Istnieje mnóstwo dokumentów od firmy Microsoft zawierających porady dotyczące zgodności z RODO, takie jak „ Windows i RODO: informacje dla administratorów IT i decydentów”, a dość dokładne wyjaśnienie, gdzie dane są przenoszone.

Zgodnie z samym dokumentem, jego przeczytanie zajmuje 17 minut. Myślę, że poczujesz się lepiej, gdy to zrobisz.

Jest wiele paranoi związanych z Microsoftem, niektóre z nich prawdopodobnie uzasadnione, ale faktem jest, że MS nie może sobie pozwolić na ignorowanie RODO lub, w USA: HIPAA.

Przeczytałem odpowiedź w Information Security SE i nie uznałem jej za pomocną; cytat z MS dotyczy ujawnienia danych zgodnie z wymogami prawa lub procedurą prawną.

Edycja: Myślę, że powinienem dodać trochę więcej tła. Jestem na stanowisku doktora faktycznie zatrudnionym do prowadzenia badań. Jednak ze względu na moje doświadczenie w informatyce jestem „oficjalnie” odpowiedzialny za wszystko, co w naszym laboratorium wiąże się z elektronicznym przetwarzaniem danych.

Po pierwsze, myślę, że w Twoim laboratorium jest poważny problem z zarządzaniem: pozostawienie doktorantowi odpowiedzialności za ochronę danych jest całkowicie nieprofesjonalne. Jako doktorant z pewnością mógłbyś pełnić rolę doradcy technicznego, ale musi to być stały członek instytucji, który ponosi oficjalną odpowiedzialność. Jeśli pojawi się problem, ktokolwiek powierzył Ci to zadanie, z pewnością będzie musiał wyjaśnić, dlaczego uznał to za stosowne. Dobra wiadomość dla Ciebie jest taka, że ​​jest bardzo mało prawdopodobne, aby i tak zostałeś uznany za odpowiedzialnego prawnie (zwykłe zastrzeżenie: IANAL).

Po drugie, umiejętności informatyczne [zredagowane] mogą być przydatne, ale z pewnością nie wystarczą, gdy chodzi o prawne i etyczne kwestie związane z ochroną danych, zwłaszcza w przypadku danych wrażliwych dotyczących ludzi. Nawet mając najlepszy zamiar, po prostu nie masz podstaw prawniczych. Czyja to praca? Jest kilka opcji, prawdopodobnie nie w twoim laboratorium, ale na poziomie twojej uczelni / instytucji:

• Dział IT: to te, które pytasz o luki w oprogramowaniu i zalecenia dotyczące ochrony danych.
• Komisja ds. etyki: możesz poprosić ją o wytyczne dotyczące odpowiedniego poziomu ochrony wymaganego dla określonych danych dotyczących ludzi. Normalnie każdy w twoim laboratorium, który pracuje z tego rodzaju danymi, powinien uzyskać zgodę etyki przed rozpoczęciem projektu.
• Biuro ochrony danych lub, jeśli nie ma biura prawnego: mogą poinformować Ciebie i Twoich współpracowników o ich prawne obowiązki dotyczące danych osób.

Te wydziały w Twojej instytucji mają umiejętności zawodowe i odpowiedzialność prawną. Chronisz się, pytając ich o radę i postępując zgodnie z nimi: jeśli powiedzą, że Windows 10 jest w porządku, nie masz nic przeciwko. Jeśli mówią, że nie jest to bezpieczne, Twoim jedynym zadaniem jest przekazanie ich rekomendacji współpracownikom, wspominając, skąd one pochodzą.

Twoja uczelnia powinna mieć jakieś biuro zajmujące się ochroną danych. Koniecznie musisz z nimi porozmawiać. Dobre rady od nieznajomych w Internecie są świetne, ponieważ pozwalają zorientować się, jakie są problemy, ale uniwersytet może ponosić tutaj potencjalną odpowiedzialność prawną i musisz porozmawiać z ludźmi, których zadaniem jest zarządzać tymi problemami.

Upewnij się, że Twoja rada jest rzeczywiście oparta na solidnych faktach i zastanów się, jakie są najbardziej prawdopodobne sposoby wycieku danych. Dowiedz się dokładnie, co system Windows 10 może zgłosić firmie Microsoft i czy jest to prawdziwy problem w Twoim przypadku.

Dowiedz się, jakie przepisy i prawa w tym zakresie obowiązują w Twoim kraju, a może także zasady uniwersyteckie, jeśli takie istnieją . Możliwość wskazania konkretnych przepisów jest przydatna w takich argumentach.

