Masat teknike dhe organizative në përputhje me nenin 32 të GDPR Masat teknike dhe organizative në përputhje me nenin 32 të GDPR Pasqyrë e përmbajtjes 1. Pseudonimizimi i të dhënave personale .............................................................................. 2 2. Kriptimi i të dhënave personale ........................................................................................... 2 3. Sigurimi i konfidencialitetit të sistemeve dhe shërbimeve .................................................... 2 3.1 Kontrolli i aksesit fizik........................................................................................................ 2 3.2 Kontrolli i aksesit të të dhënave ........................................................................................ 3 3.3 Kontrolli i përdorimit të të dhënave.................................................................................... 4 3.4 Kontrolli i transferimit të të dhënave .................................................................................. 5 3.5 Kërkesat e ndarjes............................................................................................................ 5 4. Sigurimi i integritetit të sistemeve dhe shërbimeve .............................................................. 6 4.1 Kontrolli i hyrjes ................................................................................................................ 6 5. Sigurimi i disponueshmërisë së sistemeve dhe shërbimeve ................................................ 6 5.1 Kontrolli i disponueshmërisë ............................................................................................. 6 5.2 Kontrolli i porosisë ............................................................................................................ 7 6. Sigurimi i qëndrueshmërisë së sistemeve dhe shërbimeve ................................................. 8 7. Rivendosja e disponueshmërisë së të dhënave personale dhe aksesi në to pas një incidenti fizik ose teknik............................................................................................................................ 8 8. Procedurat për kontrollin e rregullt, shqyrtimin dhe vlerësimin e efektivitetit të TOMs ......... 9 Erjon Sulaj Faqe 1 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR 1. Pseudonimizimi i të dhënave personale Masat për të siguruar që identifikimi i subjekteve të të dhënave është ndjeshëm më i vështirë. Për shembull: duke ndarë të dhënat dhe veçoritë e identifikimit  Ndarja midis të dhënave kryesore dhe të dhënave të shitjeve të klientit.  Ndarja midis të dhënave të kontaktit dhe të dhënave të trajtimit/ diagnostikimit të pacientit.  Përdorimi i kodit identifikues personal, të klientit apo të pacientit, në vend të përdorimit të emrit. 2. Kriptimi i të dhënave personale Masat për të siguruar që informacioni personal është i kriptuar në mjetet stacionare apo të lëvizshme të ruajtjes dhe të përpunimit të të dhënave.  Kriptimi i të gjitha pajisjeve desktop/ laptop/ notebook në përdorim.  Përdorimi i USB flash drive(s) të kriptuara.  Përdorimi i VPN tunnel (IPSec).  Kriptimi i përmbajtjes së smartfoneve. 3. Sigurimi i konfidencialitetit të sistemeve dhe shërbimeve 3.1 Kontrolli i aksesit fizik Masat e parashikuara për të mos lejuar aksesin e personave të pa-autorizuar në pajisje të cilat përpunojnë apo përdorin të dhëna personale.  Sistem alarmi  Sigurimi i mureve të ndërtesës  Sistemi automatik i kontrollit të aksesit  Përdorimi i smart cards/ sistem automatik kyçjeje  Sistem i kyçjes me brava me kod  Sistem manual kyçjeje Erjon Sulaj Faqe 2 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR  Barriera biometrike të aksesit  Survejim me video i hyrje/ daljeve  Sensorë foto-elektrikë/ detektorë lëvizjeje  Kyçe sigurie  Kontroll i kodeve dhe i çelësave elektronike të aksesit  Verifikim i individit në hyrje/ recepsion  Regjistrim i vizitorëve  Përzgjedhje e kujdesshme e personelit të pastrimit  Përzgjedhje e kujdesshme e personelit të sigurisë  Veshje e detyruar e “badges” kartave të identifikimit dhe të aksesit 3.2 Kontrolli i aksesit të të dhënave Masat e parashikuara për të mos lejuar përdorimin e sistemeve të përpunimit të të dhënave nga persona të pa-autorizuar.  