Mit értünk szoftver adatvédelmi audit alatt?
Irodánk több ilyen auditot is megcsinált már, ezért összefoglaltuk, hogy mikor és milyen célból érdemes szoftver adatvédelmi auditot kérni.
Szoftver adatvédelmi auditot több formában és időpontban is érdemes lehet kérni. Elsőként talán a legfontosabb tisztázni, hogy kinek az érdeke egy ilyen audit.
Szoftver fejlesztésnél a megrendelő, tehát az adatkezelő kötelezettsége meghatározni, hogy milyen adatvédelmi és adatbiztonsági elvárásai lesznek a szoftverben. Sokszor látjuk, hogy a megrendelő oldalán ez a legutolsó kérdés, ami a specifikációban előjön, ha előjön egyáltalán. Viszont nem hagyatkozhatunk teljes mértékben a fejlesztőre, a fejlesztőnek is kötelezettsége az adatok védelme, de nem kötelezettsége kitalálni és megvalósítani a megrendelő helyett a szoftver teljes adatvédelmi keretrendszerét. Erről a témáról egy korábbi cikkünkben olvashattok bővebben.
Viszont a fejlesztő részéről is érdemes lehet egy audit, mert ha viszont a megrendelő meghatározta az elvárásait, akkor sokszor azt nehéz megállapítani, hogy a kiválasztott informatikai eszköz, annak megfelel-e.
További érdek az adatvédelmi audit, vagy tanácsadás mellett, hogy az adatvédelmi megfelelős ellenőrzése egy elkészült szoftvernél meghaladja a megrendelő szaktudását.
Összefoglalva, az alábbi esetekben van lehetőség egy szoftver adatvédelmi auditnak:
– a szoftver specifikáció alapján az adatvédelmi folyamatok, elvárások kialakítása és a kockázatok feltérképezése érdekében jogi audit,
– a szoftverbe fejlesztendő IT biztonsági intézkedések meghatározása miatt,
– fejlesztés közben a fejlesztő által javasolt megoldás jogi, vagy IT biztonsági ellenőrzésére jogi, vagy IT biztonsági audit,
– fejlesztés után
– az elkészült szoftver adatvédelmi megfelelőségének ellenőrzésére jogi audit
– az IT biztonság ellenőrzésére IT biztonsági audit.
Fejlesztői oldalról:
– fejlesztés előtt
– a szoftverbe építendő adatvédelmi garanciák miatt jogi audit,
– a szoftver IT biztonsági kereteinek kialakítása érdekében IT biztonsági audit,
– fejlesztés közben annak ellenőrzésére, hogy a felhasználni kívánt informatikai megoldás megfelel-e a megrendelő elvárásainak.
Munkánk során sokrétűen jelent meg a szoftverek, fejlesztések auditálási igénye.
Egy esetben arról kellett véleményt formálnunk még a specifikáció elkészítése során, hogy a fejlesztő által alkalmazni kívánt platform megfelel-e a megrendelővel szemben az informatikai biztonságról szóló törvényben meghatározott követelményeinek. Ebben az esetben a tanácsadásnak a felelősség megosztással kapcsolatban is volt jelentősége. A proaktív fejlesztő természetesen rámondta volna a megfelelősége az igent azonnal, fel kellett hívnunk a figyelmét, hogy ezt a döntést az adatkezelő megrendelőnek kell meghozni, a fejlesztő feladata ilyen esetben arra terjedhet ki, hogy a lehetőségeihez képest a legjobban bemutassa a megoldás megfelelőségét.
Másik esetben egy szoftver felhő alapú tárhely szolgáltatására kellett javaslatot tenni a fejlesztés során. Ebben az esetben a fejlesztés házon belül volt, a fejlesztő már 3 szolgáltatást előre kiválasztott, arra vonatkozóan kellett a jogi auditot lefolytatni, hogy melyik a legjobb adatvédelmi jogi szempontból.
Ugyanígy tipikus kérdés szokott lenni, hogy a szoftver tárhelye hol lehet, milyen szintű regisztrációra van szükség, szükséges e a titkosítás.
Nem feltétlenül tehát egy komplex, sok hónapos auditra kell feltétlenül gondolni, apróbb, de a fejlesztés szempontjából sarkallatos kérdésekkel is érdemes foglalkozni.
A válasz egyértelműen az, hogy elkerülhesse a megrendelő, vagy a fejlesztő a későbbi vitát és az újra fejlesztés, vagy módosítás miatti anyagi kiadásokat és időveszteséget.
Ha a fejlesztés elején a megrendelő tudja, hogy kétfaktoros azonosítást és titkosítást szeretne bevezetni, ezzel ajánlatában a fejlesztő is tud kalkulálni.
Ha ez az igény csak a fejlesztés végén jön elő, akkor az egy módosítási igény lesz, az alap díjban ez nem lesz elérhető.
Ha pedig olyan kérdésben kell döneni, hogy Google Cloud, vagy Amazon AWS legyen-e a szoftver mögött, egyértelmű a válasz, hogy később ennek a módosítása tetemes fejlesztési idővel és költséggel jár.
Ügyvédi Irodaként mi a jogi auditokban tudunk hatékonyan segíteni, nyilván ismerjük az IT biztonsági megoldások egy részét, de a jogi auditban vagyunk jók.
Jogi audit keretében az állami és önkormányzati szervek elektronikus információbiztonságról szóló törvényben is eligazítást tudunk adni.
Az ajánlatot kérek gomb megnyomásával hozzájárulok az itt megadott adataimnak az adatkezelési tájékoztató szerinti kezeléséhez.