W typowym środowisku akademickim prawdopodobnie nie masz środków, aby naprawdę zablokować rzeczy. Skupiłbym się na najniebezpieczniejszych i najczęstszych sposobach naruszenia bezpieczeństwa komputerów, moim zdaniem Microsoft jest daleko, daleko na końcu tych zmartwień. Martwiłbym się głównie następującymi przypadkami:

• osoby zabierające dane do domu lub na swoje prywatne komputery
• komputery zagrożone przez złośliwe oprogramowanie
• komputery, Kradzione lub zgubione dyski twarde lub dyski USB

Skupiasz się na bardzo odległym i mało prawdopodobnym zagrożeniu, które znacznie ułatwia odrzucenie argumentów. Skoncentruj się na realistycznych i prawdopodobnych zagrożeniach i bądź przygotowany do stoczenia żmudnej bitwy.

Sposób, w jaki przeczytałem Twoje pytanie, jest taki, że nie jesteś odpowiedzialny za ochronę danych, ale za konfigurację komputerów z systemem Windows. W takim przypadku podzieliłbym się twoimi obawami w e-mailu do lidera grupy, abyś miał (wirtualny) papierowy ślad i zapytałby ich, czy chcą, abyś jednak skonfigurował komputery z systemem Windows, czy też chcą, poszukaj innego rozwiązania.

Oczywiście, jeśli Twoim faktycznym obowiązkiem jest ochrona danych, a oni ignorują to, do czego Cię zatrudnili, prawdopodobnie powinieneś zacząć szukać innego miejsca do pracy.

Co robić, gdy odpowiadasz za ochronę danych w swoim laboratorium, a porady są ignorowane?

Jeśli naprawdę jesteś odpowiedzialny i jeśli mieszkasz w jurysdykcji, w której ochrona danych ma „zęby” (tj. UE / RODO), masz wówczas prawo do zaprzestania wszelkich niezgodnych z przepisami zachowań. Zasadniczo możesz zrobić wszystko (wyłączanie komputerów, wyłączanie routerów itp.) - oczywiście jest to ostatnia reakcja, a nie ostatnia reakcja, a zanim to zrobisz, musisz zrobić kilka innych rzeczy: na przykład poinformować Twoi koledzy; zapisz wytyczne; zdobądź wsparcie swoich interesariuszy, przeprowadź sesje informacyjne / dydaktyczne itp.

Jeśli nie zrobisz tego wszystkiego (lub Twoi koledzy zaprzeczają jakiejkolwiek zgodności), zaczynając od łatwych rzeczy, ale ostatecznie eskalując, wtedy Powinien naprawdę zrezygnować z roli „bycia odpowiedzialnym”.

RODO tak naprawdę definiuje konkretne role związane z ochroną danych. W zależności od tego, gdzie mieszkasz, Twój kraj może mieć inne takie definicje (lub może nie mieć ich wcale, ale wtedy prawdopodobnie nie zadawałbyś tego pytania). Jeśli więc przypadkiem pełnisz rolę inspektora ochrony danych, masz prawo i obowiązek działać .

Jeśli to wszystko nie jest prawdą, a jesteś po prostu zwykłą pszczołą robotnicą, to Twoim rzeczywistym obowiązkiem jest: a) robienie wszystkiego, co mówi i wymaga inspektor ochrony danych oraz b) zgłaszanie naruszeń prawa swojemu IOD lub inni interesariusze - jeśli Twojego IOD to nie obchodzi, możesz iść dalej w hierarchii, ale szczerze mówiąc, czy to zrobisz, jest Twoim osobistym wyborem; jeśli sprawisz, że jakiekolwiek wykroczenia będą widoczne dla osób faktycznie odpowiedzialnych (zachowaj ślad na papierze, może umieść własnego przełożonego w DW itp.), to osobiście powinno być dobrze.

EDYCJA: Zmylił mnie tytuł pytania, który zawiera słowo „odpowiedzialny”. W konkretnym przypadku OP obowiązuje tylko mój ostatni akapit. Resztę zostawiam na wypadek, gdyby ktoś tego potrzebował, faktycznie „R” odpowiedzialny (w sensie RACI). OP , najlepiej jest pracować nad tym, aby nie być postrzeganym jako odpowiedzialnym za coś, na co nie masz wpływu. Porozmawiaj ze swoim przełożonym i uzyskaj jego radę, jak to zrobić bez podpalania mostów („Hej trenerze, wygląda na to, że wszyscy myślą, że jestem naszym facetem od bezpieczeństwa danych, ale muszą sami zebrać swoje rzeczy, nie mogę ich opiekować”). . ”itp.).

W komentarzach podałeś, że znajdujesz się w Europie i dlatego podlegasz RODO.

