A probléma, amit szinte senki nem lát
Egy ügyvéd érzékeny dokumentumot kap az ügyfelétől. Egy orvos diagnózist vitat meg egy kollégával. Egy pszichológus kezelést koordinál pszichiáterrel. Egy adótanácsadó elküldi egy bevallás adatait. Mindenki üzeneteken keresztül teszi. És szinte senki nem gondolkodott el azon, hová jutnak ezek az üzenetek.
A válasz a legtöbb esetben: olyan szerverre, amelyet nem ők irányítanak, olyan országban, amelynek jogszabályait nem ismerik, olyan vállalat kezelésében, amelynek üzleti modellje éppen az adatgyűjtés. Az üzenet lehet titkosított az átvitel során, de amint megérkezik a szerverre, tárolt másolatként létezik harmadik fél infrastruktúrájában.
Mit mond a törvény
Az európai GDPR egyértelmű: aki harmadik felek személyes adatait kezeli, felelős azok megfelelő technikai intézkedésekkel történő védelméért. A jó szándék nem elég. Nem elég, hogy az alkalmazás azt mondja, titkosít. Ha ügyfeled adatai olyan szerveren vannak, amely nem felel meg az európai normáknak, te vagy a felelős.
És nem csak a GDPR-ról van szó. A szakmai titoktartás — ügyvédekre, orvosokra, pszichológusokra, könyvvizsgálókra és sok másra vonatkozóan szabályozott — megköveteli, hogy az ügyféllel folytatott kommunikáció bizalmas legyen. Nem "amennyire lehetséges" bizalmas. Valóban bizalmas. Ha a használt csatorna technikailag nem tudja garantálni, olyan kockázatot vállalsz, amelyet nem kellene.
Mire van szüksége egy szakembernek?
Ami egy érzékeny információkat kezelő szakembernek szükséges, meglepően egyszerű. Olyan csatorna, ahol az üzenetek közvetlenül az ő eszközéről a címzett eszközére jutnak, anélkül hogy bármilyen közvetítő szerveren átmennének. Felhő másolat nélkül. Személyes telefonszám megadása nélkül. Olyan infrastruktúrával, amely teljes mértékben megfelel az európai jogszabályoknak.
Nem kell bonyolult alkalmazás. Nem kell képzés. Nem kell megváltoztatnia a munkamódszerét. Pontosan arra van szüksége, amit már használ — azonnali üzenetküldés — de azzal a technikai garanciával, hogy az információ nem hagyja el a beszélgetésben részt vevő két személy eszközeit.
A különbség a titkosítás és a nem tárolás között
Egy üzenetet titkosítani és szerveren tárolni olyan, mint egy dokumentumot széfbe tenni és egy idegen házában hagyni. A széf jó, igen. De a dokumentum még mindig valaki más házában van. És az a valaki kaphat bírósági végzést, kibertámadás érheti, vagy egyszerűen megváltoztathatja a szolgáltatási feltételeit.
Az alternatíva az, hogy a dokumentum soha nem hagyja el az irodádat. Hogy közvetlenül az asztaloról az ügyfeled asztalára jusson, közvetítő nélkül. Pontosan ezt teszi az eszközök közötti közvetlen kommunikáció: eltávolítja a közvetítőt. Nem azért, mert a közvetítő rossz. Hanem azért, mert szükségtelen. A szükségtelen pedig a biztonságban mindig kockázat.
Felelősség kérdése
Végső soron a kérdés, amelyet minden szakembernek fel kellene tennie magának: ha holnap kiszivárog az ügyfelemmel folytatott beszélgetés, bizonyítani tudom-e, hogy technikailag biztonságos csatornát használtam? Bizonyítani tudom-e, hogy az adatok soha nem hagyták el az eszközeinket? Bizonyítani tudom-e, hogy nem egy másik kontinens vállalatának jó szándékára hagyatkoztam?
Az ügyfelekkel való kommunikációhoz választott eszköz sokat elárul arról, hogyan értékeled a bizalmukat. És vannak olyan eszközök, amelyeket pontosan erre terveztek: hogy a bizalom ne ígéreteken, hanem az architektúrán múljon.