Sono disponibili numerosi documenti di Microsoft con consigli sulla conformità al GDPR, come " Windows e il GDPR: informazioni per amministratori IT e responsabili delle decisioni" e dispone di un spiegazione piuttosto esauriente di quali dati si spostano e dove.

Secondo il documento stesso, la lettura richiede 17 minuti. Penso che ti sentirai meglio dopo averlo fatto.

C'è molta paranoia su Microsoft, in parte forse giustificata, ma il fatto duro è che MS non può permettersi di ignorare il GDPR o, negli Stati Uniti, HIPAA.

Ho letto la risposta in Information Security SE e non l'ho trovata utile; la citazione di MS ha a che fare con la divulgazione di dati come richiesto dalla legge o da un procedimento legale.

Modifica: penso che dovrei aggiungere un po 'più di sfondo. Sono in una posizione di dottorato di ricerca effettivamente assunto per fare ricerca. Tuttavia, a causa del mio background in informatica, sono "ufficialmente" responsabile di tutto ciò che nel nostro laboratorio è correlato all'elaborazione elettronica dei dati.

In primo luogo, penso che ci sia un serio problema di gestione nel tuo laboratorio: lasciare la responsabilità della protezione dei dati a uno studente di dottorato è completamente poco professionale. Come dottorando potresti certamente avere un ruolo di consulente tecnico, ma deve essere un membro permanente dell'istituto che ha la responsabilità ufficiale. Se dovesse sorgere un problema, chiunque ti abbia incaricato di questo dovrà certamente spiegare perché ha ritenuto opportuno. La buona notizia per te è che è molto improbabile che tu sia comunque considerato legalmente responsabile (solito disclaimer: IANAL).

In secondo luogo, le competenze in informatica [a cura di] potrebbero essere utili ma certamente non sufficienti quando arriva alle preoccupazioni legali ed etiche della protezione dei dati, in particolare con i dati sensibili su soggetti umani. Anche con la migliore intenzione, semplicemente non hai il background legale. Di chi è allora il lavoro? Ci sono diverse opzioni, probabilmente non nel tuo laboratorio ma a livello della tua università / istituzione:

• Il dipartimento IT: sono quelle che chiedi sulle vulnerabilità del software e sui consigli sulla protezione dei dati.
• Il comitato etico: puoi chiedere loro linee guida sul livello di protezione appropriato richiesto per dati di soggetti umani specifici. Comunque normalmente chiunque nel tuo laboratorio che lavora con questo tipo di dati dovrebbe ottenere l'approvazione etica prima di iniziare il loro progetto.
• L'ufficio per la protezione dei dati o se non è presente l'ufficio legale: possono informare te ei tuoi colleghi in merito i loro doveri legali relativi ai dati di soggetti umani.

Questi dipartimenti del tuo istituto hanno le capacità professionali e la responsabilità legale. Ti proteggi chiedendo il loro consiglio e seguendolo: se dicono che Windows 10 va bene, sei fuori dai guai. Se dicono che non è sicuro, il tuo unico compito è trasmettere la loro raccomandazione ai tuoi colleghi, menzionando da dove proviene.

La tua università dovrebbe avere una sorta di ufficio per la conformità alla privacy dei dati. Devi assolutamente parlare con loro. I consigli ben intenzionati di sconosciuti su Internet sono ottimi per darti un'idea di quali siano i problemi, ma qui c'è una potenziale responsabilità legale per l'università e tu devi parlare con le persone il cui lavoro è quello di gestire questi problemi.

Assicurati che il tuo consiglio sia effettivamente basato su fatti concreti e considera quali sono i modi più probabili in cui i dati potrebbero fuoriuscire. Scopri esattamente cosa potrebbe segnalare Windows 10 a Microsoft e se si tratta di un problema reale nel tuo caso.

Scopri le normative e le leggi vigenti al riguardo nel tuo paese e forse anche le regole universitarie, se esistono . Essere in grado di indicare una regolamentazione specifica è utile per tali argomenti.

