مع ازدياد حوادث اختراق البيانات بالتزامن مع ارتفاع متزايد في data privacy مع تطبيق اللوائح التنظيمية في جميع أنحاء العالم، بات لزاماً على المؤسسات إعادة النظر في ممارساتها واستراتيجياتها المتعلقة بخصوصية البيانات الشخصية لعملائها. ولا يكتمل السعي نحو تحسين إدارة هذه البيانات دون فهم شامل لمفهوم " اكتشاف البيانات ".
ريحان جليل، الرئيس التنفيذي Securiti ، في كتابه المعنون "PrivacyOps: Automation & Orchestration for Privacy Compliance" يعرف اكتشاف البيانات بأنه "نظام لفهرسة البيانات التي تجمعها المنظمة، وكيفية استخدام تلك البيانات وتخزينها ومعالجتها، وكيفية انتقال تلك البيانات داخل المنظمة وخارجها".
دور اكتشاف البيانات
في عالمنا الرقمي اليوم، تدور معظم جوانب حياتنا حول البيانات الشخصية . فمن منصات التواصل الاجتماعي إلى متاجر التجزئة والبنوك والحكومات، تتضمن جميع الخدمات التي نستخدمها تقريبًا جمع وتحليل البيانات الشخصية. قد تشمل هذه البيانات اسمك، وعمرك، ورقم بطاقة الائتمان، وعنوانك البريدي، وعنوان بروتوكول الإنترنت (IP)، ورقم الضمان الاجتماعي، ورقم رخصة القيادة، ورقم جواز السفر، وغيرها. تقوم المؤسسات بجمع هذه البيانات وتحليلها، والأهم من ذلك، تخزينها.
في معظم المؤسسات، تُخفى فهارس البيانات وخرائطها في جداول بيانات قديمة ورسومات تخطيطية من نوع باوربوينت أو فيزيو، مما يجعل من المستحيل توضيح هذه الشبكة الضخمة من الواجهات والأنظمة والعمليات المترابطة. تتعدد عناصر جمع البيانات ومعالجتها، بالإضافة إلى بنية تحتية للتطبيقات والتخزين داخلية وسحابية، مع وجود اتفاقيات مرنة للغاية لمشاركة البيانات ومعالجتها. ومع انتقال أكثر من 80% من أحمال العمل المؤسسية إلى السحابة ، تجد المؤسسات صعوبة في توثيق وتتبع تدفق المعلومات داخل البنية التحتية السحابية لمورديها.
يُمكّن اكتشاف البيانات المؤسسات من بناء سجلات دقيقة للبيانات الشخصية والحفاظ عليها، وذلك من خلال اكتشاف البيانات عبر هياكل ومستودعات متعددة، وتحليلها، واستخلاص استنتاجات قيّمة. ويشير اكتشاف البيانات إلى عملية توثيق تعاونية تتمحور حول توليد قيمة تجارية، وتساعد المؤسسات على تحسين قراراتها التجارية استنادًا إلى تحليل معمق لبيانات المستهلكين.
كيفية إدارة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات (GDPR)
في يناير/كانون الثاني 2012، أدرك الاتحاد الأوروبي ضرورة الاستعداد للعصر الرقمي، ما استلزم وضع خطة لإصلاحات حماية البيانات في جميع أنحاء الاتحاد. وبعد نحو أربع سنوات، توصلت المفوضية الأوروبية إلى اتفاق بشأن تفاصيل هذه الإصلاحات وكيفية تطبيقها.
ينطبق إطار حماية البيانات الحالي في الاتحاد الأوروبي، والذي يتألف من اللائحة العامة لحماية البيانات (GDPR) وتوجيه الخصوصية الإلكترونية ، على المؤسسات في جميع الدول الأعضاء في الاتحاد الأوروبي، وله نطاق تطبيق خارج حدود الاتحاد، أي أنه ينطبق على المؤسسات التي تعالج البيانات الشخصية التي تخص الأفراد في الاتحاد الأوروبي، سواءً أكانت المؤسسة موجودة داخل الاتحاد الأوروبي أم لا. ونتيجةً لذلك، فإن له آثارًا على الشركات والأفراد في جميع أنحاء أوروبا وخارجها.
لضمان الامتثال للائحة العامة لحماية البيانات (GDPR)، يجب على المؤسسات معالجة البيانات الشخصية فقط على أحد الأسس القانونية التالية:
- موافقة صاحب البيانات
- تنفيذ العقد
- الامتثال لالتزام قانوني
- حماية المصالح الحيوية لأصحاب البيانات
- أداء مهمة تُنفذ للمصلحة العامة
- المصالح المشروعة التي يسعى إليها مراقب البيانات.
