra szeretnénk biztosítást kötni – erre fogja a biztosító majd a biztosítási díjat kiszabni.
Érdekes, hogy egy csomó területet kizárnak a biztosítók, azaz bizonyos tevékenységek esetén nem lehet biztosítást kötni:
- humán egészségügyi és szociális ellátás;
- telekommunikáció (internet, webhosting, felhő szolgáltatás stb.),
- közművek, villamos energia, gáz, víz szolgáltatók;
- pénzügyi / banki és pénzforgalmi szolgáltatások nyújtása;
- biztosítási és biztosításközvetítői szolgáltatások;
- közigazgatás (állami és helyi hatóságok, valamint állami hivatalok);
- légitársaságok és légiközlekedéssel bármely módon kapcsolatba hozható tevékenység;
- szerencsejáték, közösségi oldalak.
Ami marad, az nem sok :), de valahol logikus, az ezeken a területeken bekövetkező adatvédelmi incidensek olyan összegekre rúghatnak, amelyeket a biztosítók nemigen kívánnak fedezni, az ügyfeleknek meg nem érné meg az óriási biztosítási díjat megfizetni.
Megéri?
Alapból nem. De alapból egyetlen biztosítás sem éri meg, kivéve, ha történik valami – mert akkor nagyon is megérheti.
Éves szinten 100-200E Ft-ról indulnak a biztosítási díjak, viszont ami elgondolkodtató, hogy a biztosító fedez(het)i a kárenyhítés, helyreállás költségeit.
Szóval nem csak arról van szó, hogy kifizeti helyettünk a NAIH-nak az esetlegesen megállapított bírságot (vagy az adatvédelmi incidensből származott kártérítést az érintetteknek), hanem az incidens feltárásának, kivizsgálásának, helyreállításnak a költségeit a biztosító a saját szakértőin keresztül támogatja, bizonyos esetekben elvégzi, ezeknek díját pedig fedezi.
Vélemény
Szakmailag rendkívül felháborít ezeknek a biztosításoknak a megjelenése (hasonló ez ahhoz, amikor egy szervezet nem a védelembe fektet be, hanem mondjuk budgetel évi 5-6 ransomware kifizetésének költségét), de bizonyos esetekben ez a biztosítás akár még jó is lehet.
Főleg, ha nem arra használjuk (nem az a teljes cél), hogy a NAIH bírságokat fedezzük, hanem arra, hogy ha esetleg valami incidens történik, akkor a biztosító segítségével az esemény megfelelően kezelve legyen, és megtörténjen a korrekt elemzés és helyreállás.
Tehát ambivalens érzéseim vannak ezzel kapcsolatban, annyit megér a történet, hogy akit érdekel, kicsit jobban utána nézzen, árakat kérjen be – de azt semmi esetre nem tudom tanácsolni, hogy bárki a biztosítással váltsa ki a GDPR felkészülést. Tegyen meg mindent, amit meg tud tenni, és ha úgy érzi, még maradtak olyan kockázatok, amelyeket nem tud csillapítani, és esetleg előfordulhat, hogy ezekből valamilyen adatvédelmi esemény történik, akkor érdemes lehet ilyen biztosításon elgondolkodni.