In un tipico contesto accademico, probabilmente non hai i mezzi per bloccare veramente le cose. Mi concentrerei sui modi più pericolosi e comuni in cui i computer potrebbero essere compromessi, Microsoft è di gran lunga alla fine di queste preoccupazioni secondo me. Mi preoccuperei principalmente dei seguenti casi:

• persone che portano i dati a casa o sui loro computer privati ​​
• computer compromessi da malware
• computer, dischi rigidi o unità USB rubate o perse

Ti stai concentrando su una minaccia molto remota e improbabile, che rende molto più facile ignorare le tue argomentazioni. Concentrati su minacce realistiche e plausibili e preparati a combattere ancora una battaglia in salita.

Il modo in cui ho letto la tua domanda è che non sei responsabile della protezione dei dati, ma responsabile della configurazione dei PC Windows. In tal caso, condividerei le tue preoccupazioni in un'e-mail al leader del tuo gruppo in modo da avere una traccia cartacea (virtuale) e chiedere loro se vorrebbero che tu configurassi comunque i PC Windows o se vorrebbero che lo facessi tu cerca un'altra soluzione.

Ovviamente, se la tua vera responsabilità è la protezione dei dati e loro stanno ignorando proprio quello per cui ti hanno assunto, probabilmente dovresti iniziare a cercare un altro posto dove lavorare.

Cosa fare quando si è responsabili della protezione dei dati nel proprio laboratorio, ma i consigli vengono ignorati?

Se sei veramente responsabile e se vivi in ​​una giurisdizione in cui la protezione dei dati ha "denti" (ad esempio, UE / GDPR), quindi hai il potere di interrompere qualsiasi comportamento non conforme. Puoi fondamentalmente fare qualsiasi cosa (spegnere i PC, spegnere i router, ecc.) - Ovviamente questo è l'ultimo ressort, non la prima reazione, e prima di farlo, ci sono alcune altre cose che devi fare: ad esempio, informare I tuoi colleghi; annotare le linee guida; ottenere il sostegno dei tuoi stakeholder, fare sessioni informative / didattiche ecc.

Se non fai tutto questo (oi tuoi colleghi negano qualsiasi conformità), iniziando dalle cose facili, ma alla fine aumentando, allora tu dovrebbe davvero abbandonare il ruolo di "essere responsabili".

Il GDPR definisce effettivamente ruoli specifici relativi alla protezione dei dati. A seconda di dove vivi, il tuo paese potrebbe avere altre definizioni simili (o forse nessuna, ma probabilmente non faresti questa domanda). Quindi, se ti capita di ricoprire il ruolo di responsabile della protezione dei dati, hai il potere e la responsabilità di agire .

Se tutto questo non è vero, e tu sei semplicemente una normale ape operaia, la tua effettiva responsabilità è a) fare tutto ciò che il tuo DPO dice e richiede eb) segnalare le violazioni della legge al tuo DPO o altri stakeholder - se il tuo DPO non si preoccupa, potresti salire più in alto nella scala, ma francamente, se farlo è una tua scelta personale; se rendi visibili le trasgressioni alle persone effettivamente incaricate (tieni una traccia cartacea, magari metti il ​​tuo supervisore in Cc ecc.), allora personalmente dovresti stare bene.

EDIT: ero confuso dal titolo della domanda che contiene la parola "responsabile". Nel caso specifico di OP, si applica solo il mio ultimo paragrafo. Lascio stare il resto nel caso qualcuno ne abbia bisogno che sia effettivamente "R" responsabile (nel senso di RACI). OP , la soluzione migliore è lavorare per non essere considerato responsabile di qualcosa su cui non hai alcuna influenza. Parla con il tuo superiore e ottieni i loro consigli su come farlo senza bruciare ponti ("Ehi allenatore, sembra che tutti pensino che io sia il nostro responsabile della sicurezza dei dati, ma devono mettere insieme le loro cose da soli, non posso fargli da babysitter .. . "ecc.).

Nei commenti hai dichiarato di essere in Europa e quindi di essere soggetto al GDPR.