فيما يلي بعض الخطوات التي يمكن أن تساعدك في إدارة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات (GDPR).
- قم بمراجعة جميع البيانات الشخصية وتخزينها مع أصحاب البيانات الصحيحين.
- قم بتحديث إشعار الخصوصية الخاص بك لإبلاغ المستخدمين بكيفية التعامل مع بياناتهم الشخصية.
- الاستجابة لطلبات الوصول إلى بيانات أصحاب البيانات خلال الأطر الزمنية المحددة
- الاحتفاظ بسجلات موافقة محدثة وشاملة
- راجع البيانات التي تحتفظ بها عن الأطفال
- وضع إجراءات للكشف عن الحوادث الأمنية وانتهاكات البيانات الشخصية والإبلاغ عنها والتحقيق فيها.
- راجع إجراءاتك المتعلقة بتقييمات أثر Data Privacy (DPIAs)
- قم بتعيين مسؤول حماية البيانات (DPO) إذا لزم الأمر
- تأكد من أن الوجهة الأجنبية توفر ضمانات خصوصية مماثلة عند إجراء عمليات نقل البيانات عبر الحدود.
- الاحتفاظ بسجلات محدثة وشاملة لأنشطة معالجة البيانات لإثبات الامتثال.
كيف يمكن لاكتشاف البيانات أن يساعد في حماية بياناتك؟
للامتثال للائحة العامة لحماية البيانات (GDPR) وغيرها من قوانين الخصوصية العالمية، يجب أن تحتوي أداة اكتشاف البيانات الخاصة بك على الوظائف الأساسية التالية.
- الاكتشاف : الخطوة الأولى في اكتشاف البيانات هي تحديد أماكن تخزينها. تمتلك معظم المؤسسات بياناتها في مخازن بيانات منظمة وغير منظمة، موزعة في أنحاء المؤسسة، مما يُصعّب عليها تتبع البيانات وتحديد أصحابها الصحيحين. يُمكّن اكتشاف البيانات المؤسسات من الوصول إلى جميع البيانات، ما يسمح بإنشاء جرد دقيق لها في شكل فهرس مركزي.
- التصنيف : بعد اكتشاف مجموعات البيانات، يجب تصنيفها وفقًا لحساسيتها وأنواعها وتنسيقاتها ومخاطرها. يتضمن ذلك تصنيف مجموعات البيانات باستخدام مؤشر حساسية مثل: مقيد، خاص، وعام. ولمواكبة النمو المتزايد في البيانات المنظمة وغير المنظمة، يمكن استخدام الأتمتة لتصنيف البيانات الحساسة وفقًا لسياسات تصنيف البيانات. ستُمكّن علامات التصنيف هذه المؤسسات في نهاية المطاف من تطبيق ضوابط أمنية مناسبة لكل مجموعة بيانات.
- الحماية : يُعدّ تطبيق ضوابط أمنية وتشفير البيانات شديدة الحساسية أمرًا بالغ الأهمية لمساعدتك على الاستعداد للمخاطر. يجب على المؤسسات تطبيق ضوابط أمنية فعّالة ومتوافقة مع المعايير، مع مراعاة أفضل الممارسات في هذا المجال وتكلفة التنفيذ. كما تُمكّنك الضوابط الأمنية المناسبة من الإبلاغ عن خروقات البيانات الشخصية والحوادث الأمنية ضمن الأطر الزمنية المحددة لقوانين الخصوصية المعمول بها.
- المراقبة : تتمثل الخطوة التالية في مراقبة وضع مخاطر البيانات وتقييم آثار أنشطة معالجة البيانات. ونظرًا لمحدودية الموارد وقيود الميزانية، تحتاج المؤسسات إلى تحديد أصول البيانات الأكثر عرضة للخطر بسرعة ومراقبة هذه البيانات.
- الامتثال : يجب استيفاء معايير محددة للامتثال لقوانين حماية البيانات العالمية . على سبيل المثال ، يُلزم قانون حماية البيانات العامة (GDPR) المؤسسات بالاحتفاظ بسجلات محدّثة لأنشطة معالجة البيانات. كما يُلزمها بإجراء تقييمات لأثر حماية البيانات كلما كان من المحتمل أن تُؤدي عملية معالجة بيانات معينة إلى مخاطر عالية على حقوق وحريات أصحاب البيانات. لذلك، ينبغي أن تتمتع أداة أمن البيانات الجيدة بالقدرة على إصدار تقارير تدقيق محدّثة والامتثال للمتطلبات القانونية الأخرى.
