Problēma, ko gandrīz neviens neredz
Advokāts saņem sensitīvu dokumentu no sava klienta. Ārsts apspriež diagnozi ar kolēģi. Psihologs koordinē ar psihiatru pacienta ārstēšanu. Nodokļu konsultants sūta deklarācijas datus. Visi to dara caur ziņapmaiņu. Un gandrīz neviens nav apstājies padomāt, kur šie ziņojumi nonāk.
Atbilde vairumā gadījumu ir: serverī, ko viņi nekontrolē, valstī, kuras likumdošanu viņi nepārzina, ko pārvalda uzņēmums, kura biznesa modelis ir tieši datu uzkrāšana. Ziņojums var būt šifrēts pārsūtīšanas laikā, bet, nonākot serverī, tā ir kopija, kas glabājas trešās puses infrastruktūrā.
Ko saka likums
Eiropas VDAR ir skaidra: kas apstrādā trešo personu personas datus, ir atbildīgs par to aizsardzību ar atbilstošiem tehniskiem pasākumiem. Ar labu gribu nepietiek. Nepietiek ar to, ka lietotne apgalvo, ka šifrē. Ja tava klienta dati ir serverī, kas neatbilst Eiropas likumdošanai, tu esi atbildīgais.
Un runa nav tikai par VDAR. Profesionālais noslēpums — reglamentēts advokātiem, ārstiem, psihologiem, revidentiem un daudziem citiem — prasa, lai komunikācija ar klientu būtu konfidenciāla. Ne konfidenciāla "cik vien iespējams". Patiesi konfidenciāla. Ja kanāls, ko lieto, to nevar tehniski garantēt, tu uzņemies risku, ko nevajadzētu uzņemties.
Kas profesionālim nepieciešams?
Tas, kas nepieciešams profesionālim, kurš strādā ar sensitīvu informāciju, ir pārsteidzoši vienkārši. Kanāls, kur ziņojumi iet tieši no viņa ierīces uz adresāta ierīci, neejot caur nekādu starpserveri. Kur nekāda kopija nepaliek nekādā mākonī. Kur nav jānorāda personīgais tālruņa numurs. Un kur infrastruktūra pilnībā atbilst Eiropas likumdošanai.
Nav nepieciešama sarežģīta lietotne. Nav nepieciešama apmācība. Nav jāmaina darba veids. Nepieciešams tieši tas, ko jau lieto — tūlītēja ziņapmaiņa — bet ar tehnisku garantiju, ka informācija nepametīs to divu cilvēku ierīces, kas piedalās sarunā.
Atšķirība starp šifrēšanu un neglabāšanu
Šifrēt ziņojumu un glabāt to serverī ir kā ielikt dokumentu seifā un atstāt to svešinieka mājās. Seifs ir labs, jā. Bet dokuments joprojām atrodas kāda cita mājās. Un šis cits var saņemt tiesas rīkojumu, var ciest kiberuzbrukumu vai var vienkārši mainīt savus pakalpojumu noteikumus.
Alternatīva ir tāda, ka dokuments nekad nepamet tavu biroju. Ka tas iet tieši no tava galda uz klienta galdu, neejot caur nekādu starpnieku. To dara tiešā komunikācija starp ierīcēm: tā novērš starpnieku. Ne tāpēc, ka starpnieks būtu slikts. Bet tāpēc, ka starpnieks ir lieks. Un kas ir lieks, drošībā vienmēr ir risks.
Atbildības jautājums
Galu galā jautājums, ko katram profesionālim vajadzētu sev uzdot, ir: ja rīt noplūdīs saruna ar manu klientu, vai es varu pierādīt, ka izmantoju tehniski drošu kanālu? Vai varu pierādīt, ka dati nekad nepameta mūsu ierīces? Vai varu pierādīt, ka neatkarījos no kāda cita kontinenta uzņēmuma labās gribas?
Rīks, ko izvēlies saziņai ar saviem klientiem, daudz ko pasaka par to, kā tu vērtē viņu uzticību. Un ir rīki, kas ir veidoti tieši tam: lai uzticība nebūtu atkarīga no solījumiem, bet no arhitektūras.