Barion Pixel Szoftver adatvédelmi audit - InformatikaiJog.hu - dr. Németh Ádám
Telefon
E-mail

Szoftver adatvédelmi audit

Mit értünk szoftver adatvédelmi audit alatt? 

Irodánk több ilyen auditot is megcsinált már, ezért összefoglaltuk, hogy mikor és milyen célból érdemes szoftver adatvédelmi auditot kérni.

A szoftver auditok típusai

Szoftver adatvédelmi auditot több formában és időpontban is érdemes lehet kérni. Elsőként talán a legfontosabb tisztázni, hogy kinek az érdeke egy ilyen audit.

Szoftver fejlesztésnél a megrendelő, tehát az adatkezelő kötelezettsége meghatározni, hogy milyen adatvédelmi és adatbiztonsági elvárásai lesznek a szoftverben. Sokszor látjuk, hogy a megrendelő oldalán ez a legutolsó kérdés, ami a specifikációban előjön, ha előjön egyáltalán. Viszont nem hagyatkozhatunk teljes mértékben a fejlesztőre, a fejlesztőnek is kötelezettsége az adatok védelme, de nem kötelezettsége kitalálni és megvalósítani a megrendelő helyett a szoftver teljes adatvédelmi keretrendszerét. Erről a témáról egy korábbi cikkünkben olvashattok bővebben.

Viszont a fejlesztő részéről is érdemes lehet egy audit, mert ha viszont a megrendelő meghatározta az elvárásait, akkor sokszor azt nehéz megállapítani, hogy a kiválasztott informatikai eszköz, annak megfelel-e.

További érdek az adatvédelmi audit, vagy tanácsadás mellett, hogy az adatvédelmi megfelelős ellenőrzése egy elkészült szoftvernél meghaladja a megrendelő szaktudását. 

Összefoglalva, az alábbi esetekben van lehetőség egy szoftver adatvédelmi auditnak:

Megrendelői oldalról 
– a fejlesztés előtt:

– a szoftver specifikáció alapján az adatvédelmi folyamatok, elvárások kialakítása és a kockázatok feltérképezése érdekében jogi audit,

– a szoftverbe fejlesztendő IT biztonsági intézkedések meghatározása miatt,

– fejlesztés közben a fejlesztő által javasolt megoldás jogi, vagy IT biztonsági ellenőrzésére jogi, vagy IT biztonsági audit,

– fejlesztés után

– az elkészült szoftver adatvédelmi megfelelőségének ellenőrzésére jogi audit

– az IT biztonság ellenőrzésére IT biztonsági audit.

Fejlesztői oldalról:

– fejlesztés előtt

– a szoftverbe építendő adatvédelmi garanciák miatt jogi audit,

– a szoftver IT biztonsági kereteinek kialakítása érdekében IT biztonsági audit,

– fejlesztés közben annak ellenőrzésére, hogy a felhasználni kívánt informatikai megoldás megfelel-e a megrendelő elvárásainak.

A szoftverek és az adatvédelem kapcsolatának az angol szakirodalomban a „privacy by design in software development” kifejezésre keresve tudunk utána olvasni. 
Talán az egyik legjobb összefoglaló az IAPP oldalán érhető el.
Ha pedig fejlesztőként a konkrét javaslatokra vagyunk kíváncsiak, akkor a common waekness enumaration honlapján érdemes körülnézni, ahol a tipikus hibákat találjuk összegyűjtve.

Példák

Munkánk során sokrétűen jelent meg a szoftverek, fejlesztések auditálási igénye.

Egy esetben arról kellett véleményt formálnunk még a specifikáció elkészítése során, hogy a fejlesztő által alkalmazni kívánt platform megfelel-e a megrendelővel szemben az informatikai biztonságról szóló törvényben meghatározott követelményeinek. Ebben az esetben a tanácsadásnak a felelősség megosztással kapcsolatban is volt jelentősége. A proaktív fejlesztő természetesen rámondta volna a megfelelősége az igent azonnal, fel kellett hívnunk a figyelmét, hogy ezt a döntést az adatkezelő megrendelőnek kell meghozni, a fejlesztő feladata ilyen esetben arra terjedhet ki, hogy a lehetőségeihez képest a legjobban bemutassa a megoldás megfelelőségét.

Másik esetben egy szoftver felhő alapú tárhely szolgáltatására kellett javaslatot tenni a fejlesztés során. Ebben az esetben a fejlesztés házon belül volt, a fejlesztő már 3 szolgáltatást előre kiválasztott, arra vonatkozóan kellett a jogi auditot lefolytatni, hogy melyik a legjobb adatvédelmi jogi szempontból.

Ugyanígy tipikus kérdés szokott lenni, hogy a szoftver tárhelye hol lehet, milyen szintű regisztrációra van szükség, szükséges e a titkosítás.

Nem feltétlenül tehát egy komplex, sok hónapos auditra kell feltétlenül gondolni, apróbb, de a fejlesztés szempontjából sarkallatos kérdésekkel is érdemes foglalkozni.

Miért érdemes egy szoftver adatvédelmi auditba belevágni?

A válasz egyértelműen az, hogy elkerülhesse a megrendelő, vagy a fejlesztő a későbbi vitát és az újra fejlesztés, vagy módosítás miatti anyagi kiadásokat és időveszteséget. 

Ha a fejlesztés elején a megrendelő tudja, hogy kétfaktoros azonosítást és titkosítást szeretne bevezetni, ezzel ajánlatában a fejlesztő is tud kalkulálni. 

Ha ez az igény csak a fejlesztés végén jön elő, akkor az egy módosítási igény lesz, az alap díjban ez nem lesz elérhető.

Ha pedig olyan kérdésben kell döneni, hogy Google Cloud, vagy Amazon AWS legyen-e a szoftver mögött, egyértelmű a válasz, hogy később ennek a módosítása tetemes fejlesztési idővel és költséggel jár.

Miben tudunk mi segíteni

Ügyvédi Irodaként mi a jogi auditokban tudunk hatékonyan segíteni, nyilván ismerjük az IT biztonsági megoldások egy részét, de a jogi auditban vagyunk jók. 

Jogi audit keretében az állami és önkormányzati szervek elektronikus információbiztonságról szóló törvényben is eligazítást tudunk adni.

Érdeklődés szoftver adatvédelmi audit iránt

Az ajánlatot kérek gomb megnyomásával hozzájárulok az itt megadott adataimnak az adatkezelési tájékoztató szerinti kezeléséhez.

Köszönjük, hogy megtisztel minket bizalmával

További információk szolgáltatásainkról

E-kereskedelem

Jogi szolgáltatások az elektronikus kereskedelemben dolgozók számára

Adatvédelem

Irodánk az adatvédelmi tanácsadás teljes spektrumát lefedi.

Szerzői jog

Szoftver fejlesztési szerződések, szoftver jogi tanácsadás, informatikai cégek képviselete.