dados

RGPD – Violação de Dados – CIA (Confidencialidade, Integridade e Acessibilidade)

Partilhar

Ao abrigo do RGPD, a Violação de Dados tem vários tipos, o chamado CIA! Que é a Confidencialidade, a Integridade e a Acessibilidade.

Consideramos importante perceber em primeiro lugar o que é uma Violação de Dados:

Desta forma, sempre que existe destruição, perda, alteração, divulgação ou acesso, de dados pessoais, não autorizados, temos uma Violação de Dados!

Em que consiste o CIA?

Como podemos mitigar os riscos do CIA?

Somos da opinião que é além de medir o risco dos tratamentos de dados pessoais que fazemos na organização, é também importante e medir o risco de segurança das nossas aplicações, rede, equipamentos, etc.

Como a entidade de controlo (CNPD) vai agir e aplicar coimas em casos destes?

“Através recente caso do Hospital do Barreiro, conseguimos perceber que a aplicação de coimas será avaliada através destes parâmetros, ora vejamos a deliberação da CNPD assinada no dia 11 de Outubro de 2018, refere que pelo menos nove profissionais com funções na área dos serviços sociais dispunham de acessos que deveriam ser da exclusividade dos médicos. A CNPD também justificou a aplicação das coimas com o facto de estarem registados 985 médicos com contas ativas que davam acesso aos ficheiros clínicos, apesar de os quadros do Hospital do Barreiro apenas contarem com 296 médicos (a disparidade entre número de contas e número de médicos estará relacionada com as passagens temporárias determinadas pelo sistema de colocação dos profissionais de saúde).

Tendo em conta o cenário que foi apurado numa primeira inspeção que remonta a julho, a deliberação da CNPD identificou três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.

Face a estes argumentos, a CNPD recordou que mantém a função de controlo conferida pela lei anterior ao RGPD (e que deverá manter depois do processo legislativo do RGPD ficar concluído em Portugal), e sublinha que o Hospital do Barreiro admitiu que tinha conhecimento das «insuficiências do sistema», mas não se coibiu de «continuar a atribuir privilégios de acesso indevidos a um conjunto de profissionais que nunca deveriam poder aceder indiscriminadamente aos ficheiros clínicos dos doentes». Além de não ter tomado medidas por iniciativa própria, «a arguida jamais terá tido cuidado de interceder junto da SPMS por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente», concluiu a CNPD.”

Fonte: Informação sobre a deliberação da CNPD retirada da Exame Informática

 

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Prazos de Conservação dos Dados Pessoais

Partilhar

O Regime Geral de Protecção de Dados (RGPD) diz-nos que devemos guardar os dados pessoais durante o período necessário para as finalidades… Qual o tempo adequado?

Devemos analisar a Legislação direta (ex. código do trabalho), indireta (ex. prazos de impugnação) e Boas Práticas (ex. Regulamentos Internacionais).

A análise desta Legislação e Boas Práticas guia-nos para o correto tempo de retenção!

Tem duvidas? Contacte-nos!

 

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Porque é que bons processos internos são chave para a Segurança de dados pessoais?

Partilhar

Porque é que bons processos internos são chave para a Segurança de dados pessoais nas organizações?

O Regulamento Geral de Protecção de Dados tem como objetivo que as organizações melhorem a segurança aos dados pessoais, isto quer dizer que devemos criar processos internos em que definimos como, quem, porquê e por quanto tempo esses dados são acedidos, sejam em formato digital ou em papel.

As ferramentas de segurança utilizadas (cofres, firewall, anti-vírus, entre outros) são importantes, mas se não definirmos corretos procedimentos e se não os dermos a conhecer através de formações e acções de sensibilização aos nossos Recursos Humanos, dificilmente conseguiremos inverter as estatísticas, pois o fator humano continua a ser um dos pontos principais de entrada do cibercrime, conforme pode ler no estudo “The Human Factor 2018”  elaborado pela da Proofpoint da Exclusive Group, que revela como os invasores estão a explorar a natureza humana.

Saiba como poderemos apoiar nos corretos processos e medidas de segurança, contacte-nos!

