Szkoły, które stosują elektroniczny dziennik firmy LIBRUS otrzymały informację z prośbą od producenta oprogramowania o włączenie funkcji - uwierzytelniania dwuskładnikowego (logowanie dwuetapowe) oraz prośbę zasięgnięcia opinii szkolnego IOD. Poniżej prezentujemy naszą opinię w tej sprawie.
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobą muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Jednym ze środków technicznych mających na celu zapewnienie bezpieczeństwa danych osobowych jest stosowanie haseł dostępu. Zasadność stosowania tego rozwiązania funkcjonuje w powszechnej świadomości, chociaż odrębną kwestią jest jakość stosowanych haseł, która niekiedy pozostawia wiele do życzenia. Niestety nawet najbardziej skomplikowane hasło nie ustrzeże nas przed nieuprawnionym dostępem do danych w sytuacji, w której nasze hasło wycieknie lub zostanie wykradzione.
Z uwagi na to warto korzystać z uwierzytelniania dwuskładnikowego (ang. Two Factor Authenticaton, 2FA), czyli rozwiązania technicznego wymagającego – obok samego hasła dostępu – dodatkowego uwierzytelniania ze strony osoby próbującej uzyskać dostęp do danego zasobu, np. konta w banku lub serwisie społecznościowym. Dodatkowym sposobem uwierzytelnienia może być specjalny kod wysyłany za pośrednictwem wiadomości SMS lub generowany w dedykowanej aplikacji (np. aplikacji naszego banku).
Stosowanie dwuskładnikowego uwierzytelniania minimalizuje ryzyko uzyskania nieuprawnionego dostępu w sytuacji, w której nasze hasła zostaną wykradzione lub złamane. Należy pamiętać, że usługi zabezpieczone dwuskładnikowym uwierzytelnianiem będą wymagały dodatkowej kontroli ze strony użytkownika, więc nawet jeśli ktoś pozna hasło do danej usługi, to i tak nie będzie mógł uzyskać dostępu bez dodatkowego uwierzytelniania.
W związku z powyższym mocno rekomendujemy Państwu korzystanie z uwierzytelniania dwuskładnikowego w elektronicznym dzienniku.
Administratorzy danych przy wprowadzaniu nowych zabezpieczeń powinni uwzględnić je w rejestrze czynności przetwarzania (ogólny opis technicznych i organizacyjnych stosowanych środków bezpieczeństwa) oraz innych dokumentach dotyczących ochrony danych osobowych (np. polityce ochrony danych osobowych, jeżeli wymienia się w niej stosowane środki zabezpieczeń).
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: