Pule para o conteúdo
MENU
Join || Recepção
Latest News

Coronavírus e trabalhando em casa - o que você precisa considerar

Com uma proporção significativa da população trabalhando em casa no futuro próximo devido ao coronavírus, as organizações estão tendo que se adaptar a novas maneiras de acessar sistemas e se comunicar.

Com uma proporção significativa da população que trabalha em casa no futuro próximo devido ao coronavírus (CoVid-19), as organizações estão tendo que se adaptar a novas maneiras de acessar sistemas e se comunicar com o outro. de suas prioridades. A OIC disse que é improvável que tomem medidas de execução se o impacto do covid-19 significa que você está um pouco atrasado no prazo de solicitação de acesso ao assunto, mas isso não significa que a mesma abordagem seja adotada se houver uma violação de dados. Ficando aquém disso porque você não considerou as implicações é improvável que você o sirva bem se houver uma violação. A segurança terá sido uma das considerações iniciais ao selecionar e testar sistemas para isso, mas é um requisito contínuo. As fraquezas precisam ser identificadas e as ações tomadas (sempre que possível) para fortalecer suas defesas. Você deve estar vivo com a possibilidade de ataques aumentados, enquanto os sistemas estão potencialmente mais vulneráveis, porque todos estão testando novos sistemas e fazem o possível para proteger sua organização. Isso pode envolver o uso de tecnologia nova e desconhecida. Todo mundo que trabalha dessa maneira precisa entender as regras básicas para fazê -lo e o que eles precisam fazer para manter as informações seguras. Staff?

For some businesses, this is likely to have involved adapting to a completely new way of working, and amidst all the technical learning and colleague welfare concerns, security should also be one of your priorities.

Isn’t the Information Commissioner’s Office (ICO) Taking a Relaxed Approach to Compliance?

Not in relation to security – no. The ICO has said that is is unlikely to take enforcement action if the impact of COVID-19 means that you’re slightly late on a subject access request deadline, but this doesn’t mean that the same approach will be taken if there is a data breach.

Whilst the ICO is generally a fairly pragmatic regulator, and clearly understands that this is a difficult and highly unusual situation, basic attention to security and the protection of personal data will still be expected. Falling short of this because you haven’t considered the implications is unlikely to serve you well if there is a breach.

There are three key areas to ensuring compliance:

  • system security
  • staff awareness
  • record keeping

System Security

By now, you will likely have the systems in place to allow work from home where this is practicable. Security will have been one of the initial considerations when selecting and testing systems for this, but it is an ongoing requirement.

Phishing and other attempts to gain access to your systems are likely to increase, and so you must continue robust testing to ensure that the methods you have adopted continue to be safe. Weaknesses need to be identified, and action taken (where possible) to strengthen your defences.

Some of these measures will be relatively simple – such as ensuring software is up to date and installing patches – but these shouldn’t be overlooked. You should be alive to the possibility of increased attacks whilst systems are potentially at their most vulnerable because everyone is trialling new systems, and do what you can to protect your organisation.

Staff Awareness

Your staff are adapting to a new way of working. This might involve using new and unfamiliar technology. Everyone working in this way needs to understand the ground rules for doing so, and what they need to do to keep information safe.

Ask yourself the following questions:

  • Do we have an information security policy?
  • Are staff aware of this policy?
  • Do we need to make changes to our policy in light of the new way of working?
  • Have we communicated these changes to staff?

É provável que sua política atual precise alterar - e possivelmente se estender - nas circunstâncias atuais. No entanto, o elemento -chave em tudo isso é garantir que a equipe entenda os limites do que pode e não pode fazer. Algumas mensagens serão as mesmas, mas podem precisar reforçar-não usar o Wi-Fi público, por exemplo, provavelmente ainda se aplicará, pois acessará apenas as informações necessárias para realizar o trabalho esperado. O envio de dados pessoais para um endereço de e -mail para casa (não garantido) provavelmente também permanecerá um 'não', mas isso pode precisar reforçar.

Outras mensagens provavelmente serão novas à luz da situação atual de isolamento. Como trabalhar efetivamente em um espaço compartilhado, o que fazer com a documentação confidencial que não é mais necessária, o uso do Whatsapp para manter contato, como imprimir através de um sistema Citrix ... enquanto alguns deles podem parecer um bom senso, em tempos de alta ansiedade, instruções claras e simples garantirão que todos sejam claros Com. Um dos principais requisitos do GDPR é que você pode demonstrar sua conformidade e, assim, registrar suas decisões e as razões para elas é vital se o pior acontecer. Tenha um registro de teste que ocorreu, de fraquezas identificadas e ações tomadas. Tenha um registro de discussões sobre sua política, um registro das mudanças e evidências de que todos os funcionários os receberam. Se você tiver isso, se o pior acontecer, poderá pelo menos mostrar a OIC que fez tudo o que pode fazer razoavelmente para proteger seus dados. No meio de uma crise, é fácil perder de vista a segurança e a conformidade em favor da inovação e "fazer o trabalho", mas uma violação de dados pode afetar significativamente sua organização e tornar uma situação já difícil muito mais complicada do que precisa ser. Reserve algum tempo para revisar o que você tem e como poderá melhorar suas políticas e procedimentos atuais e não se esqueça de documentar suas discussões e decisões!

Record-Keeping

No systems are perfect, and no human beings are perfect, and so mistakes are inevitable. One of the key requirements of the GDPR is that you can demonstrate your compliance, and so recording your decisions and the reasons for them is vital if the worst does happen. Have a record of testing that has taken place, of weaknesses identified, and actions taken. Have a record of discussions around your policy, a record of the changes, and evidence that all staff have received these. If you have this, should the worst happen, you can at least show the ICO that you have done all that you can reasonably do to protect your data.

Conclusion

Across the world, individuals are showing considerable resilience and resourcefulness in keeping key industries going. In the midst of such a crisis it’s easy to lose sight of security and compliance in favour of innovation and ‘getting the job done’, but a data breach could significantly impact your organisation and make an already difficult situation far more complicated than it needs to be. Take some time to review what you have in place, and how you might be able to improve your current policies and procedures, and don’t forget to document your discussions and decisions!

Entre em contato ||vers Downtown in BusinessInformation Law team on 07469 245 724 or at [email protected].

Downtown in Business
A Cidade do Liverpool College
Consultura de alto desempenho
SUTCLIFFE
Muse
rev. Produções
Glenville Walker
Deloitte
DB3
United Wolves Productions
Kier
Herói de hospitalidade
Hospitais da Universidade de Liverpool Charity
Atkinsrealis
Morgan Sindall
Warwick North West