החשיבות הרבה של תהליך ה ITAD  לחברות המחויבות לתקני GDPR

חברות ישראליות העושות עסקים באירופה או עם אזרחים של האיחוד האירופי חשופות לקנסות גבוהים אם הם לא יצליחו להגן על נתוני הלקוחות שלהם בהתאם לתקני האיחוד האירופי (GDPR- General Data Protection Regulation) – לרבות בניהול נכסי ה-IT שלהם. כלומר, חברה בישראל המוכרת ללקוחות אירופאיים (בעלי אזרחות אירופאית) או מנהלת קשר מסחרי/עסקי עם אנשים הנמצאים באיחוד האירופי (כולל אזרחים ישראלים באיחוד האירופי), חייבת  לוודא כי הינה עומדת בתקני ה GDPR, אחרת היא מסתכנת בקנסות. הקנס עלול להיות משתק עבור עסקים קטנים ובינוניים. הקנס המקסימלי תחת GDPR הוא גדול מ 20,000,000 יורו או ארבעה אחוזים של ההכנסות הגלובליות של החברה שלך.  אם זו הפעם הראשונה שאתה חוקר את תקני ה GDPR ואת ההשפעה שלהם על ניהול נכסי ה-IT שלך, כדאי לך להתכונן במיידי. התקנה נכנסה לתוקף ב -25 במאי, 2018. 

סקר Commvault האחרון הראה כי ברחבי העולם רק 12 אחוזים של חברות מעידות כי מדיניות אבטחת המידע שלהם עומדת בתקני ה GDPR. יתרה מזאת, 58 אחוזים מהחברות בארה"ב סוברות כי הן תקבלנה קנס תחת כללים אלו.

GDPR חל גם ניהול נכסי ה- IT בסוף החיים של המוצר

נתונים (Data) הם המטבע הבינלאומי החדש וה-GDPR הוחל כדי להגן על מידע של אזרחים בכל שלב של מחזור החיים של אותם נתונים – החל מהרשמה באמצעות דוא"ל ועד לאופן שנתונים אלה מטופלים בשלב ה end of life של ציוד ה- IT, באמצעות השמדה, מחיקה או גריסה.  טים בל, עורך דין בריטי ומנכ"ל של Data Protection Representatives, חברה המסייעת ללקוחות מחוץ לאיחוד האירופי לנווט בתאימות GDPR, טוען, כי צרכנים יודעים שאבטחת מידע קריטית להצלחה עסקית היום, ועל כן תאגידים שיוכלו להציע סטנדרטים גבוהים של אבטחת פרטיות נתונים יקבלו יתרון תחרותי על פני חברות אחרות בתחום.  "לקוחות מצפים היום יותר ויותר כי הנתונים שלהם יהיו מוגנים על ידי החברות להם הם מספקים המידע. אם לא יחושו בביטחון זה, יצביעו ברגליהם (וארנקיהם)" דברי בל בוועידת אבטחת מידע לאחרונה בקלגרי, אלברטה. הנ"ל הוסיף בראיון, כי ניהול נכסי IT, במיוחד בכל הקשור לטיפול ב- end of life  של נכס ה IT, הוא תחום של ניהול אבטחת מידע ממנו חברות מתעלמות לעתים קרובות. "אין כוונתנו, כי מנהלי מערכות המידע משאירים התקני אחסון נתונים ומעבדים ישנים על המדרכה עבור איש הזבל לאסוף," הסיף בל via הדוא"ל. "אך הבעלים של ציוד ה- IT, כמו גם החברה האחראית לטיפול ולהשמדת הנכסים (הפועלים כספקית מטעם החברה שהנתונים אצלה) יהיו אחראיים להבטיח כי תקני ה GDPR נלקחו בחשבון כאשר גורעים ציוד כזה." סעיף 4 (2) ב GDPR מתייחס בין השאר למחיקה והשמדה של נתונים אישיים. נכסי IT המכילים נתונים, גם נופלים תחת תקנות אלו. ניהול נכסי IT – או הטיפול והשמדה של הנכסים בסוף חייהם ב  end of life – חייב להיות בתיאום לתקני -GDPR באותו אופן שבו היו משתמשים בשלב 'השימוש' ה "life" של נכס ה IT, כדי להימנע מקנסות.

חברה שאינה שוכרת שירותי ITAD מסתכנת מאחר ויתכן ולא תהיה תואמת לדרישות ה-GDPR

מחקר שנעשה על-ידי TechReset ו-Leger בסוף 2017 בו השתתפו 301 חברות  IT, הראה כי בעוד 9 מתוך 10 מהחברות טענו כי אבטחת מידע היא הדאגה העיקרית עבורם, בעת סילוק נכסי ה IT, רק 2 מתוך 10 שכרו חברה המתמחה ב IT בend of life / ITAD. התוצאות מעידות על כך שבעת שדרוג ציוד ה-IT, חברות עלולות ליצור פירצות אבטחה משמעותיות בתהליך הגריעה ולסכן מאוד את העסק. לעתים קרובות חברות שמות דגש עיקרי על תהליכים המקיפים את ביטחון הסייבר, אך הרבה פחות התייחסות לדרך הטיפול בהשמדת המידע והנתונים בתהליך החלפת ציוד ה IT. כעת, חברות בישראל עלולות לחשוף עצמם לסיכונים משמעותיים עקב קנסות אפשריים, במידה והם פועלות  בניגוד לדרישות ה-GDPR. נוכח דרישות ה DGPR מומלץ לחברות מקומיות להבטיח שניהול גריעת נכסי ה-IT שלהם בend of life  ובעת החלפת/ שדרוג ציוד ה IT ייעשה בתיאום לתקנות הנתונים האיחוד האירופי, ובאמצעות חברה המתמחה בשירותי ITAD (IT Asset Disposition).