Poiché stai raccogliendo informazioni sensibili, dovrebbe esserci un processo formale per la raccolta e la gestione di tali informazioni informazioni, comprese quali informazioni vengono raccolte, per quali scopi, per quanto tempo vengono conservate, come vengono protette, ecc. Tutto questo deve essere condiviso con chiunque raccolga i dati prima di farlo.

Dovrebbe esserci anche una persona che è effettivamente ufficialmente responsabile di questo (il DPO), che dovrebbe essere elencata in quella dichiarazione.

Fare riferimento a quella persona. Sono la persona che è effettivamente responsabile, non tu.

Se non disponi di tali politiche e procedure, dovresti avvisare il tuo manager di questo fatto e delle conseguenze che potrebbe avere. Mettilo per iscritto, così il tuo a ** è coperto.

Se pensi che il tuo istituto stia violando i suoi obblighi e non farà nulla per affrontarli, c'è ovviamente la possibilità di segnalarlo a le autorità competenti, con tutte le conseguenze che ciò può avere per tutte le parti coinvolte (incluso te, ovviamente - non si può ignorare come spesso finiscono gli informatori).

Per rispondere alla tua domanda, chiedendo esplicitamente " Cosa fare quando il tuo consiglio viene ignorato ", suggerisco vivamente l ' acronimo CYA : C oltre Y il nostro A”ss.

Poiché (suppongo) non ricopri un ruolo di gestione, molto probabilmente hai mezzi limitati per far rispettare i consigli che fornisci, ma per evitare che la colpa si abbassi, dovresti prendere mezzi per documentare le tue attività. Forse la misura più importante qui è lasciare una traccia cartacea.

Ad esempio potresti scrivere un'e-mail al tuo supervisore:

Gentile XY,

Dopo alcune ricerche in merito, consiglio al nostro Lab di non utilizzare Windows 10 per problemi relativi ai dati di telemetria di Windows. (...) Invece consiglio di usare XYZ di ABC.

Con i migliori saluti, ...

Questo non servirà solo come prova per te, ma potrebbe anche indurre il tuo manager a considerare maggiormente questa proposta. Se si rende conto che ora è responsabile se le cose vanno in malora, potrebbe essere meno propenso a ignorarti.

Parla con il consulente. Se non ti sostiene, esci dalla posizione.

È molto comune che i gruppi di laboratori universitari non seguano realmente le politiche adeguate in materia di sicurezza, protezione dei dati, riservatezza, copyright del software, ecc. Neanche l'industria è perfetta, ma di solito è molto più conforme dei gruppi di laboratori universitari .

Ero "ufficiale" della sicurezza per il mio gruppo di laboratorio. Controllo degli standard, ispezione periodica del lavaggio oculare, ecc. Ho trovato chiare cose che stavamo facendo male, ma il consulente non era interessato a sostenermi (pensava che fossi troppo severo ... ma provenivo da un background industriale e avevo visto persone ferite ed era abituato a una maggiore attenzione). Alla fine abbiamo avuto un incendio in un'area che avevo già identificato come carente, ma con persone che non volevano riparare le cose. Dopodiché dissi al investigatore privato che era il suo laboratorio e che doveva essere responsabile e mi rifiutai di essere associato alla sicurezza del laboratorio dato il suo atteggiamento. (Ha detto che andava bene e qualcun altro è andato a controllare i colliri.)

Forse non è necessario essere così polemici, ma darei una considerazione molto seria al rifiuto di eseguire il dovere collaterale quando le persone non Non prenderlo sul serio e il PI non ti sostiene.

Non so sulla protezione dei dati ma da quello che ho visto in sicurezza, sospetto che sia lo stesso problema. La sicurezza ha avuto ampi studi e recensioni e i laboratori accademici hanno ~ 10 volte gli incidenti dei laboratori di ricerca industriale. Ho conosciuto personalmente due persone con gravi incidenti di tempo perso a causa di incendi con solventi in uni lab (volti bruciati e mesi in ospedale) e non l'ho mai visto in una grande azienda CRD. I professori di tanto in tanto daranno la colpa agli studenti, ma la conclusione è che gli investigatori privati ​​non sono ritenuti responsabili del modo in cui i manager sono in un'azienda. Gli studenti sono valutati meno dei dipendenti, ecc. E non cambierà e non lo è da decenni. Quindi, davvero, è meglio che ti dissocia. E mantenendo la tua attrezzatura sicura e conforme.

