Ha holnap vizsgálat indulna, mit tudna megmutatni elsőként?

Reggel 9:02.
Megszólal a telefon:
„Jó napot kívánok, az adatvédelmi hatóságtól hívom. Egy bejelentés alapján indult vizsgálat ügyében keresem...”
Ez nem sci-fi. Ez az a hívás, amit egyre több cégvezető valóban megkap – egy érintetti panasz, egy hibásan kezelt adatigénylés, vagy akár egy félrecsúszott hatósági válasz is elindíthatja a folyamatot.

Mit tudna megmutatni először?

📂 A GDPR szabályzatot?
💻 Egy e-mailt a jogásztól?
🧑‍💻 Vagy egy képernyőt, amin valós időben látja, ki mikor fért hozzá az adatokhoz?

A szabályzat fontos. De nem elég.

A legtöbb cég azt gondolja, hogy ha van egy adatkezelési tájékoztató, akkor minden rendben van.
De a valóságos vizsgálatokon nem a papír számít, hanem a nyomok.
A hatóság az alábbiakat nézi:
• Volt naplózás?
• Volt mentés?
• Volt határvédelem?
• Ki küldte ki azt az Excel fájlt – és mikor?
Ezekre nem egy szabályzat ad választ. Hanem a technikai rendszer.

A GDPR-bírságok nem a szándék, hanem a bizonyíték hiánya miatt születnek

Az adatvédelmi bírságok jelentős része nem rosszindulat, hanyagság vagy szándékos mulasztás miatt történik – hanem azért, mert nincs elég technikai bizonyíték a megfelelésre. Egy vállalkozás lehet gondos, etikus és adatvédelmi szempontból elkötelezett – de ha egy incidens után nem tudja bemutatni, mi történt és ki volt az érintett, akkor jogilag nem tudja megvédeni magát.

A hatósági vizsgálat során a kérdések nem úgy kezdődnek, hogy „mi volt a szándékuk”, hanem így:

„Volt naplózás?”
„Volt mentés?”
„Volt határvédelem?”
„Tudják, ki férhetett hozzá az adott állományhoz?”

Ha ezekre nincs dokumentált, időbélyegzett, technikai válasz, akkor sajnos a jó szándék kevés. Egy-egy adatvesztés vagy jogosulatlan hozzáférés vizsgálatakor a hiányzó naplók, mentések, vagy jogosultsági szabályok nemcsak IT-hiba – hanem megfelelési hiba is.

Ez különösen fontos a HR, marketing és ügyvezetői szerepkörökben, ahol rendszeresen kezelnek érzékeny vagy személyes adatokat. Itt gyakran nem az IT a probléma forrása – de ha nincs mögöttük egy technikailag biztosított adatkezelési struktúra, akkor ők sem tudják utólag bizonyítani, hogy minden a szabályok szerint történt. A megfelelés tehát nemcsak jogi, hanem technikai kérdés is – és a hiányzó bizonyíték ma már bírságot jelenthet.

5 dolog, amit egy vizsgálat első 5 percében kérhetnek

Egy adatvédelmi vagy NIS2-vizsgálat sosem a szabályzatnál kezdődik – hanem ott, ahol valós technikai nyomok vannak. A hatóság képviselője nem azt kérdezi először, mit ír a belső eljárásrend, hanem azt, hogy mit tudunk bizonyítani a rendszer alapján. Ilyenkor sokszor nem is a jogász, hanem a rendszergazda kerül reflektorfénybe. És ilyenkor nem lehet napokat kérni a válaszra.

Íme az az 5 dolog, amit egy ilyen helyzetben szinte azonnal látni szeretnének – és amire legfeljebb 3 perc alatt választ kellene tudni adni:

Rendszernaplók – Ki, mikor, mit nyitott meg vagy módosított?
Mentési terv – Mikor készült utoljára teljes backup, és mennyi idő alatt állítható vissza?
Hozzáférési szabályzat – Ki, milyen jogosultságokkal fért hozzá az adott rendszerhez vagy fájlhoz?
E-mail küldési nyilvántartás – Ki, mikor, milyen mellékletet küldött ki, és milyen címzettnek?
Incidensnapló – Történt-e adatvesztés, külső hozzáférési kísérlet vagy más biztonsági esemény – és mi volt rá a belső reakció?

A kérdés tehát nem az, hogy „megvan-e ez az információ valahol”, hanem az, hogy azonnal visszakereshető-e, és rendszeresen mentésre kerül-e.

Meglepő tény: nem kell nagy cégnek lenni ahhoz, hogy vizsgáljanak

A NIS2 szabályozás nem csak az energiaszektort érinti.
Ha Ön:
• más cégeknek nyújt digitális szolgáltatást,
• szoftvert üzemeltet,
• üzleti vagy személyes adatokat kezel,
akkor nagy valószínűséggel beletartozik.
És a GDPR? Az nem kérdezi meg, hány fős a cég. Csak azt, mi történt az adatokkal.

A megfelelés nem bürokrácia. Hanem védelem.

A GDPR és a NIS2 nem azért születtek, hogy bírságoljanak –
hanem hogy segítsenek biztonságosabban működni.
De a gyakorlatban:
• Aki nem látja, mi történik a rendszerében, nem tudja megvédeni magát.
• Aki nem tud adatokat visszakeresni, könnyen céltáblává válhat.
Egy elveszett fájl, egy kilépő munkatárs, egy félreküldött e-mail.
Nem bűn.
De ha nincs nyoma, nincs bizonyíték – az már bírság lehet.

