Bezpieczeństwo danych klienta – jak dbać o wrażliwe informacje w kancelarii prawnej?

Idąc do prawnika, klienci chcą się czuć przede wszystkim bezpieczni i liczą, że kancelaria zapewni im to w każdym zakresie. Nie bez powodu ochrona danych osobowych to temat powiązany z każdą możliwą płaszczyzną życia. 27 kwietnia 2016 roku w weszło rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie ich swobodnego przepływu (RODO). Wykorzystywanie takich informacji przez prawników  w związku z prowadzoną przez nich działalnością zawodową podlega więc restrykcyjnym przepisom. Jak to wpływa na bezpieczeństwo danych klientów kancelarii prawnej?

Bezpieczeństwo danych w kancelarii prawnej

Według Michała Jaworskiego, członka zarządu Microsoft w Polsce, w ciągu najbliższych 6-12 miesięcy klienci kancelarii zaczną zwracać uwagę na to, w jaki sposób wygląda kwestia bezpieczeństwa w systemach kancelarii prawnej, czy stosuje ona wieloskładnikowe uwierzytelnienie, w jaki sposób wygląda szyfrowanie danych, i czy po ataku ransomware kancelaria potrafi szybko wrócić do normalnej pracy, czy dane przepadną.  

Każda kancelaria jest zobowiązana wdrożyć odpowiedni system i środki w celu zapewnienia bezpieczeństwa przechowywania wszelkich danych osobowych swoich klientów. Przy takich projektach warto jest wesprzeć się rozwiązaniami, które już zostały stworzone przez odpowiednie organizacje zajmujące się normami zarządzania. Przykładem może być ISO/IEC 27001 Zarządzanie bezpieczeństwem informacji.

Najważniejszymi czynnikami, które należy wziąć pod uwagę, tworząc taki system, są:

1. bezpieczeństwo fizyczne – dostęp do danych (np. dokumentów), odpowiednie zabezpieczenia lokalu, w którym są one przechowywane;
2. bezpieczeństwo organizacyjne – przede wszystkim odpowiedzialność, która spoczywa na osobach zatrudnionych w kancelarii, ale także realizowanie praw osób, których te dane osobowe dotyczą;
3. bezpieczeństwo prawne – przepisy dotyczące przetwarzania danych osobowych, klauzule, umowy;
4. bezpieczeństwo technologiczne – urządzenia oraz systemy, na których przechowywane będą dane, nadzór nad takowymi urządzeniami oraz możliwie bezpieczny, a zarazem bezproblemowy dostęp do danych.

Zobacz wypowiedź Michała Jaworskiego dot. wykorzystania chmury przez prawników

Chmura jako przestrzeń do przechowywania danych

Poziom zagrożeń cyfrowych rośnie w ogromnym tempie. I nawet duże kancelarie nie są w stanie w pełni zabezpieczyć się przed atakami. Według Michała Jaworskiego z Microsoft chmura może funkcjonować jako pierwsza linia obrony przed takimi atakami.

Zewnętrzny serwer – chmura –pozwala ona na wykorzystanie dowolnej ilości zabezpieczeń, a jednocześnie zapewnia ochronę od strony dostawcy. Zatem o wiele aspektów bezpieczeństwa cyfrowego kancelaria może zadbać wybierając dostawcę chmury, który odpowiednio inwestuje w technologię.  

- Zarówno firmy chmurowe, jak i kancelarie prawne są przedsiębiorstwami podwyższonego zaufania. To znaczy to zaufanie, ta marka, którą się wyrabia przez lata, jest jedną z najistotniejszych – twierdzi Michał Jaworski.

Gdy znajdzie się odpowiedniego specjalistę, który zajmie się migracją danych do chmury, znacząco minimalizujemy zagrożenie wycieku informacji, a jednocześnie korzystamy z wielu ułatwień w codziennej pracy, bo ta technologia daje możliwość m.in.:

• tworzenia kopii zapasowych,
• zmiany dokumentów w czasie rzeczywistym,
• modyfikacji plików przez kilka osób jednocześnie,
• udostępnienia wybranych danych,
• skorzystania z rozwiązań technologicznych od renomowanych firm.

Jak wybrać bezpieczną chmurę? Obecnie wielu technologicznych gigantów daje dostęp do swoich produktów tego typu, a część z nich jest stworzona do przechowywania wrażliwych danych. Warto zdecydować się na płatny serwer, ponieważ jego zabezpieczenia są nie tylko mocniejsze, ale także ciągle ulepszane i modyfikowane, przez co są odporne na ataki z zewnątrz.

Ochrona danych przed nieuprawnionym dostępem

Niewystarczająca ochrona danych przechowywanych w chmurze to jedna z najprostszych dróg do wykradnięcia informacji. Aby się przed tym uchronić, należy przestrzegać kilku podstawowych zasad:

• Dostęp do sieci, pod którą podłączona jest kancelaria, powinien być zabezpieczony i dostępny tylko dla użytkowników, którzy przeszli prawidłowe uwierzytelnienie – przez podanie indywidualnego loginu oraz hasła o odpowiedniej sile. Hasło powinno być okresowo zmieniane, a pieczę nad całym procesem powinien objąć administrator.
• Udzielanie dostępu do sieci kancelaryjnej powinno być monitorowane na bieżąco oraz przechowywane w systemie.
• Przy nadawaniu uprawnień należy wykluczyć osoby, które nie muszą mieć pełnego wglądu do danych.
• Należy dobrze rozgraniczyć części systemu, do których będą przydzielane osobne dostępy (inne dokumenty będą dostępne dla głównego prawnika, inne dla stażystów).
• Nadzór nad dostępem do Internetu powinno zapewniać specjalne, przeznaczone do tego oprogramowanie.
• Dostępem do sieci powinien zajmować się serwer pośredniczący.
• Oprogramowania antywirusowe powinny być zainstalowane na każdej możliwej stacji roboczej.

Dokumenty papierowe – jak je przechowywać i utylizować?

Chociaż obecnie większość informacji przechowywanych jest już w wersji elektronicznej, to nadal istnieje konieczność tworzenia dokumentów w formie papierowej. Przechowywanie ich stanowi teoretycznie mniejsze wyzwanie, ponieważ przez lata opracowano wiele skutecznych systemów, jednak wszystkie mają kilka istotnych mankamentów. Oto kilka wskazówek, które mogą pomóc je wyeliminować i będą przydatne podczas tworzenia systemu bezpieczeństwa chroniącego dane w wersji papierowej: 

• Najistotniejszą kwestią jest dopilnowanie, aby dostęp do danych miały wyłącznie osoby do tego uprawnione i upoważnione. Wrażliwe dokumenty należy przechowywać w zamykanym pomieszczeniu.
• Należy również pamiętać o tym, aby osoby zainteresowane miały dostęp jedynie do tych danych, które niezbędne są do wykonywanej aktualnie wykonywanej przez nich pracy, realizacji zadań i obowiązków służbowych.
• Po zakończonej pracy dokument należy odłożyć do zamkniętej na klucz szafy lub szuflady. Dobrym rozwiązaniem będzie zakup metalowej gabloty na dokumenty niejawne.
• Jeżeli jakieś dokumenty nie muszą już być przetrzymywane, należy je zniszczyć w sposób, który uniemożliwi odczytanie lub odtworzenie ich.
• Osoba odpowiedzialna (wybrana na administratora danych osobowych) musi mieć nadzór nad przebiegiem całego procesu przechowywania i utylizacji dokumentów zawierających dane osobowe.