Se le cose per qualsiasi motivo dovessero andare male, vorrei essere al sicuro.

La domanda è da cosa vuoi proteggerti: una causa diretta a tu, o essere stato lasciato andare?

Il mio sospetto (ma non sono un avvocato, ovviamente) è che il primo pericolo sia minimo e quasi nessuna protezione contro il secondo.

La scomoda realtà è che molte persone (nel mondo accademico e fuori) non assumono un dipendente piuttosto che acquistano un'assicurazione quando ricoprono ruoli come un responsabile della protezione dei dati (lo stesso con alcune certificazioni nel settore). Sanno (o almeno sospettano fortemente) che quello che fanno non è legale, non vogliono cambiare e cercano qualcuno a cui possono indicare quando le cose vanno male.

Se ci sono problemi legali reali nasce mai dal problema della protezione dei dati, sospetto pienamente che sarà rivolto all'università piuttosto che alle persone che vi lavorano - e anche se si rivolge a persone specifiche, saranno i manager responsabili, non un tecnico di laboratorio senza autorità per cambiare il comportamento di altri dipendenti. Tuttavia , ci sono ottime possibilità che internamente sarai ancora il capro espiatorio (fino a essere lasciato andare incluso), se non altro per quella merda tende a rotolare in discesa. Nella mia esperienza con le strutture gestionali universitarie, nessuna traccia cartacea può davvero proteggerti da questo.

Ovviamente dovresti cercare più che puoi di informare il tuo laboratorio su qualsiasi questione rilevante che vedi, ma dato che non hai autorità su di loro dovrà assumere la forma di consigliare piuttosto che regole rigide. Essere in buoni rapporti con la squadra (e avere grandi capacità trasversali) è probabilmente la soluzione migliore per fare davvero la differenza. Potrebbe anche essere utile essere pragmatici qui e affrontare grandi minacce che non richiedono troppi sacrifici da parte del tuo team: InfoSec Stack Exchange potrebbe essere un'ottima risorsa per ottenere informazioni su quali potrebbero essere (sospetto l'uso di Windows non uno di questi casi).

Nota: ci sono lavori in cui finisci per essere personalmente responsabile di determinati tipi di problemi (la sicurezza funzionale nel settore automobilistico è un esempio che mi viene in mente). Tuttavia, questi sono tipicamente caratterizzati dal fatto che sono necessarie qualifiche esplicite anche per essere legalmente autorizzati a svolgere questo lavoro. Un'azienda non può semplicemente nominare un ingegnere casuale che ora sia legalmente responsabile della certificazione di sicurezza. Parte della formazione obbligatoria per tali lavori è anche informazioni esplicite su ciò di cui si finisce per essere responsabili e qual è la linea di condotta prevista in caso di non conformità.

Se sei molto preoccupato per la telemetria e la perdita di informazioni e hai i diritti necessari per eseguire attività amministrative sull'attrezzatura utilizzata dal tuo laboratorio, ti suggerirei un'app di blocco della telemetria, anche se ti esorto a testare e controllare prima di qualsiasi tipo di distribuzione. Personalmente, sono un fan di BlackBird, ma fai attenzione ai suoi effetti di annullamento delle funzionalità (riconoscimento della posizione, LAN ecc.). Ancora una volta, studia e prova questo software in anticipo.

Ma voglio menzionare un altro aspetto della protezione dei dati, non nel senso di privacy , ma di integrità dei dati .

Non sarei sorpreso tra un milione di anni a usare Windows per lavori sensibili ai dati perché io e molti altri siamo stati vittime della tendenza di Windows e delle sue app (ad esempio OneDrive) a eliminare i file degli utenti senza preavviso (in modo permanente, bypassando il Cestino). Vedere l ' aggiornamento 1809 per un esempio più recente; ce ne sono molti altri.