Caktimi i të drejtave të përdoruesve  Krijimi i profileve të përdoruesve/ mundësimi i vendimeve individuale  Caktimi i fjalëkalimeve  Autentifikim me metoda biometrike  Autentifikimi me përdorues dhe fjalëkalim  Caktimi i profileve të përdoruesve/ mundësimi i marrjes së vendimeve individuale të rastit në sistemet IT  Kyçje e kasave të pajisjeve kompjuterike  Përdorimi i teknologjisë VPN me autentifikim 2-faktorial  Bllokim i përdorimit të mjeteve të jashtme (USB, etj)  Kyçe sigurie  Kontroll i kodeve dhe çelësave elektronike  Verifikim i individit në hyrje/ recepsion  Regjistrim i vizitorëve  Përzgjedhje e kujdesshme e personelit të pastrimit  Përzgjedhje e kujdesshme e personelit të sigurisë  Veshje e detyruar e “badges” kartave të identifikimit dhe të aksesit Erjon Sulaj Faqe 3 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR  Përdorimi i sistemeve të zbulimit të ndërhyrjeve  Kriptim i pajisjeve të lëvizshme bartëse të të dhënave (pjesor)  Përdorimi i softuer-ëve antivirus  Përdorim i një softuer-i për administrim të qendërzuar të pajisjeve smartfon (psh. për fshirje të dhënave në distancë)  Përdorimi i një ‘firewall’-i harduer  Përdorimi i një ‘firewall’-i softuer  Kriptimi i bartësve të të dhënave në desktop/ laptop/ notebook 3.3 Kontrolli i përdorimit të të dhënave Masat për të siguruar që individët të cilët kanë të drejta përdorimi tek një sistem i përpunimit të të dhënave mund të aksesojnë vetëm ato të dhëna të cilat janë subjekt i nivelit të akorduar individual të aksesit dhe që të dhënat personale në fjalë të mos aksesohen, lexohen, kopjohen, modifikohen apo të fshihen pa një autorizim gjatë përpunimit, përdorimit dhe ruajtjes.  Krijimi i politikave të autorizimit  Administrimi i të drejtave të aksesit nga administratori i sistemit  Numri i përdoruesve me të drejta administrative i reduktuar në maksimumin e mundshëm të nevojshëm  Vendosje e politikave të fjalëkalimit duke përfshirë gjatësinë e fjalëkalimit dhe ndryshimin e fjalëkalimit  Regjistrimi në regjistrat elektronike i aksesit në programe, veçanërisht për rastet e shtimit, ndryshimit apo të fshirjes së të dhënave  Ruajtje e sigurt e mediumeve bartës të të dhënave  Fshirje fizike e një mediumi elektronik bartës të të dhënave përpara ri-përdorimit  Shkatërrim i sigurt i mediumeve bartës të të dhënave (DIN 66399)  Përdorimi i grirësve të dokumenteve ose kontraktimi i ofruesve të kësaj natyre  Regjistrimi i shkatërrimit (certifikata e shkatërrimit). Erjon Sulaj Faqe 4 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR shërbimi (me vulë privatësie kur është e mundur).  Kriptimi i bartësve të të dhënave në desktop/ laptop/ notebook 3.4 Kontrolli i transferimit të të dhënave Masat për të siguruar që të dhënat personale nuk mund të lexohen në mënyrë të jashtëligjshme, kopjohen, ndryshohen apo të fshihen gjatë transmetimit elektronik apo gjatë transportit ose ruajtjes në bartës të të dhënave elektronike, si dhe për të mundësuar verifikimin dhe përcaktimin e vendit ku të dhënat personale janë transmetuar përmes mjeteve të transmetimit të të dhënave.  Përdorimi i linjave të sigurta të komunikimit ose i lidhjeve VPN  Transferim i të dhënave në një formë të anonimizuar ose të pseudonimizuar  Kriptimi i postës elektronike  Krijimi i një plani operacional të komunikimit dhe tranferimit  Dokumentim i të dhënave të marrësit dhe i periudhës kohore të planifikuar të tranferimit ose i periudhës së fshirjes sipas dakordësimit  Për transportin fizik: kontenierë të sigurt/ ambalazhim i sigurt  Për transportin fizik: përzgjedhje e kujdesshme e personelit dhe e mjeteve të transportit 3.5 Kërkesat e ndarjes Masat për të siguruar që të dhënat e grumbulluara për qëllime të ndryshme të mund të përpunohen veçmas.  Ruajtje e ndarë fizikisht në sisteme të veçanta ose bartësa të veçanta të dhënash elektronike  Ndarje logjike e klientit (në softuer)  Krijimi i një plani autorizimi  Kriptim i rekordeve të përpunuara për të njëjtin qëllim Erjon Sulaj Faqe 5 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR  Plotësimi i rekordeve me attribute të qëllimit si fusha të dhënash  Për të dhënat e pseudonimizuara: ndarje e skedarit të koordinatave dhe e skedarit të përmbajtjes në sisteme IT të veçanta dhe të sigurta  Përcaktimi i të drejtave të bazave të të dhënave  Ndarje midis sistemit në prodhim dhe sistemit të testimit 4. Sigurimi i integritetit të sistemeve dhe shërbimeve 4.1 Kontrolli i hyrjes Masat për të siguruar që mund të vërtetohet në mënyrë të qartë nëse dhe kush ka aksesuar, ndryshuar apo fshirë të dhënat personale në sistemet e përpunimit të të dhënave.  Regjistrimi i hyrjes, modifikimit dhe i fshirjes së të dhënave  Ndërtimi i një pasqyre treguese mbi cilat programe mund të shtojnë, ndryshojnë apo të fshijnë cilat të dhëna  Gjurmueshmëria e futjes, modifikimit dhe fshirjes së të dhënave sipas emrave individualë të përdoruesve (jo grupeve të përdoruesve).  