Läs också: Gammalt system var online — ingen upptäckte det
Det spanska e-handelsföretaget som fick €1 090 000 i böter hade inte bara ett säkerhetsproblem. De hade ett ägarproblem. Det gamla systemet stod anslutet utan att någon uppdaterade det, övervakade det, eller visste att det fortfarande var tillgängligt från internet.
När ingen äger ett system äger ingen risken heller. Ingen kontrollerar om programvaran är uppdaterad. Ingen loggar vem som ansluter. Ingen ställer frågan – behöver vi detta fortfarande?
Behandlingsprotokollen (RoPA) ska innehålla en översikt över de system som behandlar personuppgifter. Men i många verksamheter uppdateras den bara när nya system läggs till — inte när gamla system borde ha tagits bort.
Praktisk poeng
Varje system som behandlar personuppgifter behöver en ägare – en person som är ansvarig för uppdatering, åtkomst och avveckling. Gå igenom behandlingsprotokollet. Står det system där utan namngiven ansvarig? Då har du hittat risken.
Inspirerad av: AEPD (Spanien) via TechLaw.se