Wzorcowo wdrożony proces analizy zagrożeń powinien uwzględniać zatem stałe monitorowanie informacji o wykrytych lukach w bezpieczeństwie systemów i aplikacji oraz o „trendach" w skutecznych atakach hackerskich, a także – co najważniejsze – umożliwiać szybką reakcję na pojawiające się zagrożenia o wysokim stopniu ryzyka dla bezpieczeństwa danych osobowych, także poza przyjętą wcześniej regularnością przeprowadzania analizy ryzyka. Nietrudno się bowiem domyśleć, że najwięcej skutecznych ataków na dane następuje w ciągu kilku pierwszych dni po upublicznieniu informacji o wykrytej luce bezpieczeństwa. Hackerzy zdają sobie sprawę, że ich skuteczność zależy wtedy od opieszałości administratorów IT w instalowaniu „łatek" bezpieczeństwa dostarczanych przez producentów podatnych aplikacji czy systemów. Przedsiębiorcy, zwłaszcza ci przetwarzający duże zbiory danych osobowych lub dane szczególnie wrażliwe, powinni zatem być gotowi do podjęcia skutecznej walki nie tylko z atakującymi, ale także z czasem.
Wdrożenie zabezpieczeń
Kolejnym wyzwaniem dla administratorów stanie się wdrożenie takich środków technicznych i organizacyjnych, które w najlepszy sposób ochronią dane osobowe przed incydentami związanymi z ich bezpieczeństwem. Dobór tych środków spocznie w całości na przedsiębiorcach, przy czym w swoich analizach będą oni mogli uwzględnić koszty wdrożenia poszczególnych rodzajów zabezpieczeń i ich wpływ na realne obniżenie poziomu ryzyka dla danych.
W praktyce będzie to zapewne wyglądało tak, że przedsiębiorca, który uzna, że przetwarzany przez niego zakres danych osobowych nie jest obarczony dużym ryzykiem ewentualnego naruszenia praw osób fizycznych, będzie mógł zrezygnować z wdrażania zaawansowanych systemów bezpieczeństwa (np. SIEM) i wybrać jedynie takie rozwiązania, które uzna za optymalne w stosunku poziomu gwarantowanej ochrony do kosztów jej wdrożenia. Oczywiście taki proces decyzyjny także będzie musiał być odpowiednio udokumentowany. Można się już domyślać, że podczas ewentualnej kontroli organ nadzorczy poprosi w pierwszej kolejności nie tylko o dokument polityki bezpieczeństwa, ale także właśnie o dokumentację przeprowadzonych procesów analizy ryzyka i wyboru adekwatnych środków bezpieczeństwa.
A to jeszcze nie wszystko! RODO wyraźnie wskazuje także konieczność regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Nie wystarczy zatem w dokumentacji uzasadnić swój wybór środków bezpieczeństwa, lecz także opracować, wdrożyć i udokumentować proces cyklicznej weryfikacji, że wybór ten jest trafny i zapewnia odpowiedni poziom bezpieczeństwa.
Monitorowanie incydentów
Jednak najbardziej wymagającą dla przedsiębiorców zmianą wydaje się być wprowadzenie obowiązku monitorowania wszelkich incydentów związanych z bezpieczeństwem przetwarzanych danych osobowych. Administrator będzie miał jedynie 72 godziny na zgłoszenie organowi nadzorczemu wykrytego wycieku danych, włączając w to czas potrzebny na konieczną analizę skali problemu – określenie liczby i rodzaju danych, które wyciekły. Jeśli z jakiegoś powodu administrator spóźni się z powiadomieniem, to będzie musiał przedstawić pisemne usprawiedliwienie tego faktu. Jeżeli zaś wyciek mógłby skutkować „wysokim ryzykiem naruszenia praw lub wolności osób fizycznych" (czyli dotyczyłby danych wrażliwych lub umożliwiających np. podszycie się pod daną osobę w celu wzięcia kredytu), to administrator będzie miał obowiązek poinformowania o zagrożeniu także poszczególne osoby, których to ryzyko dotyczy. W przypadku wycieku znacznej liczby danych powiadomienia takiego będzie można dokonać za pomocą mediów.