9. Biztonságos szolgáltatást hozz létre, amely védi a felhasználók adatait Mit jelent ez az irányelv?

Mérd fel és tervezd meg, hogy a szolgáltatás kapcsán milyen adatok kerülnek gyűjtésre, tárolásra és továbbításra. Mindenképpen számításba kell venni azt is, hogy a gyűjtött adatok milyen célból, hogyan kerülnek felhasználásra, az adatok meddig lesznek megőrizve, és az állampolgárok hogyan gyakorolhatják a személyes adataikkal kapcsolatos jogaikat.

Mindig alaposan járj utána, hogy milyen kötelezettségeid vannak, és milyen kockázatok merülnek fel az adatkezelés, az adatbiztonság és a szolgáltatás nyújtása során szerepet játszó információrendszerek biztonsága kapcsán.

Miért fontos ez az irányelv?

Az állami szolgáltatások igénybevétele során általában sor kerül különböző személyes adatok és különleges személyes adatok kezelésére is. Egyfelől az állampolgárok nem szívesen vesznek igénybe állami szolgáltatást, ha attól félnek, hogy az adataik illetéktelenekhez kerülhetnek. Másfelől az adatvédelmi és információbiztonsági szabályozásból fakadóan jogi kötelezettség az adatok megfelelő kezelése.

Mit jelent ez a gyakorlatban?
  • Ki kell dolgozni a megfelelő kockázatkezelés és -menedzselés rendszerét az adatvédelmi és információbiztonsági incidensek megelőzése és a bekövetkezett incidensek szakszerű kezelése érdekében.
  • Külön tervet és költségvetést kell biztosítani a biztonsági rendszerek folyamatos karbantartására és fejlesztésére.
  • A személyes adatok gyűjtése és felhasználása során mindig a felhasználók érdekét kell elsődlegesnek tekinteni.
  • Ha a szolgáltatás igénybevétele során szükség van a személyazonosság megerősítésére vagy hitelesítésére, annak olyan módját kell választani, ami arányos az elkerülni kívánt kockázattal.
  • Már a szolgáltatás fejlesztése során be kell vonni a megfelelő adatvédelmi és információbiztonsági szakembereket.
  • A szolgáltatáson sérülékenységi és penetrációs teszteket kell végezni élesítés előtt és után.
Kérdések, amelyeket feltétlenül meg kell tudnod válaszolni
  • A szolgáltatás kapcsán sor kerül személyes adatok gyűjtésére?
  • Ha igen, hogyan kapnak erről tájékoztatást a felhasználók?
  • Biztosan minden gyűjtött adatra szükség van?
  • Hogyan gyakorolhatják a felhasználók az adataikkal kapcsolatos jogaikat?
  • Van olyan a személyes adatok között, ami megosztásra kerülhet más rendszerekkel, személyekkel, cégekkel vagy a közigazgatás más szereplőivel?
  • Milyen rendszerességgel tesztelik a rendszer sérülékenységét?
  • Hogyan jelenthetők be a biztonsági problémák?

Ha szeretnél többet tudni az irányelv alkalmazásáról, olvasd el az útmutatót.

Tovább az útmutatóhoz

  • Előző irányelv

  • Következő irányelv