A GDPR legnagyobb problémája, hogy a megfogalmazása teljesen általános. Amiben a maga szempontjából van ráció. Másrészt ez nagyon megnehezíti az alkalmazását. Főként ha bekövetkezett az a bizonyos incidens.
Teljes biztonság ugyanis nincsen. Van kicsi biztonság, közepes biztonság, nagy biztonság. Teljes biztonság nincs.
Vegyünk egy hasonlatot a a való életből.
Van egy házad. Tárva-nyitva hagyod az ajtót és valaki betör, elviszi a családi ezüstöt. A kár a tied, de ezért nem vagy büntethető (legfeljebb röhögnek rajtad a szomszédok), a bűnös továbbra is a betörő.
De tegyük fel, hogy orvos vagy és a lakásban örzöd a betegkartonokat. Adatokat kezelsz másokról. Ha most ide betörnek, attól függetlenül hogy kár ér, de nem nyúl senki sem a kartonokhoz, jöhet a vizsgálat. Ha a vizsgálat az deríti ki, hogy a kartonokat felelőtlenül őrizted, jöhet a büntetés. Te is áldozat vagy, de bűnös lehetsz a hanyagságodért.
A GDPR viszont nem ad semmiféle kapaszkodót olyan értelemben, hogy egy körzeti orvosnak hogyan kell őrizni a kartonokat.
- Elég zárni az orvosi rendelőt?
- A kartonokat zárható (mennyire?) szekrényben kell őrizni?
- A helységet riasztóval kell ellátni?
- A riasztót be kell kötni a rendőrségre?
- A kartonokat navahó indián nyelven kell vezetni? (titkosítás)
Azaz történik egy incidens vagy jön egy vizsgálat. Bármennyire biztonságos a rendszered, lehetne biztonságosabb. Az ellenőr mondhatja ( hiszen ő a kibic), hogy miért nem ezt vagy azt tetted tetted. Viszont az ez-meg-az árát neked ( vagy a kuncsafnak) kell állnia.
Azaz a rendelet tág teret ad az önkénynek. Amit a viág szerencsésebb részén esetleg kezelni is tudnak. Itt viszont biztosan nem.
A biztonság növelésének ára viszont nem lineáris. A dupla biztonság ( amennyiben mérhető), nem kétszeresébe, hanem négyszeresébe, nyolcszorosába vagy tizanhatszorosába kerül.
Van egy bűvös háromszög:
- bekerülési/fenntartási költség (erőforrásigény)
- használhatóság/kényelem/komfort/gyorsaság
- biztonság
Ebből a háromból mindíg legfeljebb kettő lehet az ideális szint közelében.
