Czy analizę ryzyka należy prowadzić w sposób ciągły, czy wystarczy przeprowadzić ją jednorazowo dla wszystkich procesów?

ODPOWIEDŹ

Analizę ryzyka należy prowadzić w sposób iteracyjny, absolutnie nie wystarczy przeprowadzić jej jednorazowo. Traktowanie wdrożenia środków bezpieczeństwa i szacowania ryzyka jako działania jednorazowego, w którym brakuje późniejszej weryfikacji po pierwszej analizie, jest powszechnym błędem i nieprawidłowym podejściem, niezgodnym z wymogami Urzędu Ochrony Danych Osobowych.

Wdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych powinno przybrać postać procesu na każdym etapie cyklu życia danych, w ramach którego organizacja regularnie dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte zabezpieczenia.

Konieczność ciągłego prowadzenia analizy i monitorowania środowiska wynika z kilku kluczowych faktów:

• Nowe zagrożenia i ryzyka mogą zmaterializować się lub ujawnić samoistnie, w sposób całkowicie niezależny od działań samego administratora, co wymusza konieczność regularnej weryfikacji adekwatności wdrożonych rozwiązań.
• Podczas cyklu życia danych następują zmiany w procesach biznesowych, systemach informatycznych czy u dostawców usług (podmiotów przetwarzających), co każdorazowo wymaga ponownej oceny ryzyka.
• Same przepisy RODO (art. 32 ust. 1 lit. d) wymuszają obowiązek regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków bezpieczeństwa. Działania te muszą być planowane w sposób świadomy i dokonywane w określonych przedziałach czasowych (według harmonogramu), a nie wyłącznie w sposób doraźny.