Probleem, mida peaaegu keegi ei näe
Advokaat saab kliendilt tundliku dokumendi. Arst arutab diagnoosi kolleegiga. Psühholoog koordineerib ravi psühhiaatriga. Maksunõustaja saadab deklaratsiooni andmed. Kõik teevad seda sõnumite kaudu. Ja peaaegu keegi pole mõelnud, kuhu need sõnumid jõuavad.
Vastus on enamikul juhtudel: serverisse, mida nad ei kontrolli, riigis, mille seadusandlust nad ei tunne, ettevõtte hallatuna, mille ärimudel on just andmete kogumine. Sõnum võib olla edastamisel krüpteeritud, aga kui see jõuab serverisse, on see salvestatud koopia kolmanda osapoole infrastruktuuris.
Mida ütleb seadus
Euroopa GDPR on selge: kes käitleb kolmandate isikute isikuandmeid, vastutab nende kaitsmise eest asjakohaste tehniliste meetmetega. Heast tahtest ei piisa. Ei piisa sellest, et rakendus ütleb, et krüpteerib. Kui sinu kliendi andmed on serveris, mis ei vasta Euroopa normidele, oled vastutav sina.
Ja asi pole ainult GDPR-is. Ametisaladus — reguleeritud advokaatidele, arstidele, psühholoogidele, audiitoritele ja paljudele teistele — nõuab, et suhtlus kliendiga oleks konfidentsiaalne. Mitte konfidentsiaalne "niivõrd kui võimalik". Tõeliselt konfidentsiaalne. Kui kanal, mida kasutad, ei saa seda tehniliselt tagada, võtad riski, mida ei peaks võtma.
Mida professionaal vajab?
See, mida tundlikku teavet käitlev professionaal vajab, on üllatavalt lihtne. Vajalik on kanal, kus sõnumid lähevad otse tema seadmest saaja seadmesse, ilma vahepealse serveri läbimiseta. Ilma koopiata pilves. Ilma isikliku telefoninumbri andmata. Ja infrastruktuuriga, mis vastab täielikult Euroopa seadusandlusele.
Ei vaja keerukat rakendust. Ei vaja koolitust. Ei vaja tööstiili muutmist. Vajab täpselt seda, mida juba kasutab — kiirsuhtlust — aga tehnilise garantiiga, et teave ei lahku kahe vestluses osaleva inimese seadmetest.
Erinevus krüpteerimise ja mittesalvestamise vahel
Sõnumi krüpteerimine ja serverisse salvestamine on nagu dokumendi panemine seifi ja selle jätmine võõra inimese majja. Seif on hea, jah. Aga dokument on endiselt kellegi teise majas. Ja see keegi teine võib saada kohtumääruse, võib langeda küberrünnaku ohvriks või võib lihtsalt muuta oma teenuse tingimusi.
Alternatiiv on, et dokument ei lahku kunagi sinu kontorist. Et see läheb otse sinu laualt kliendi lauale, ilma vahendajata. Just seda teeb otsesuhtlus seadmete vahel: kõrvaldab vahendaja. Mitte sellepärast, et vahendaja on halb. Vaid sellepärast, et vahendaja on ebavajalik. Ja ebavajalik on turvalisuses alati risk.
Vastutuse küsimus
Lõppkokkuvõttes on küsimus, mida iga professionaal peaks endalt küsima: kui homme lekib vestlus minu kliendiga, kas ma saan tõestada, et kasutasin tehniliselt turvalist kanalit? Kas saan tõestada, et andmed ei lahkunud kunagi meie seadmetest? Kas saan tõestada, et ei sõltunud teise mandri ettevõtte heast tahtest?
Tööriist, mille valid klientidega suhtlemiseks, ütleb palju selle kohta, kuidas sa nende usaldust väärtustad. Ja on tööriistu, mis on projekteeritud just selleks: et usaldus ei sõltuks lubadustest, vaid arhitektuurist.