Težava, ki je skoraj nihče ne vidi
Odvetnik od svoje stranke prejme občutljiv dokument. Zdravnik komentira diagnozo s kolegom. Psiholog s psihiatrom koordinira zdravljenje pacienta. Davčni svetovalec pošlje podatke o napovedi. Vsi to počnejo prek sporočil. In skoraj nihče se ni ustavil in pomislil, kje končajo ta sporočila.
Odgovor je v večini primerov: na strežniku, ki ga ne nadzorujejo, v državi, katere zakonodaje ne poznajo, pod upravljanjem podjetja, katerega poslovni model je ravno kopičenje podatkov. Sporočilo je med prenosom morda šifrirano, toda ko doseže strežnik, je kopija, shranjena v infrastrukturi tretje osebe.
Kaj pravi zakon
Evropski GDPR je jasen: vsakdo, ki upravlja z osebnimi podatki tretjih oseb, je odgovoren za njihovo zaščito z ustreznimi tehničnimi ukrepi. Dobra volja ni dovolj. To, da aplikacija pravi, da šifrira, ni dovolj. Če so podatki vaše stranke na strežniku, ki ni skladen z evropskimi pravili, ste vi tisti, ki ste odgovorni.
In ni le GDPR. Poklicna molčečnost —urejena za odvetnike, zdravnike, psihologe, revizorje in mnoge druge— zahteva, da je komunikacija s stranko zaupna. Ne zaupna "kolikor je le mogoče". Resnično zaupna. Če kanal, ki ga uporabljate, tega ne more zagotoviti tehnično, prevzemate tveganje, ki ga ne bi smeli prevzeti.
Kaj potrebuje profesionalec?
Tisto, kar potrebuje profesionalec, ki upravlja z občutljivimi informacijami, je presenetljivo preprosto. Potrebuje kanal, kjer bodo sporočila gredo neposredno z njegove naprave na napravo prejemnika, ne da bi šla prek katerega koli vmesnega strežnika. Kjer ne bo ostala kopija v nobenem oblaku. Kjer ne bo treba dati osebne telefonske številke. In kjer bo infrastruktura v celoti skladna z evropskimi pravili.
Ne potrebuje zapletene aplikacije. Ne potrebuje usposabljanja. Ni mu treba spreminjati načina dela. Potrebuje natanko tisto, kar uporablja zdaj —takojšnje sporočanje— vendar s tehnično garancijo, da informacija ne zapusti naprav dveh oseb, ki sodelujeta v pogovoru.
Razlika med šifriranjem in neshranjevanjem
Šifrirati sporočilo in ga shraniti na strežniku je tako, kot bi dokument dali v sef in ga pustili v hiši neznanca. Sef je dober, ja. Vendar dokument ostaja v tuji hiši. In ta oseba lahko prejme sodni nalog, lahko utrpi informacijski napad ali preprosto spremeni svoje pogoje storitve.
Alternativa je, da dokument nikoli ne zapusti vaše pisarne. Da gre neposredno z vaše mize na mizo vaše stranke, ne da bi prešel prek katerega koli posrednika. To je tisto, kar počne neposredna komunikacija med napravami: odpravi posrednika. Ne zato, ker bi bil posrednik slab. Gre za to, da je posrednik nepotreben. In tisto, kar je nepotrebno, je pri varnosti vedno tveganje.
Vprašanje odgovornosti
Na koncu je vprašanje, ki bi si ga moral zastaviti vsak profesionalec, naslednje: če jutri uide pogovor z mojo stranko, ali lahko dokažem, da sem uporabil tehnično varen kanal? Ali lahko dokažem, da podatki nikoli niso zapustili najinih naprav? Ali lahko dokažem, da nisem bil odvisen od dobre volje podjetja na drugi celini?
Orodje, ki ga izberete za komunikacijo s svojimi strankami, pove veliko o tem, kako cenite njihovo zaupanje. In obstajajo orodja, ki so zasnovana prav za to: da zaupanje ni odvisno od obljub, temveč od arhitekture.