Ați auzit cu toții probabil de email-ul ce a circulat în interiorul unei bănci cu explicația unui client de ce are nevoie de o sumă mare de EUR cash. Email care a fost printat și distribuit pe Facebook.
Da, hăhăhă, lumea a râs, hăhăhă ce i-a zis-o clientul băncii, ce idioți sunt cei de la bancă fiindcă cer explicații etc. Ca de obicei românii au dat-o pe bășcălie. Acum vine nota de plată și este cu lacrimi.
În primul rând, vorbim despre un data breach conform GDPR. Datele unui client și ale unor angajați ai băncii au fost expuse în mod neautorizat, mai mult aceste informații îi afectează negativ pe cei expuși (în special pe clientul băncii a cărui cerere privind suma EXACTĂ de bani a fost expusă). Datele financiare sunt date sensibile (nu cu caracter special) deoarece expunerea lor îi poate afecta nasol de tot pe cei implicați. De exemplu, acum toată lumea știe că acea persoană dorea să scoată o sumă mare de bani în EUR cash. Eventual a scos-o și acum o are fizic undeva. Bună țintă pentru hoți, nu-i așa?
În al doilea rând vorbim de încălcarea tuturor procedurilor interne ale băncii. Email-ul este clar marcat cu „Clasificare: Uz intern”! Sistemul de Data Loss Prevention și-a făcut perfect treaba! Doar că cineva a încălcat EXPRES procedurile interne ale băncii și a printat acest email, eventual l-a lăsat în imprimantă. Iar altcineva a fotografiat email-ul. Scurt și simplu! Fix ca în cazul altei bănci din România care și-a luat o amendă de 150.000 EUR pentru un data breach creat de doi angajați, în ciuda diseminării către toți angajații a tuturor procedurilor interne ce interziceau clar genul de prelucrări făcute de cei doi angajați.
În al treilea rând – și asta este nasoală din punct de vedere PR – niște angajați ai băncii fac mișto de un client. Ceea ce este foarte nasol, nu are nicio justificare de business și s-a făcut (speculez aici) încălcând politica de email intern a băncii.
De trei ani vorbesc nu doar de dezvoltarea unor proceduri de respectare a GDPR ci de explicarea lor într-un mod „uman” angajaților. Este a doua oară când vedem o situație în care unor angajați li s-a rupt de procedurile interne ale organizației și au făcut o nefăcută doar pentru că li s-a părut fun. La fiecare client mă chinui să explic ce se poate face, ce nu se poate face, ce trebuie evitat etc. O altă politică pe care o recomand este politica Clean Desk Clear Screen Policy. Biroul curat, actele într-un sertar/dulăpior închis, orice job se ia din imprimantă imediat, eventual se printează doar când cel care a cerut job-ul este în dreptul imprimantei. Dar nu este destul să ai politica, trebuie să o explici și să o testezi. Da, nu este ușor dar conformitatea la GDPR nu este un efort „one shot” ci este un efort continuu de analiză, atenuare riscuri, implementare măsuri, evaluare, monitorizare, schimbare.
Închei explicându-vă de ce a cerut banca clientului explicații pentru acea sumă mare cash. Fiindcă există o lege, cunoscută ca legea AML – Anti-Money Laundering și anti-tero care obligă multe instituții să ceară multiple detalii despre clienți și despre tranzacțiile acestora pentru a evita finanțarea terorismului sau spălarea de bani. Băncile nu au voie să elibereze sume de bani fără a cere explicații detaliate! Tot aici intră blocările de conturi făcute de diverse bănci unor indivizi ce nu dădeau detalii personale cerute. Este o lege și orice lege trebuie cunoscută de către toți cetățenii României.
5 comentarii Adaugă comentariu
Punctul de vedere GDPR e OK Tudor. Adevarata problema este insa de ce s-a ajuns in situatia asta si care e „root cause”-ul intamplarii? Pe scurt, birocratia care traieste prin ea insasi a mai facut o victima. Da, amenda trebuie data pt „GDPR breach” dar eu as da o amenda si mai mare pentru abuz impotriva clientului. Pacat ca asa ceva nu exista…
Cum e clasica schema : „Buletinl si certificatul de nastere va rog!” / „Pai buletinul e emis pe baza certificatului de nastere. De ce va trebuiesc ambele? ” / „Asa e regula!” …
Succes !
Pentru hoti nu e atat de buna tinta, dar pentru curve este!
Bogdan, root cause e putin mai sus: Europa in general si Romania in particular sunt “programate” mai degraba sa se asigure ca nu se intampla ceva (rau) decat sa ajute sa se intample ceva (bun). Asa ca toate legile, regulile, cutumele sunt mai degraba ‘contra’ decat ‘pentru’. Oamenii in general sunt setati sa vada problemele, nu oportunitatile. In cuvinte poate nepotrivite, noi ne aparam, nu atacam. Oamenii sunt implicit vinovati, banii sunt implicit nelegitimi si trebuie sa demonstrezi ca nu e asa.
O lege proastă & pute de neocomunism.
Pe de altă parte, ce e de rahat, consta în faptul că o alta banca, niște ani în urmă (să fie 2-3 ani?) când li s-au furat zeci de mii de euro și n-au comunicat nimic, aproape nimănui.