Проблема, яку майже ніхто не бачить
Адвокат отримує конфіденційний документ від клієнта. Лікар обговорює діагноз з колегою. Психолог координує лікування пацієнта з психіатром. Податковий консультант надсилає дані декларації. Усі роблять це через месенджер. І майже ніхто з них не замислювався, куди потрапляють ці повідомлення.
Відповідь у більшості випадків: на сервері, який вони не контролюють, у країні, законодавство якої вони не знають, під керуванням компанії, бізнес-модель якої — саме накопичення даних. Повідомлення може бути зашифроване під час передачі, але щойно воно потрапляє на сервер, це копія, збережена на інфраструктурі третьої сторони.
Що каже закон
Європейський GDPR чіткий: той, хто обробляє персональні дані інших, відповідає за їх захист належними технічними засобами. Добрих намірів недостатньо. Недостатньо того, що застосунок каже, що шифрує. Якщо дані вашого клієнта на сервері, який не відповідає європейському законодавству, відповідальні ви.
І це не лише GDPR. Професійна таємниця — регульована для адвокатів, лікарів, психологів, аудиторів та багатьох інших — вимагає, щоб комунікація з клієнтом була конфіденційною. Не конфіденційною "наскільки можливо". По-справжньому конфіденційною. Якщо канал, який ви використовуєте, не може гарантувати це технічно, ви берете на себе ризик, який не варто брати.
Що потрібно професіоналу?
Те, що потрібно професіоналу, який працює з конфіденційною інформацією, напрочуд просте. Потрібен канал, де повідомлення йдуть безпосередньо з його пристрою на пристрій одержувача, не проходячи через жоден проміжний сервер. Де не залишається копії в жодній хмарі. Де не потрібно давати особистий номер телефону. І де інфраструктура повністю відповідає європейському законодавству.
Не потрібен складний застосунок. Не потрібне навчання. Не потрібно змінювати спосіб роботи. Потрібно саме те, що вже використовується — миттєві повідомлення — але з технічною гарантією того, що інформація не виходить за межі пристроїв двох людей, які беруть участь у розмові.
Різниця між шифруванням і незберіганням
Зашифрувати повідомлення і зберегти його на сервері — це як покласти документ у сейф і залишити його в будинку незнайомця. Сейф хороший, так. Але документ все ще в чужому будинку. А той незнайомець може отримати судовий наказ, може стати жертвою кібератаки, або просто змінити умови обслуговування.
Альтернатива — щоб документ ніколи не залишав ваш офіс. Щоб він ішов безпосередньо з вашого столу на стіл клієнта, не проходячи через жодного посередника. Саме це робить пряме з'єднання між пристроями: усуває посередника. Не тому що посередник поганий. А тому що посередник непотрібний. А непотрібне в безпеці — це завжди ризик.
Питання відповідальності
Зрештою, питання, яке кожен професіонал повинен поставити собі: якщо завтра витече розмова з моїм клієнтом, чи зможу я довести, що використовував технічно безпечний канал? Чи зможу довести, що дані ніколи не залишали наших пристроїв? Чи зможу довести, що не покладався на добру волю компанії з іншого континенту?
Інструмент, який ви обираєте для спілкування з клієнтами, багато говорить про те, як ви цінуєте їхню довіру. І є інструменти, створені саме для цього: щоб довіра залежала не від обіцянок, а від архітектури.