GDPR există în România | dar nu se aplică realGDPR exists in Romania | but isn't actually applied
După aproape 5 ani într-un MSP din UK, m-am întors acasă cu un obiectiv simplu: să aduc același standard de IT și securitate și în România. Realitatea pe care am găsit-o a fost mai complicată decât mă așteptam | nu pentru că oamenii sunt mai puțin competenți, ci pentru că există un decalaj sistemic între ce cere legea și ce există în practică.
After nearly 5 years in a UK MSP, I came home with a simple goal: to bring the same IT and security standards to Romania. The reality I found was more complex than I expected | not because people are less competent, but because there's a systemic gap between what the law requires and what exists in practice.
Majoritatea companiilor din România au auzit de GDPR. Unele au semnat niște politici, au bifat niște documente, au primit o ștampilă de la un consultant. Dar dacă îți pun eu o întrebare simplă | dacă ți-aș cere mâine toate datele pe care le ai despre mine, poți să mi le dai în 30 de zile? | răspunsul onest al majorității ar fi nu.
Most Romanian companies have heard of GDPR. Some have signed policies, ticked some boxes, got a stamp from a consultant. But if I ask you a simple question | if I asked you tomorrow for all the data you hold about me, could you provide it within 30 days? | the honest answer from most would be no.
„Nu e vorba de intenție rea. E vorba de infrastructură care nu e pregătită pentru ce cere legea." "It's not about bad intent. It's about infrastructure that isn't ready for what the law requires."
Prima problemă mare: emailulThe first big problem: email
Dacă mă uit la infrastructura de email a companiilor din România, văd două scenarii dominante. Primul e Google Workspace | nu e rău, dar are limitări serioase pe audit, eDiscovery și control enterprise. Al doilea, și cel mai îngrijorător, e emailul inclus în pachetul de hosting: CyberFolks, Hostinger, cPanel, "site + email nelimitat".
When I look at the email infrastructure of Romanian companies, I see two dominant scenarios. The first is Google Workspace | not bad, but with serious limitations on audit, eDiscovery and enterprise control. The second, and most concerning, is email bundled with hosting packages: CyberFolks, Hostinger, cPanel, "website + unlimited email".
Emailul de hosting "funcționează" în sensul că mesajele ajung și pleacă. Dar din perspectiva securității, controlului și conformității cu GDPR, este cea mai slabă soluție posibilă pentru o companie care se respectă.
Hosting email "works" in the sense that messages arrive and leave. But from a security, control and GDPR compliance perspective, it's the weakest possible solution for any self-respecting company.
De ce emailul de hosting nu e okWhy hosting email isn't okay
Problema nu e că e ieftin. E că nu ai control real. Nu știi cine a accesat ce mailbox, nu ai audit logs serioase, nu poți dovedi trasabilitate. Spam filtering-ul e basic. Protecția împotriva phishing-ului e rudimentară sau inexistentă.
The problem isn't that it's cheap. It's that you have no real control. You don't know who accessed which mailbox, you have no serious audit logs, you can't prove traceability. Spam filtering is basic. Phishing protection is rudimentary or non-existent.
Dar consecința cea mai gravă apare când vine un SAR sau un litigiu. Dacă cineva îți cere datele pe care le ai despre el | un fost angajat, un client nemulțumit, un avocat | nu poți face o căutare centralizată. Nu poți exporta legal. Nu poți demonstra că nu ai mai mult decât ce trimiți. Asta nu e o problemă tehnică | e o problemă legală cu consecințe financiare reale.
But the most serious consequence appears when a SAR or litigation arrives. If someone asks for the data you hold about them | a former employee, an unhappy client, a lawyer | you can't do a centralised search. You can't legally export. You can't demonstrate you don't have more than what you send. That's not a technical problem | it's a legal problem with real financial consequences.
"Email nelimitat" înseamnă date fără control, fără audit, fără trasabilitate. Exact opusul a ce cere GDPR.
"Unlimited email" means data without control, without audit, without traceability. Exactly the opposite of what GDPR requires.
De ce recomand Microsoft 365Why I recommend Microsoft 365
Pentru aproape aceiași bani ca Google Workspace | sau uneori mai puțin | Microsoft 365 îți oferă un ecosistem complet: Outlook, Teams, Word, Excel, OneDrive, SharePoint. Dar mai important decât aplicațiile sunt capabilitățile de control și conformitate.
For roughly the same money as Google Workspace | or sometimes less | Microsoft 365 gives you a complete ecosystem: Outlook, Teams, Word, Excel, OneDrive, SharePoint. But more important than the apps are the control and compliance capabilities.
Cu Microsoft 365 ai audit logs unificate | știi cine a accesat ce, când, de unde. Ai eDiscovery | poți răspunde la un SAR în ore, nu săptămâni. Ai politici de retenție | datele se șterg automat conform regulilor pe care le stabilești. Ai protecție avansată împotriva phishing-ului | Microsoft Defender for Business. Ai bannere pe emailurile externe | "This email came from outside your organization" | care ajută angajații să detecteze tentativele de fraudă.
With Microsoft 365 you have unified audit logs | you know who accessed what, when, from where. You have eDiscovery | you can respond to a SAR in hours, not weeks. You have retention policies | data is automatically deleted according to the rules you set. You have advanced phishing protection | Microsoft Defender for Business. You have banners on external emails | "This email came from outside your organization" | that help employees detect fraud attempts.
Email de hosting: "merge". Microsoft 365: "e sub control". Asta e diferența dintre a supraviețui și a fi pregătit.
Hosting email: "it works". Microsoft 365: "it's under control". That's the difference between surviving and being prepared.
Ce vreau să schimb în RomâniaWhat I want to change in Romania
Nu mă interesează să sperii pe nimeni. Mă interesează să educ, să explic și să ajut companiile care vor să facă lucrurile corect. Piața IT din România nu are un deficit de talent | are un deficit de expunere la standarde serioase.
I'm not interested in scaring anyone. I'm interested in educating, explaining and helping companies that want to do things right. The Romanian IT market doesn't have a talent deficit | it has an exposure deficit to serious standards.
Am văzut în UK cum funcționează un MSP care tratează securitatea și conformitatea ca pe niște standarde de bază, nu ca pe niște opțiuni pentru companii mari. Am văzut ce se întâmplă când ai infrastructura pregătită înainte să vină o problemă. Asta vreau să aduc acasă.
I've seen in the UK how an MSP operates when it treats security and compliance as baseline standards, not options for large companies. I've seen what happens when you have the infrastructure ready before a problem arrives. That's what I want to bring home.
Dacă vrei să înțelegi unde stai acum | cu emailul, cu datele, cu GDPR-ul | scrie-mi. Discuția inițială e gratuită și fără presiune.
If you want to understand where you stand right now | with email, data, GDPR | reach out. The initial conversation is free and no-pressure.