Ένα πρόβλημα που σχεδόν κανείς δεν βλέπει
Ένας δικηγόρος λαμβάνει ένα ευαίσθητο έγγραφο από τον πελάτη του. Ένας γιατρός σχολιάζει μια διάγνωση με έναν συνάδελφο. Ένας ψυχολόγος συντονίζει με έναν ψυχίατρο τη θεραπεία ενός ασθενούς. Ένας φορολογικός σύμβουλος στέλνει τα δεδομένα μιας δήλωσης. Όλοι το κάνουν μέσω μηνυμάτων. Και σχεδόν κανείς δεν έχει σταματήσει να σκεφτεί πού καταλήγουν αυτά τα μηνύματα.
Η απάντηση, στις περισσότερες περιπτώσεις, είναι: σε έναν διακομιστή που δεν ελέγχουν, σε μια χώρα της οποίας τη νομοθεσία δεν γνωρίζουν, υπό τη διαχείριση μιας εταιρείας της οποίας το επιχειρηματικό μοντέλο είναι ακριβώς η συσσώρευση δεδομένων. Το μήνυμα μπορεί να είναι κρυπτογραφημένο κατά τη μεταφορά, αλλά μόλις φτάσει στον διακομιστή, είναι ένα αντίγραφο αποθηκευμένο στην υποδομή ενός τρίτου.
Τι λέει ο νόμος
Ο ευρωπαϊκός GDPR είναι σαφής: όποιος διαχειρίζεται προσωπικά δεδομένα τρίτων είναι υπεύθυνος για την προστασία τους με κατάλληλα τεχνικά μέτρα. Δεν αρκεί η καλή θέληση. Δεν αρκεί η εφαρμογή να λέει ότι κρυπτογραφεί. Εάν τα δεδομένα του πελάτη σας βρίσκονται σε έναν διακομιστή που δεν συμμορφώνεται με την ευρωπαϊκή νομοθεσία, εσείς είστε ο υπεύθυνος.
Και δεν είναι μόνο ο GDPR. Το επαγγελματικό απόρρητο —ρυθμισμένο για δικηγόρους, γιατρούς, ψυχολόγους, ελεγκτές και πολλούους άλλους— απαιτεί η επικοινωνία με τον πελάτη να είναι εμπιστευτική. Όχι εμπιστευτική "στο μέτρο του δυνατού". Πραγματικά εμπιστευτική. Εάν το κανάλι που χρησιμοποιείτε δεν μπορεί να το εγγυηθεί τεχνικά, αναλαμβάνετε ένα ρίσκο που δεν θα έπρεπε να αναλαμβάνετε.
Τι χρειάζεται ένας επαγγελματίας;
Αυτό που χρειάζεται ένας επαγγελματίας που διαχειρίζεται ευαίσθητες πληροφορίες είναι εκπληκτικά απλό. Χρειάζεται ένα κανάλι όπου τα μηνύματα θα πηγαίνουν απευθείας από τη συσκευή του σε αυτήν του παραλήπτη, χωρίς να περνούν από κανέναν ενδιάμεσο διακομιστή. Όπου δεν θα μένει αντίγραφο σε κανένα σύννεφο. Όπου δεν θα χρειάζεται να δώσει προσωπικό αριθμό τηλεφώνου. Και όπου η υποδομή θα συμμορφώνεται πλήρως με την ευρωπαϊκή νομοθεσία.
Δεν χρειάζεται μια περίπλοκη εφαρμογή. Δεν χρειάζεται εκπαίδευση. Δεν χρειάζεται να αλλάξει τον τρόπο εργασίας του. Χρειάζεται ακριβώς αυτό που χρησιμοποιεί ήδη —άμεσα μηνύματα— αλλά με την τεχνική εγγύηση ότι η πληροφορία δεν βγαίνει από τις συσκευές των δύο ατόμων που συμμετέχουν στη συνομιλία.
Η διαφορά μεταξύ κρυπτογράφησης και μη αποθήκευσης
Το να κρυπτογραφείς ένα μήνυμα και να το αποθηκεύεις σε έναν διακομιστή είναι σαν να βάζεις ένα έγγραφο σε ένα χρηματοκιβώτιο και να το αφήνεις στο σπίτι ενός αγνώστου. Το χρηματοκιβώτιο είναι καλό, ναι. Αλλά το έγγραφο παραμένει στο σπίτι κάποιου άλλου. Και αυτός ο άλλος μπορεί να λάβει μια δικαστική εντολή, μπορεί να υποστεί μια επίθεση πληροφορικής, ή μπορεί απλά να αλλάξει τους όρους παροχής υπηρεσιών του.
Η εναλλακτική είναι το έγγραφο να μη βγει ποτέ από το γραφείο σας. Να πάει απευθείας από το τραπέζι σας στο τραπέζι του πελάτη σας, χωρίς να περάσει από κανέναν ενδιάμεσο. Αυτό κάνει η άμεση επικοινωνία μεταξύ συσκευών: καταργεί τον ενδιάμεσο. Όχι ότι ο ενδιάμεσος είναι κακός. Είναι ότι ο ενδιάμεσος είναι περιττός. Και το περιττό, στην ασφάλεια, είναι πάντα ρίσκο.
Ένα θέμα ευθύνης
Στο τέλος, η ερώτηση που κάθε επαγγελματίας θα έπρεπε να θέσει στον εαυτό του είναι: εάν αύριο διαρρεύσει μια συνομιλία με τον πελάτη μου, μπορώ να αποδείξω ότι χρησιμοποίησα ένα τεχνικά ασφαλές κανάλι; Μπορώ να αποδείξω ότι τα δεδομένα δεν βγήκαν ποτέ από τις συσκευές μας; Μπορώ να αποδείξω ότι δεν εξαρτήθηκα από την καλή θέληση μιας εταιρείας από άλλη ήπειρο;
Το εργαλείο που επιλέγετε για να επικοινωνείτε με τους πελάτες σας λέει πολλά για το πώς αξιολογείτε την εμπιστοσύνη τους. Και υπάρχουν εργαλεία που είναι σχεδιασμένα ακριβώς για αυτό: ώστε η εμπιστοσύνη να μην εξαρτάται από υποσχέσεις, αλλά από την αρχιτεκτονική.