Ponieważ zbierasz informacje wrażliwe, powinien istnieć formalny proces ich gromadzenia i zarządzania nimi. informacje, w tym jakie informacje są gromadzone, do jakich celów, jak długo są przechowywane, jak są chronione itp. Wszystko to musi zostać udostępnione każdemu, kogo gromadzisz dane, zanim to zrobisz.

Powinna również istnieć osoba, która jest za to oficjalnie odpowiedzialna (IOD), która powinna zostać wymieniona w tym oświadczeniu.

Skieruj się do tej osoby. To ona jest rzeczywiście odpowiedzialna, a nie ty.

Jeśli nie masz tych zasad i procedur, powinieneś powiadomić swojego przełożonego o tym fakcie i konsekwencjach, jakie może to mieć. Napisz to na piśmie, aby Twoje ** było objęte ubezpieczeniem.

Jeśli uważasz, że Twoja instytucja narusza swoje zobowiązania i nie zrobi nic, aby się tym zająć, istnieje oczywiście możliwość zgłoszenia tego do odpowiednie organy, ze wszystkimi konsekwencjami, jakie może to mieć dla wszystkich zaangażowanych stron (w tym oczywiście dla Ciebie - nie można ignorować tego, jak często sygnaliści kończą).

Aby odpowiedzieć na Twoje pytanie, wyraźnie pytając „ Co zrobić, gdy Twoja rada zostanie zignorowana ”, zdecydowanie sugeruję akronim CYA : C ponad Y naszych A”.

Ponieważ (jak przypuszczam) nie pełnisz funkcji kierowniczej, najprawdopodobniej masz ograniczone środki, aby faktycznie egzekwować porady, których udzielasz, ale aby zapobiec spadkowi winy, powinieneś podjąć środki w celu udokumentowania swoich działań. Być może najważniejszym środkiem jest pozostawienie śladu na papierze.

Na przykład możesz napisać e-mail do swojego przełożonego:

Drogi XY,

Po kilku badaniach w tej sprawie radzę naszemu laboratorium, aby nie korzystało z systemu Windows 10 z powodu obaw dotyczących danych telemetrycznych systemu Windows. (...) Zamiast tego radzę używać XYZ firmy ABC.

Z poważaniem ...

To będzie nie tylko dowód dla Ciebie, ale może również sprawić, że Twój kierownik rozważy tę propozycję bardziej. Jeśli zda sobie sprawę, że teraz jest odpowiedzialny, jeśli coś pójdzie na marne - może być mniej skłonny do ignorowania cię.

Porozmawiaj z doradcą. Jeśli nie chce cię poprzeć, zejdź z pozycji.

Bardzo często zdarza się, że uniwersyteckie grupy laboratoryjne nie przestrzegają odpowiednich zasad dotyczących bezpieczeństwa, ochrony danych, poufności, praw autorskich do oprogramowania itp. Branża też nie jest doskonała, ale zwykle jest dużo bardziej zgodna niż grupy laboratoryjne uniwersyteckie .

Byłem „oficerem” ds. bezpieczeństwa w mojej grupie laboratoryjnej. Sprawdzanie standardów, okresowe inspekcje płukania oczu itp. Stwierdziliśmy jasne, że robimy źle, ale doradca nie był zainteresowany wsparciem mnie (myślałem, że jestem zbyt surowy ... ale pochodzę z branży i widziałem, jak ludzie są ranni i był przyzwyczajony do większej uwagi.) Skończyło się na pożarze w obszarze, który już zidentyfikowałem jako wadliwy, ale z ludźmi, którzy nie chcieli naprawiać rzeczy. Powiedziałem potem dyrektorowi, że to jego laboratorium i że musi być odpowiedzialny, a ja odmówiłem kojarzenia go z bezpieczeństwem laboratorium, biorąc pod uwagę jego postawę. (Powiedział dobrze, a ktoś inny poszedł i sprawdził rzęsy.)

Może nie musisz być tak konfrontacyjny, ale bardzo poważnie rozważałbym odmowę po prostu odmowy wykonania obowiązku dodatkowego, gdy ludzie nie Nie traktuję tego poważnie, a PI nie wspiera Cię.

Nie wiem o ochronie danych, ale z tego, co widziałem w zakresie bezpieczeństwa, podejrzewam, że to ten sam problem. Bezpieczeństwo było przedmiotem szeroko zakrojonych badań i opracowań, a laboratoria akademickie mają około 10 razy więcej incydentów niż w przemysłowych laboratoriach badawczych. Osobiście znałem dwie osoby, które straciły czas w wyniku pożarów rozpuszczalników w laboratorium uniwersyteckim (spalone twarze i miesiące w szpitalu) i nigdy nie widziałem tego w dużej firmie CRD. Profesorowie czasami będą winić studentów, ale najważniejsze jest to, że dyrektorzy nie są pociągani do odpowiedzialności tak, jak menedżerowie w firmie. Studenci są mniej cenieni niż pracownicy itd. I to się nie zmieni i nie zmieni się od dziesięcioleci. Więc naprawdę lepiej się po prostu odłączysz. I dbanie o bezpieczeństwo i zgodność własnego sprzętu.

