Parte a jobului meu de consultant de privacy este să fac și analiza tuturor riscurilor privind prelucrările de date cu caracter personal dintr-o organizație. Risk assessment-ul nu este ceva nou, se face de foarte mulți ani și presupune o abordare 360 asupra detaliilor unei activități auditate. Adică literalmente ne punem capul la contribuție și ne întrebăm ce riscuri pot să apară. Odată riscurile identificate, sunt mai multe metodologii de analiză a lor. Eu folosesc o metodologie bazată pe analiza probabilității de manifestare a riscului și pe impactul generat în caz de manifestare a riscului, în care asignez un număr pe o scală de la 1 la 5 (scala se poate schimba) la probabilitate, un număr la risc și le reprezint pe o diagramă x0y bidimensională pentru a putea prioritiza riscurile. Prioritizarea se poate face și înmulțind numerele și sortând apoi crescător sau descrescător riscurile. Dar eu fac diagrama x0y bidimensională. Mai jos un exemplu din cursul meu de Data Protection Officer, acreditat ANC, unde fac o analiză asupra unor riscuri de securitate IT (exemplul este pur ilustrativ):
Sunt curios dacă cineva a făcut o analiză de risc asupra acestui protocol. Să luăm câteva exemple de măsuri și să le mapăm din punct de vedere al probabilității de infectare și al impactului asupra populației. Scala este de la 1 la 10 și la probabilitate și la impact. La impact, 1 înseamnă doar asimptomatic, 5 înseamnă internare, 10 înseamnă deces.
Să ne gândim la faptul că credincioșii se vor strânge, conform punctului 1 din protocol, în afara lăcașurilor de cult. Există deci un risc de infectare al acestora. Deoarece populația peste 65 de ani, conform protocolului, ar trebui să primească lumina de la voluntari și forțele de ordine, aceasta nu ar trebui să fie în jurul lăcașurilor de cult. Dar va fi. Deci aș pune un 5 la probabilitate, și un 6 la impact.
Un alt risc: lipsa informării voluntarilor și a forțelor de ordine pentru ca aceștia să știe cum să procedeze corect. Probabilitatea de infectare este foarte mare deoarece chiar dacă informarea va fi dată voluntarilor, este un efort uriaș de informare a unor mii de voluntari și cadre MAI/MAPN pe parcursul a doar câteva zile. Îmi este foarte greu să cred că toată lumea va ști ce trebuie să facă și cum să respecte procedura. Ce să facă în cazuri „speciale” care tot apar. Acești voluntari de pot infecta și pot transmite mai departe infecția. Aș pune un 4 la probabilitate, și un 6 la impact.
Un alt risc: nerespectarea punctului 7 prin care la blocuri grupuri de 2-3 voluntari ies în fața blocului să ia lumină și apoi să dea mai departe. Îmi este foarte greu să cred că asociațiile de locatari se vor organiza, vor stabili voluntarii și vor ști unde să meargă să dea lumină. Drept urmare foarte probabil vor suna la toate ușile și vor da lumină așa cum vor putea. Probabilitatea este undeva la 7, impactul este undeva la 7.
Putem dezbate mult pe aceste riscuri, dar exemplele sunt ilustrative. Nu am identificat toate riscurile, am ilustrat doar câteva. Mă puteți contrazice pe evaluarea pe care am făcut-o, și m-aș bucura să o faceți, dar sincer m-aș bucura să știu că cineva la MAI și la MAPN a făcut această analiză, au dezbătut riscurile utilizând o metodologie cunoscută și au luat aceste decizii într-un mod informat.
Căci la cum este redactat documentul măsurile au fost luate absolut după ureche.