Zarządzanie finansami firmy nieodłącznie wiąże się z przetwarzaniem newralgicznych danych dotyczących nie tylko samego przedsiębiorstwa, ale też jego partnerów biznesowych i klientów. RODO, Rozporządzenie o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 roku, nakłada na podmioty gospodarcze obowiązek zadbania o najwyższy poziom bezpieczeństwa takich informacji.
Nie warto z tym zwlekać, bo przystosowanie firmowego systemu IT do założeń Rozporządzenia wymaga szczegółowego przemyślenia już na etapie tworzenia jego założeń, a następnie – czasu na jego szczegółowe wdrożenie. Przeanalizujmy, jak RODO odnosi się do zagadnień zarządzania procesami finansowymi w ramach oczekiwanego systemu.
Najwyższe bezpieczeństwo systemu informatycznego
RODO oczekuje, że połączenie systemu przeznaczonego do przetwarzania danych będzie podlegał szyfrowaniu, co minimalizuje ryzyko potencjalnych naruszeń. Z takiego systemu informatycznego z założenia korzysta więcej niż jedna osoba, musi on być już zaprojektowany zgodnie z zasadami bezpieczeństwa. Wytyczne RODO mają zostać uwzględnione już na etapie jego planowania, dostosowania i implementacji. W praktyce oznacza to tyle, że jeśli posiadany przez nas system IT nie może się pochwalić pełną zgodnością z Rozporządzeniem, musimy ten system zmodyfikować lub zaimplementować zupełnie nowe rozwiązanie.
Precyzyjne ograniczanie dostępów
Uprawnienia dostępowe do danych powinny dokładnie odpowiadać realizowanym działaniom i nie wykraczać poza niezbędny zakres. W praktyce oznacza to przykładowo, że księgowy Piotr wprowadzający fakturę od podwykonawcy do systemu może mieć dostęp do pełnych danych tej firmy, choć nie musi już widzieć historii rozliczeń z nią. Główna księgowa Barbara zobaczy cały rekord i jego historię, co jest jej niezbędne do zatwierdzenia operacji. Natomiast specjalista Paweł, który odpowiada za bilans przychodów i rozchodów nie musi widzieć szczegółów operacji, bo do przygotowania generalnych podsumowań wystarczą mu tylko kwoty i numery rachunków.
Narzędzie, z którego będziemy korzystali w firmie, musi pozwalać na ograniczenie dostępu do wybranego zakresu informacji. Ważne jest, aby można było wyłączyć widok konkretnej kategorii danych dla pojedynczego użytkownika, np. pola z wartością ostatniej faktury dla osoby wysyłającej newsletter z informacjami dla klientów – czyli tych informacji, które z punktu widzenia realizowania danego działania nie są niezbędne.
Dalej rozpoczyna się rola administratora, który ma za zadanie dostosować uprawnienia do ścieżki realizowania procesów związanych z danymi, do zgód wyrażonych na przetwarzanie danych i do wytycznych wynikających z Rozporządzenia.
Jednak to właśnie poprzez wybór odpowiedniego systemu IT zapewniamy sobie techniczną zgodność z wymogami RODO i ułatwiamy zadanie administratorowi bezpieczeństwa informacji, który następnie zapewnia faktyczną zgodność z unijną regulacją.
Monitorowanie zabezpieczeń
Obowiązek monitorowania statusu bezpieczeństwa systemu także został uwzględniony w RODO. Administrator danych musi zgłosić potencjalne naruszenie do organu nadzorującego w ciągu 72h od jego zaistnienia, czyli powinien dysponować narzędziem, które takie naruszenie wykryje, zdiagnozuje i da znać, że coś jest nie tak.
Standard bezpieczeństwa nie został określony w formie szczegółów technicznych, a przytoczonych powyżej generalnych wymagań. To na ich podstawie należy poszukiwać narzędzia, które zapewni zgodność organizacji z RODO i pozwoli uniknąć kar przewidzianych Rozporządzeniem. A tych unikać wato, bo mogą sięgnąć nawet 4% rocznego, globalnego przychodu lub 20 milionów euro. Nawet, jeśli te kwoty realnie dotyczą jedynie największych, nie ma potrzeby narażać się na ryzyko.
Odpowiedź na RODO
Microsoft Dynamics NAV jest rozsądną odpowiedzią na wymogi RODO. System posługuje się bezpiecznym, szyfrowanym połączeniem z centrum danych. Platforma, która go obsługuje, może opierać się na technologii Azure AD, która zapewnia bezpieczeństwo procedury uwierzytelniania danych osoby, logującej się do systemu. Uprawnienia osób lub grup osób można swobodnie dostosowywać do bieżących potrzeb i zadań, nadając i odbierając dostępy w czasie rzeczywistym. Możliwe jest również tworzenie zamkniętych baz danych i/lub osób związanych z określonymi celami, dzięki czemu ograniczamy ryzyko dostania się informacji w niepowołane ręce do absolutnego minimum.
Warto wspomnieć, że specyfikacja Microsoft Dynamics NAV spełnia obowiązek rozliczalności określony w Rozporządzeniu. A ten oznacza, że każdy podmiot gospodarczy musi – na żądanie organu nadzorującego – wykazać zgodność swoich procedur z wytycznymi RODO.
Realizacja RODO będzie rozliczana bardzo szczegółowo. Przykładami punktów do spełnienia na liście kontrolnej mogą być: zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Microsoft Dynamics NAV spełnia te i pozostałe wymogi techniczne przewidziane Rozporządzeniem w ramach podstawowej specyfikacji. Przed wdrożeniem systemu wystarczy tylko dobrze przemyśleć ścieżki przepływu danych w firmie, a po jego implementacji – odpowiednio je skonfigurować.