Jeśli z jakiegoś powodu coś pójdzie nie tak, chciałbym być po bezpiecznej stronie.

Pytanie brzmi, przed czym chcesz się chronić - pozew sądowy skierowany do ty, czy bycie zwolnionym?

Moje podejrzenie (ale oczywiście nie jestem prawnikiem) jest takie, że istnieje bardzo małe niebezpieczeństwo ze strony pierwszego i prawie żadna realna ochrona przed drugim.

Niewygodna rzeczywistość polega na tym, że wiele osób (w środowisku akademickim i poza nim) nie tyle zatrudnia pracownika, ile kupuje ubezpieczenie podczas wypełniania takich ról, jak osoba odpowiedzialna za ochronę danych (to samo dotyczy niektórych certyfikatów w branży). Wiedzą (lub przynajmniej mocno podejrzewają), że to, co robią, jest niezgodne z prawem, nie chcą zmieniać i szukają kogoś, kogo mogą wskazać, gdy sprawy się pogorszą.

Jeśli jakieś prawdziwe problemy prawne kiedykolwiek wyniknie z kwestii ochrony danych, w pełni podejrzewam, że będzie ona skierowana raczej do uczelni, a nie do osób tam pracujących - i nawet jeśli będzie skierowana do konkretnych osób, to będą to osoby zarządzające, a nie technik laboratoryjny bez uprawnień zmienić zachowanie innych pracowników. Jednak jest bardzo duża szansa, że ​​wewnętrznie nadal będziesz kozłem ofiarnym (włącznie z wypuszczeniem), jeśli nie z innego powodu niż to, że sh * ma tendencję do staczania się w dół. Z mojego doświadczenia w zakresie struktur zarządzania uniwersytetem wynika, że ​​żadna papierowa ścieżka nie może Cię przed tym uchronić.

Oczywiście nadal powinieneś starać się jak najbardziej informować swoje laboratorium o wszelkich istotnych kwestiach, które widzisz, ale biorąc pod uwagę, że nie masz nad nimi władzy, będzie to musiało przybrać formę raczej doradzać niż ścisłe zasady. Bycie w dobrych stosunkach z zespołem (i posiadanie świetnych umiejętności miękkich) jest prawdopodobnie najlepszym sposobem na dokonanie zmiany. Warto też być tutaj pragmatycznym i zajmować się dużymi zagrożeniami, które nie wymagają zbytniego poświęcenia ze strony zespołu - InfoSec Stack Exchange może być bardzo dobrym źródłem informacji o tym, co to może być (podejrzewam, że korzystanie z systemu Windows jest nie jednym z tych przypadków).

Uwaga: są prace, w których ostatecznie osobiście odpowiadasz za określone rodzaje problemów (przykładem może być bezpieczeństwo funkcjonalne w motoryzacji). Jednak zazwyczaj charakteryzują się one tym, że aby móc legalnie wykonywać tę pracę, potrzebujesz wyraźnych kwalifikacji. Firma nie może po prostu wyznaczyć przypadkowego inżyniera, który będzie teraz prawnie odpowiedzialny za certyfikację bezpieczeństwa. Częścią obowiązkowego szkolenia na takich stanowiskach są również wyraźne informacje o tym, za co ostatecznie odpowiadasz i jakie są oczekiwane działania w przypadku niezgodności.

Jeśli bardzo martwisz się telemetrią i wyciekiem informacji oraz masz uprawnienia niezbędne do wykonywania zadań administracyjnych na sprzęcie, którego używa twoje laboratorium, sugerowałbym aplikację blokującą telemetrię, chociaż zachęcam do przetestowania i przeanalizowania to przed jakimkolwiek wdrożeniem. Osobiście jestem fanem BlackBird, ale uważaj na efekty anulowania funkcjonalności (rozpoznawanie lokalizacji, sieć LAN itp.). Ponownie przestudiuj i przetestuj takie oprogramowanie wcześniej.

Ale chcę wspomnieć o innym aspekcie ochrony danych, nie w sensie prywatności , ale integralności danych .

Nie dałbym się za milion lat przyłapać na używaniu systemu Windows do pracy wrażliwej na dane, ponieważ ja i wielu innych padłem ofiarą tendencji systemu Windows i jego aplikacji (np. OneDrive) do usuwania plików użytkowników bez powiadomienia (na stałe, z pominięciem Kosza). Zobacz aktualizację 1809, aby zapoznać się z nowszym przykładem; jest wiele innych.