Posted by rbadmin  |  0 Comment  |  in Comunicados, RGPD, RGPD Destaque, Segurança Destaques, Segurança Informática

RGPD – Princípios dos Tratamentos de Dados e suas Licitudes

Partilhar

Na nossa opinião o Regulamento tem como objetivo que as organizações continuem a tratar dados pessoais, mas com regras.

Estas regras estão bem descritas no regulamento e se as lermos podemos considerar senso comum:

  • Minimização dos dados – tratar apenas os que são necessários para o tratamento que pretendemos;
  • Limitação das Finalidades – definirmos bem a razão pela qual pretendemos fazer os tratamentos;
  • Responsabilidade – cumprir o definido;
  • Integridade e Confidencialidade – segurança;
  • Limitação da Conservação – definir prazos para apagamento;
  • Exatidão – manter os dados atualizados;
  • Licitude, Lealdade e Transparência – tratamentos lícitos, leais e transparentes para com o titular dos dados.

 

Todos os tratamentos de dados pessoais que fazemos, ao abrigo do artigo 6º do Regulamento, apenas poderão ser encaixados em 6 Licitudes:

  • Consentimento – pedir autorização ao titular dos dados, tem alguns “custos” de gestão desse consentimento e pode ser retirado pelo titular a qualquer momento;
  • Contrato – contratos de serviços, com colaboradores, diligências pré-contratuais, entre outros;
  • Obrigação Jurídica – estarmos “escudados” por leis que nos obrigam a esse tratamento;
  • Interesses Vitais – casos que o titular dos dados não consegue dar consentimento por motivos de saúde;
  • Interesse ou autoridade pública – organizações públicas ou “escudadas” de interesse público;
  • Interesses Legítimos – Interesse legítimo da nossa organização, poderá ser uma alternativa ao consentimento, mas exige uma gestão de risco deste tratamento em função dos direitos dos titulares dos dados.

Somos da opinião que a “moda” do pedido de consentimento nem sempre é a melhor opção!

Tem dúvidas? Pergunte-nos como!

Posted by rbadmin  |  0 Comment  |  in Comunicados, RGPD, RGPD Destaque

Primavera ERP – Melhorias na encriptação das fotografias dos funcionários

Partilhar

No seguimento da adaptação do ERP ao Regulamento Geral de Proteção de Dados (RGPD), informamos que foi disponibilizada uma nova versão do módulo de Recursos Humanos que responde às sugestões de melhoria relacionadas com o comportamento adotado nas fotografias dos funcionários.

Esta melhoria compreende uma nova configuração, ao nível do Administrador, que permite ao utilizador controlar a encriptação das fotografias dos funcionários.

Como Atualizar

Para usufruir destas atualizações será necessário instalar a versão disponibilizada (ou superior) via PRIMAVERA Deployment Center.

  • Recursos Humanos – versão 9.1509.1062
    RHPLE0915091062.exe ou RHPLP0915091062.exe

 

Outra informação Importante:

RGPD – funcionalidades de apoio

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da Europa, mais conhecido por Regulamento Geral de Proteção de Dados (RGPD), passou a ter aplicação plena a partir do dia 25 de maio de 2018.

Assim, a partir dessa data, as organizações abrangidas no âmbito de aplicação do RGPD serão obrigadas a demonstrar que tomaram as medidas apropriadas para garantir a conformidade dos seus processos com este Regulamento, garantindo a privacidade e segurança dos dados pessoais de pessoas singulares.

A conformidade com o RGPD deve ser assegurada pelas organizações no seu todo e não apenas pelos sistemas de informação/gestão usados. Para auxiliar as organizações nesta tarefa, o ERP PRIMAVERA disponibiliza funcionalidades que garantem a segurança e privacidade dos dados pessoais de pessoas singulares, destacando-se:
  • Possibilidade de ativação de um novo LOG no Administrador que permite rastrear quem acedeu, quando e sobre que entidades, bem como as operações executadas, permitindo a despistagem de incidentes de violação de dados e indagar a origem e responsabilidade. Este LOG tem em consideração questões de performance.

