Bude se muset zajistit a zdokumentovat opatření, jak jsou odděleni "návštěvníci" od firemní části sítě. Nemusí jít jen o návštěvníky, ale i o subdodavatele částí informačních systémů, kde je třeba zajistit, aby měl takový člověk přístup pouze ke konkrétní věci, kam přístup potřebuje. Nestačí to pouze na úrovni přihlašovacích údajů ke konkrétnímu serveru.

tohle mne zaujalo, na to máte nějaký výklad od právníka, nebo nějakého odborného asistenta ke GDPR nebo jste o tom někde jen četl?

dovedu si představit scénáře, kde úroveň oprávnění je jedné co odděluje třetí stranu od nějakých dat. například konzultační firmu, která nasazuje na stejném aplikačním serveru třeba pátou aplikaci, vedle čtyř dalších, kde dvě jsem nasazoval já a dvě jiná konzultační firma (některé firmy vám to nedovolí abyste si to nasadili sami).