"מצב החבות הנתפס החמיר": BYOD - מסוכן מבחינה משפטית באופן קיצוני

Anonim

CW: באיזו מידה חברות גרמניות עוסקות כיום בשאלות של תאימות IT?

הכורים: אנו נמצאים בשלב הזיהוי. בתחום הארגוני הנושא אכן עובר, במעמד הביניים הגרמני הגדול אולם לא. מכיוון שכמעט ואין שם נושאי משרה, חברי הדירקטוריון דוחים את הנושא למנהלי IT, שאינם אחראיים כחוק ולכן הם מעצבנים. למרות שהם נושאים בנתח האחריות ליישום המעשי, כל ההתחייבויות הינן באחריות החברה עצמה.

CW: אתה אומר שתאימות היא נושא די קל להבין כאשר חברות מתנתקות ממודל החשיבה האמריקני. למה בדיוק אתה מתכוון בזה?

ריינים: אני מתכוון לחברות בינוניות בגרמניה שאינן כפופות לחברת אם בארצות הברית. ישנם רבים מהם, שעבורם ההנחיות כמו BASEL II, SOX וכו 'אינן רלוונטיות לחלוטין. עם זאת, חברות אלה בונות מכשולים נפשיים שבאמת לא קיימים. למרבה המזל, המשרד הפדרלי לביטחון בטכנולוגיית מידע (BSI) מתחיל אט אט לדאוג למעמד הביניים - רק מכיוון שהוא הכיר בכך שלא ניתן לעמוד בהנחיות התקפות שקודם לכן למפעל בינוני. אחרי הכל, אנחנו מדינה עם בטן גדולה מהמעמד הבינוני, אך דנה כמעט אך ורק על התאגידים. עבור חברות קטנות ובינוניות, סוגיות אלה הופכות תמיד רלוונטיות שנתיים שלוש לאחר מכן. בעוד שרוב היצרנים אפילו לא יכולים לשמוע את המילה ציות ל- IT, היא עדיין די חדשה עבור חברה בינונית.

CW: האם אנו זקוקים לחוקי IT חדשים או משתנים?

Rechtsanwalt Wilfried Reiners kritisiert die Datenschutzgesetze.
עורך הדין וילפריד ריינרס מבקר את חוקי הגנת המידע.
צילום: PRW Consulting GmbH

הכורים: הדבר החשוב הוא שנקבל מדיניות פרטיות ריאלית. בזמנים של פייסבוק ורשתות חברתיות אחרות עלינו להתרחק מחוק איסור לחוק הצעה. עליי להיות אפשרי, כמשתמש, להעביר את הנתונים שלי ללא שום בעיות, אבל אני יכול "לאחזר" אותם בכל עת. הגנת המידע של ימינו פשוט אינה ניתנת לשחזור. אינך רוצה מגני פרטיות מכיוון שאתה תקוע בין עץ לנביחה ואינך יכול עוד לעמוד בדרישות החוקיות. דרישות משפטיות אחרות הנוגעות לרלוונטיות ה- IT עלו במידה רבה לקדמת הבמה. דוגמא לכך היא ביקורת דיגיטלית המשולבת ברוב מערכות ה- ERP. בקיצור: אני לא רואה צורך בחוקים חדשים - ממש לאחר שינוי בחוק הגנת הנתונים.

לבטל את חוקי ה- IT?

CW: האם ביטול הדרישות הקיימות רצוי כדי להפחית את המורכבות?

ריינים: מחשבה טובה. הדבר החשוב ביותר עבור חברה הוא להכיר באילו חוקים רלוונטיים בכלל. ככלל, יותר ממחצית ממספר התקנות האפשריות יופחת מכיוון שאינן עובדות בחברה. לדוגמא, בואו נסתכל על פקודת רנטגן §28 - תקן החל על בתי חולים ורדיולוגיה ומסדיר את תקופת השמירה של תמונות רנטגן. המשימה של הצורך להחזיק אותם בתקופת הטיפול במשך 30 שנה היא אתגר, אין עוררין. מי יכול להגיד לך היום איך אתה שומר באופן אמין נתונים דיגיטליים במשך שלושה עשורים? למרות שישנם ספקי פתרונות רבים הטוענים זאת - הסתכלות לאחור על פני 30 השנים האחרונות מראה אילו שינויים טכניים הייתה כרוכה בתקופה זו. כרגע זה אומר עבורי "הנדידה הנצחית". כדי לחזור לשאלה, באופן כללי, איננו עמוסים בחוקים.

CW: איזו משמעות משפטית יש למגמה "להביא מכשיר משלך" לחברות גרמניות?

REINERS: אם העובד משתמש גם במכשיר הפרטי שלו בחברה, מכשיר גדול מאוד. זה נוגע לתחומי האחריות, בעלות על נתונים, הגנה על נתונים, סודיות, אובדן סודיות וגם ניקוז נתונים מבחינת יצוא הידע. הבעיה היא שאין שום "אשם" במובן האמיתי. יש רק עובד אחד המאחסן נתוני חברה במכשיר הפרטי שלו. חברות רבות מנסות להתמודד עם בעיות מתעוררות בכל מיני מדיניות ליברלית. אבל אני לא מכיר מדיניות ליברלית אחת שמכסה לחלוטין את נושא ה- BYOD. השאלה שחברות צריכות לשאול היא: האם מכשיר עם מחיר רכישה נמוך מ- 1000 יורו שווה את הסיכון? אני אומר: לא, לעולם. אני לא חבר של BYOD. בעוד שחברות מדגישות את היתרונות - טיפול גדול יותר מצד העובד בטיפול במכשיר וברמת האבטחה שלו, אני תמיד ממליץ לרכוש את המכשירים עבור העובדים, ולא להפך. כל השאר הוא מבחינה משפטית מאוד מסוכן.