Akkor most egy mini főpróba.

Képzelje el ezt a helyzetet – mert nem elméleti. Ez bármelyik cégnél megtörténhet.

Valaki ma délután 17:48-kor kilép a cégtől.
Búcsúzkodik, pakol, leadja a belépőkártyát – minden rendben.

Másnap reggel 8:12-kor érkezik egy e-mail az egyik ügyféltől:
„Tegnap este adatszivárgás történt. Egy, csak nálatok elérhető belső dokumentum jelent meg egy zárt fórumon.”

Most tegye fel magának a kérdést:
👉 Tudná bizonyítani, hogy nem az a kolléga volt?
👉 Vagy bárki más – nem csak sejteni, hanem dokumentáltan kizárni?

Mit tud ma reggel megtenni?

Meg tudja nézni, ki és mikor fért hozzá ahhoz a konkrét fájlhoz?
Látszik, ha valaki másolta, átküldte, esetleg pendrive-ra vitte?
Visszakereshető, hogy melyik IP-címről, melyik gépről történt a hozzáférés?
Van olyan napló, amit nem lehet manipulálni, és utólag is megállja a helyét jogilag?

Ha akár csak egy kérdésnél is elbizonytalanodott:
az teljesen rendben van.
A cégek többsége hasonló helyzetben van.

A különbség ott kezdődik, hogy:
➡ valaki ma kezd el foglalkozni ezekkel a kérdésekkel –
➡ valaki pedig majd utólag próbálja kimagyarázni, ami már nem bizonyítható.

Jó hír: a megoldás nem bonyolult

Nem kell mindent újraépíteni.
Nem kell jogászi diplomát szerezni.
Kis technikai lépések is óriási védelmet adnak.
• Egy jól beállított logolási rendszer
• Egy egyszerű hozzáférés-ellenőrzés
• Egy automatikus mentés, ami nem kér figyelmet
Ezeket lehet csendben bevezetni – még ma. Mielőtt valaki kérdezni kezdene.

Készen áll egy belső főpróbára?

Nem nyilvános. Nem kötelező. Nem fáj.
De választ ad ezekre a kérdésekre:
• „Mi látszik, ha most visszanézünk egy hetet?”
• „Ki, mikor, honnan fért hozzá?”
• „Van nyoma a törölt fájloknak?”
És ami a legfontosabb: ma még meg lehet oldani nyugodt körülmények között.

Ez a cikk nem ijesztget. Csak szól, mielőtt baj lenne.
Most még az Ön kezében van a kontroll.

Ön melyik kategóriába tartozik?

Válasszon, és célzott tartalmat és ajánlatokat mutatunk Önnek!

Ön mit szeretne védeni?
Válassza ki cége típusát, és elküldjük a legfontosabb teendőket + ajándék anyaggal segítjük a következő lépést.

Egyéni és mikrovállalkozások számára

Ön a cég motorja – de ki védi meg, ha baj van?
Nincs külön IT-osztály, mégis ugyanazokkal a kockázatokkal néz szembe, mint egy nagyobb cég.
Egy feltört jelszó, egy rossz link vagy egy fertőzött pendrive is elég lehet, hogy leálljon minden.

Ajándék ellenőrzőlistánk segít: pár perc alatt felmérheti, mennyire védett most a rendszere – informatikus nélkül is.

Letöltöm az 5 pontos biztonsági listát

Kis- és középvállalkozások számára

A KKV-k 80%-a védtelen – Ön vajon közéjük tartozik?
Nincs központi tűzfal, miközben nap mint nap bizalmas adatokkal dolgoznak. Egy zsarolóvírus nem csak az adatokat viszi – hanem az ügyfélbizalmat is.

10 kérdés, amit minden vezetőnek fel kell tennie az informatikusának – hogy ne utólag derüljön ki a baj.

Letöltöm a kérdéssort döntéshozóknak

Több telephelyes cégek számára

Egy hiba – és az egész hálózat bénulhat
Ha az egyik telephelyen leáll a rendszer, az dominóként húzza magával a többit. A gyártás, logisztika, adminisztráció egy pillanat alatt megállhat.

Összeállítottunk egy útmutatót, ami segít átlátni a legnagyobb sebezhetőségeket – és megmutatja, hogyan védheti egy kézben az egész rendszert.

Letöltöm az útmutatót több telephelyes cégeknek

NIS2 hatálya alá eső szervezetek számára

Ha nem megfelelő a védelem, az nemcsak bírságot, hanem súlyos működési kockázatot is jelent. A kibertámadások célpontjai gyakran épp az alulszabályozott, kritikus szereplők.

Gyakorlati forgatókönyv vezetőknek: mit tegyen, ha jön a támadás – és mitől lesz ellenálló a rendszere már most.

Letöltöm a kibertámadás-forgatókönyvet

Személyes visszahívás vagy időpontfoglalás – Ön választ

30 perc, teljesen díjmentesen. Megmutatjuk, hol sebezhető most – és mit tehet ellene.

Visszahívást kérek – gyors helyzetértékelés 15 percben

Beszéljük át, mi történne egy kibertámadás esetén – és hogyan lehet ezt elkerülni.

Visszahívást kérek

Időpontfoglalás 1:1 konzultációra

30 perc, ami segít megérteni, hol van most a legnagyobb kockázat – és mit lehet tenni ellene.
Semmi kötelezettség, csak gyakorlati megoldás.

Foglalok időpontot

Korábbi cikkeink