Na nova coluna RGPD é possível verificar, através da sua marcação, quais as entidades que tendo (ou podendo ter) dados pessoais de pessoas singulares estão a ser logadas. É possível rastrear a atividade do utilizador – o que fez, quando e sobre o quê-, auxiliando na deteção da origem de incidentes de violação de dados.

Na Consulta do LOG existe uma nova opção de consulta através do NIF da entidade (consulta, criação, modificação e eliminação).

  • Possibilidade de encriptação de ficheiros (anexos e fotos) garante que apenas os utilizadores autorizados, e com permissões de acesso a determinada informação contida nesses ficheiros, conseguem aceder-lhes. Desta forma, evitam-se os acessos indevidos ou desnecessários.

Este comportamento é garantido em:

Anexos- Através da seleção da opção “Contém dados pessoais, confidenciais ou sensíveis” no ato da criação do anexo ou através da edição das propriedades dos anexos, quando necessário. Nas entidades cujos anexos possuem maior probabilidade de conterem dados pessoais ou sensíveis (ficha de funcionário, ficha de independente, currículo do funcionário e SHST) esta opção aparece ativa por omissão.

Fotografias dos funcionários- Por omissão, as fotos são encriptadas. Caso as normas previstas no RGPD não se apliquem à empresa, e não exista necessidade de encriptar as fotos dos funcionários, deve ser ativada a opção “Não encriptar fotos funcionários”, acessível no Administrador l Recursos Humanos l Parâmetros do Exercício l Func./Indep..
  • Possibilidade de assinalar os campos de utilizador que contêm dados pessoais. Depois de catalogados, os dados contidos nesses campos passam a ser considerados nas operações realizadas no módulo Personal Data Manager (PDM) – consulta, anonimização, mascaramento de dados, etc.

Existem ainda outras funcionalidades que influenciam a privacidade e proteção dos dados pessoais, destacando-se:

  • Encriptação de palavras chave – A encriptação das passwords dos utilizadores e administradores de sistema é uma garantia adicional de segurança, evitando acessos indevidos ou não autorizados.
  • Definição de perfis de acesso – É possível definir que utilizadores têm acesso a determinadas funcionalidades e que operações podem executar. O utilizador, mediante o seu perfil, só poderá aceder a determinadas funcionalidades e, por conseguinte, aos dados pessoais que estiverem associados, garantindo assim que os dados pessoais apenas são acedidos por quem necessita da informação para execução das suas funções.

Âmbito

 

Versões: ERP 9.15
Produtos: Executive, Professional
Localizações: Portugal

 

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD O seu software está em conformidade?

Partilhar

RB Consulting especializa-se em Implementação RGPD para PME’s

 A equipa de Consultores de Gestão da RB Consulting, especializa-se na implementação de RGPD para PME’s, na Católica Lisbon Executive Education!

Porque consideramos que o RGPD é uma oportunidade para:
  • Regularmos a forma abusiva, como algumas entidades tratam os nossos dados pessoais. Ex. Apps de telemóveis, telemarketing, cookies, entre outros;
  • Passarmos a ser empresas com preocupação em termos de Privacidade (que é um direito fundamental), legalidade, equidade, transparência e acessibilidade dos tratamentos de dados pessoais;
  • Melhorarmos a segurança de TI em geral das nossas organizações;
  • Conseguirmos proteger a nossa propriedade intelectual e industrial, assim como da nossa marca;
  • Melhorarmos os processos e políticas internas;
  • Conseguirmos ter a capacidade de testar e avaliar regularmente a eficácia das medidas técnicas e processuais tomadas. Ex. Medir o Risco das situações com mais impacto nas nossas organizações e mitiga-las;
  • Aumentarmos a nossa competitividade! Acreditamos tal como as certificações de qualidade e como a preocupação com o meio ambiente, a preocupação e transparência como tratamos os dados pessoais das pessoas em geral, será uma mais valia para a nossa imagem;
  • Permitir uma evolução sustentada do negócio;
  • Diminuir o risco de coimas.
Quer saber mais informação sobre o RGPD? Contacte-nos!
Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, Privacidade, RGPD Destaque