Problém, ktorý takmer nikto nevidí
Advokát dostane citlivý dokument od svojho klienta. Lekár diskutuje diagnózu s kolegom. Psychológ koordinuje s psychiatrom liečbu pacienta. Daňový poradca posiela údaje daňového priznania. Všetci to robia cez správy. A takmer nikto sa nezastavil, aby sa zamyslel, kam tie správy vlastne putujú.
Odpoveď je vo väčšine prípadov: na serveri, ktorý nekontrolujú, v krajine, ktorej legislatívu nepoznajú, spravovanom spoločnosťou, ktorej obchodný model je práve hromadenie dát. Správa môže byť šifrovaná počas prenosu, ale akonáhle dorazí na server, je to kópia uložená v infraštruktúre tretej strany.
Čo hovorí zákon
Európske GDPR je jasné: kto spracúva osobné údaje tretích osôb, je zodpovedný za ich ochranu primeranými technickými opatreniami. Dobrá vôľa nestačí. Nestačí, aby aplikácia tvrdila, že šifruje. Ak sú dáta tvojho klienta na serveri, ktorý nespĺňa európsku legislatívu, ty si zodpovedný.
A nejde len o GDPR. Profesionálne tajomstvo — upravené pre advokátov, lekárov, psychológov, audítorov a mnohých ďalších — vyžaduje, aby komunikácia s klientom bola dôverná. Nie dôverná "v rámci možností". Dôverná naozaj. Ak kanál, ktorý používaš, to nedokáže technicky zaručiť, preberáš riziko, ktoré by si preberať nemal.
Čo potrebuje profesionál?
To, čo potrebuje profesionál pracujúci s citlivými informáciami, je prekvapivo jednoduché. Kanál, kde správy idú priamo z jeho zariadenia na zariadenie príjemcu, bez prechodu cez žiadny sprostredkovateľský server. Kde nezostane žiadna kópia v žiadnom cloude. Kde nie je potrebné dať osobné telefónne číslo. A kde infraštruktúra plne vyhovuje európskej legislatíve.
Nepotrebuje komplexnú aplikáciu. Nepotrebuje školenie. Nepotrebuje meniť spôsob práce. Potrebuje presne to, čo už používa — okamžité správy — ale s technickou zárukou, že informácie neopustia zariadenia dvoch ľudí, ktorí sa zúčastňujú konverzácie.
Rozdiel medzi šifrovaním a neukladaním
Zašifrovať správu a uložiť ju na server je ako vložiť dokument do trezora a nechať ho v dome neznámeho. Trezor je dobrý, áno. Ale dokument je stále v dome niekoho iného. A ten niekto môže dostať súdny príkaz, môže utrpieť kybernetický útok alebo môže jednoducho zmeniť svoje podmienky služby.
Alternatívou je, že dokument nikdy neopustí tvoju kanceláriu. Že ide priamo z tvojho stola na stôl tvojho klienta, bez prechodu cez žiadneho sprostredkovateľa. To robí priama komunikácia medzi zariadeniami: eliminuje sprostredkovateľa. Nie že by sprostredkovateľ bol zlý. Je zbytočný. A čo je zbytočné, v bezpečnosti je to vždy riziko.
Otázka zodpovednosti
Nakoniec, otázka, ktorú by si mal položiť každý profesionál, je: ak sa zajtra unikne konverzácia s mojím klientom, môžem dokázať, že som použil technicky bezpečný kanál? Môžem dokázať, že dáta nikdy neopustili naše zariadenia? Môžem dokázať, že som sa nespoliehal na dobrú vôľu spoločnosti z iného kontinentu?
Nástroj, ktorý si zvolíš na komunikáciu so svojimi klientmi, hovorí veľa o tom, ako si ceníš ich dôveru. A existujú nástroje navrhnuté presne na to: aby dôvera nezávisela od sľubov, ale od architektúry.