Problem, którego prawie nikt nie widzi
Prawnik otrzymuje wrażliwy dokument od klienta. Lekarz omawia diagnozę z kolegą. Psycholog koordynuje z psychiatrą leczenie pacjenta. Doradca podatkowy wysyła dane zeznania. Wszyscy robią to przez komunikatory. I prawie nikt z nich nie zastanowił się, gdzie te wiadomości trafiają.
Odpowiedź w większości przypadków brzmi: na serwer, którego nie kontrolują, w kraju, którego prawodawstwa nie znają, zarządzanym przez firmę, której model biznesowy polega właśnie na gromadzeniu danych. Wiadomość może być zaszyfrowana w trakcie przesyłania, ale gdy dotrze na serwer, jest kopią przechowywaną w infrastrukturze strony trzeciej.
Co mówi prawo
Europejskie RODO jest jasne: kto przetwarza dane osobowe osób trzecich, jest odpowiedzialny za ich ochronę za pomocą odpowiednich środków technicznych. Dobra wola nie wystarczy. Nie wystarczy, że aplikacja mówi, że szyfruje. Jeśli dane Twojego klienta są na serwerze, który nie spełnia europejskich przepisów, to Ty ponosisz odpowiedzialność.
I nie chodzi tylko o RODO. Tajemnica zawodowa — regulowana dla prawników, lekarzy, psychologów, audytorów i wielu innych — wymaga, aby komunikacja z klientem była poufna. Nie poufna "w miarę możliwości". Naprawdę poufna. Jeśli kanał, którego używasz, nie może tego technicznie zagwarantować, podejmujesz ryzyko, którego nie powinieneś podejmować.
Czego potrzebuje profesjonalista?
To, czego potrzebuje profesjonalista zarządzający wrażliwymi informacjami, jest zaskakująco proste. Potrzebuje kanału, w którym wiadomości idą bezpośrednio z jego urządzenia na urządzenie odbiorcy, bez żadnego serwera pośredniczącego. Gdzie nie zostaje kopia w żadnej chmurze. Gdzie nie trzeba podawać prywatnego numeru telefonu. I gdzie infrastruktura w pełni spełnia europejskie przepisy.
Nie potrzebuje złożonej aplikacji. Nie potrzebuje szkolenia. Nie musi zmieniać sposobu pracy. Potrzebuje dokładnie tego, czego już używa — komunikatora — ale z gwarancją techniczną, że informacje nie opuszczają urządzeń dwóch osób uczestniczących w rozmowie.
Różnica między szyfrowaniem a nieprzechowywaniem
Zaszyfrować wiadomość i przechowywać ją na serwerze to jak włożyć dokument do sejfu i zostawić go w domu nieznajomego. Sejf jest dobry, tak. Ale dokument wciąż jest w domu kogoś innego. A ten ktoś może otrzymać nakaz sądowy, może paść ofiarą cyberataku, albo może po prostu zmienić swoje warunki korzystania z usługi.
Alternatywą jest to, żeby dokument nigdy nie opuścił Twojego biura. Żeby trafił bezpośrednio z Twojego biurka na biurko klienta, bez żadnego pośrednika. Właśnie to robi bezpośrednia komunikacja między urządzeniami: eliminuje pośrednika. Nie dlatego, że pośrednik jest zły. Ale dlatego, że pośrednik jest zbędny. A to, co zbędne, w bezpieczeństwie zawsze stanowi ryzyko.
Kwestia odpowiedzialności
Ostatecznie pytanie, które każdy profesjonalista powinien sobie zadać, brzmi: jeśli jutro wycieknie rozmowa z moim klientem, czy mogę udowodnić, że użyłem technicznie bezpiecznego kanału? Czy mogę udowodnić, że dane nigdy nie opuściły naszych urządzeń? Czy mogę udowodnić, że nie polegałem na dobrej woli firmy z innego kontynentu?
Narzędzie, które wybierasz do komunikacji z klientami, mówi wiele o tym, jak cenisz ich zaufanie. I są narzędzia zaprojektowane dokładnie do tego: żeby zaufanie nie zależało od obietnic, ale od architektury.