Ruajtja e formave prej të cilave të dhënat janë transferuar në procese të automatizuara.  Caktimi i të drejtave për të aksesuar, ndryshuar dhe fshirë të dhënat bazuar në një plan autorizimi.  Implementimi i një softueri auditimi të skedarëve dhe dokumenteve elektronike 5. Sigurimi i disponueshmërisë së sistemeve dhe shërbimeve 5.1 Kontrolli i disponueshmërisë Masat për të siguruar që informacioni personal është i mbrojtur nga shkatërrimi ose nga humbja aksidentale.  Furnizimi i pa-ndërprerë me energji elektrike (UPS) Erjon Sulaj  Kondicioner në dhomat e serverëve Faqe 6 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR  Pajisje për monitorimin e temperaturës dhe të lagështisë në dhomën e serverëve  Panele prizash në dhomat e serverëve me mbrojtëse mbitensioni dhe nën-tensioni.  Sisteme alarmi të zjarrit dhe të tymit  Fikëse zjarri në dhomat e serverëve  Alarm për aksesin e paautorizuar në dhomën e serverit  Plani i ruajtjes së kopjeve rezervë dhe i ri-kuperimit  Testimi i rekuperimit të të dhënave  Plani i emergjencës  Ruajtja e të dhënave në një mjedis të sigurt, të kontraktuar.  Dhomat e serverëve jo nën objektet sanitare  Në zonat e përmbytura: dhomat e serverëve mbi nivelin e ujit. 5.2 Kontrolli i porosisë Masat për të siguruar që të dhënat e përpunuara gjatë ushtrimit të detyrës mund të përpunohen vetëm në përputhje me udhëzimet e kontrolluesit. Kjo vlen për rastet kur entiteti vepron në pozicionin e përpunuesit. Në rastet kur entiteti vepron në pozicionin e kontrolluesit, pikat e mëposhtme duhet të zbatohen kur entiteti nën-kontrakton një përpunues.  Përzgjedhja e përpunuesit duhet të kryhet duke kushtuar vëmendjen e duhur (veçanërisht sa i takon sigurisë së të dhënave)  Ekzaminimi paraprak dhe, nëse është e nevojshme, dokumentimi i masave të sigurisë të marra nga përpunuesi.  Udhëzime me shkrim për përpunuesin (si për shembull lidhur me marrëveshje mbi përpunimin e porosive, në përputhje me nenin 28 të GDPR)  Punonjësit e përpunuesit duhet të kenë nënshkruar marrëveshje konfidencialiteti (Neni 28 GDPR).  Përpunuesi duhet të ketë caktuar një zyrtar për mbrojtjen e të dhënave (DPO)  Sigurimi i shkatërrimit të të dhënave pas përfundimit të kontratës. Erjon Sulaj Faqe 7 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR  Të përcaktohen të drejta efektive mbi kontrollin, në marrëveshje me përpunuesin  Të përcaktohen penalitetet për shkeljet.  Inspektim i vazhduar i përpunuesit dhe i aktiviteteve që ai kryen. 6. Sigurimi i qëndrueshmërisë së sistemeve dhe shërbimeve Masat që sigurojnë që sistemet dhe shërbimet janë projektuar në mënyrë të tillë që rastet e veçanta apo të vazhdueshme të ngarkesës së lartë të procesimit, të jenë të përballueshme. Masat kanë të bëjnë me ruajtjen e të dhënave, aksesin dhe kapacitetet.  Sistemet në përdorim të ruajtjes së të dhënave duhet të jenë të teknologjisë së fundit (sa i takon tolerancës dhe qëndrueshmërisë ndaj gabimeve dhe keqfunksionimeve).  Duhet të disponohen strategji mbi rikuperimin nga katastrofat dhe vazhdimësinë e biznesit  Harduer-ët dhe softuer-ët e sistemeve të ruajtjes së kopjeve rezervë duhet të përzgjidhen/ përdoren në përputhje me teknologjitë e fundit. 7. Rivendosja e disponueshmërisë së të dhënave personale dhe aksesi në to pas një incidenti fizik ose teknik Masat për të siguruar që brenda një kohe sa më të shkurtër pas ndodhjes së një incidenti, të mundësohet qasja dhe disponueshmëria e të dhënave personale.  Të disponohet plan emergjence  Të përdoren shërbime në “cloud”  Plan BCM (menaxhimi i vazhdimësisë së biznesit)  Datacenter-a të jashtëm; datacentera të ‘pasqyruara’  Të ekzistojë redundancë në drejtim të ruajtjes së të dhënave  Të ekzistojë redundancë në drejtim të infrastrukturës së IT Erjon Sulaj Faqe 8 nga 9 Masat teknike dhe organizative në përputhje me nenin 32 të GDPR 8. Procedurat për kontrollin e rregullt, shqyrtimin dhe vlerësimin e efektivitetit të TOMs Masat për të siguruar kontrollin sistematik periodik dhe vlerësimin e trajtimin e duhur dhe profesional të efektivitetit të masave teknike dhe organizative.  Sistemi i menaxhimit të mbrojtjes së të dhënave  Testet e rregullta duke përfshirë dokumentimin (për IT)  Auditimet e brendshme  Certifikim sipas DIN 66399 (për shkatërrimin e të dhënave dhe dokumenteve)  Auditimet e kryera nga Zyrtari i Mbrojtjes së të Dhënave (DPO)  Analiza e dokumentuar e riskut (për IT)  Certifikimi sipas ISO 27001 (për IT) Erjon Sulaj Faqe 9 nga 9