ITanalyze

علی شمیرانی - بیست سال پیش، شرکت‌ها می‌توانستند از طریق برنامه‌های واکنش‌محور برای حفظ حریم خصوصی داده، کار را پیش ببرند. چرا؟ چون جمع‌آوری داده‌ها، نسبتاً محدود بود، قوانین مربوط به حریم خصوصی سختگیرانه (و رایج) نبودند و سازوکارهای اجرایی نیز ضعیف‌تر بودند.

شرکت‌ها، تنها زمانی مجبور به رسیدگی به مسائل حریم خصوصی می‌شدند که نقض آشکار رخ می‌داد یا نهادهای نظارتی وارد عمل می‌شدند. آن روزها، مدت‌هاست که گذشته است.

به گزارش فوربس، امروزه قوانین حریم خصوصی مصرف‌کننده در ایالت‌های مختلف آمریکا و در سطح بین‌المللی، با سرعت بالا در حال تحول‌اند. فناوری هوش مصنوعی، حتی سریع‌تر از آنها در حال پیشرفت است. دیگر نمی‌توان موضوع حریم خصوصی را به «فصل بعد» موکول کرد. از آنجا که مقررات جدیدتر، بیش‌‌ازپیش، اجرای تدابیر حاکمیت داده را الزامی می‌کنند، در ادامه خواهیم گفت که چرا حریم خصوصی برای موفقیت کسب‌وکارتان، اهمیت حیاتی دارد. (مطالعه متن حاضر که شامل اصول مهمی در سیاست‌های گردآوری، پردازش، نگهداری و نحوه دسترسی به داده‌های عمومی است به مسوولان نهادهای نظارتی حوزه افتا و شرکت‌های خصوصی توصیه می‌شود.)

• وضعیت حاکمیت داده و تطبیق آن با قوانین حریم خصوصی چگونه است؟

حاکمیت داده و حریم خصوصی، به یکدیگر مرتبط‌اند، اما یکسان نیستند. حاکمیت داده، حوزه تخصصی کامل برای مدیریت داده در سراسر چرخه عمر آن است. این حوزه، سیاست‌هایی را برای مالکیت داده، کیفیت، کنترل دسترسی و نحوه استفاده از داده‌ها تعریف می‌کند. حاکمیت داده، مانند کتاب قانون برای جریان داده در سازمان شماست؛ مثلا چه‌کسی مالک آن است، چه‌‌کسانی می‌توانند به آن دسترسی داشته باشند، چقدر دقیق است و تا چه مدت باید نگهداری شود.

تطبیق با قوانین حریم خصوصی، به معنای محافظت از اطلاعات شخصی، مطابق با الزامات قانونی است. قوانینی مانند مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) و قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA)، که بعد! با عنوان CPRA  اصلاح شده، اغلب بر وجود شیوه‌های قوی حاکمیت داده تکیه می‌کنند، اما خود حاکمیت داده، فراتر از آن چیزی است که این مقررات، الزام می‌کنند.

برای مثال، قانون حریم خصوصی ممکن است بگوید: «برای کاهش ریسک، جمع‌آوری داده‌ها را به حداقل برسانید.» اما برنامه حاکمیت داده، از این فراتر رفته و می‌گوید: «تیم بازاریابی ما فقط مجاز به جمع‌آوری نام کوچک و نشانی ایمیل است، مگر اینکه نیاز تجاری مشخصی برای دریافت تاریخ تولد کامل وجود داشته باشد.» به عبارت دیگر، حاکمیت داده، چارچوبی برای اجرای قوانین حریم خصوصی فراهم می‌کند، نه برعکس.

• حاکمیت داده، چگونه به اجرای قوانین حریم خصوصی کمک می‌کند؟

اکنون، دست‌کم ۲۰ ایالت آمریکا، تا حدی، اجرای حاکمیت داده را الزامی کرده‌اند و این تعداد، در حال افزایش است، اما حتی در مواردی که حاکمیت داده، مستقیماً در حوزه شمول قانون خاصی نباشد، همچنان به اجرای مؤثر قوانین حریم خصوصی، از طریق موارد زیر کمک می‌کند:

• مالکیت داده: حاکمیت داده، نقش‌های مشخصی برای مدیریت داده، تعیین و مسئولیت‌پذیری در اجرای اقدامات مرتبط با حریم خصوصی را تضمین می‌کند.
• کیفیت داده: داده‌های دقیق و یکدست، اجرای درخواست‌های مرتبط با حقوق حریم خصوصی، مانند دسترسی یا حذف داده را تسهیل می‌کند.
• کنترل دسترسی: دسترسی حداقلی تضمین می‌کند که داده‌های حساس، فقط در اختیار افرادی قرار گیرد که واقعاً به آن نیاز دارند.
• نگهداری و حذف: سیاست‌های حاکمیت داده، حذف خودکار داده‌ها پس از پایان دوره نیاز به آنها را اجرا می‌کنند و بدین‌ترتیب، ریسک‌های حریم خصوصی را کاهش می‌دهند.

به طور خلاصه، تطبیق با قوانین حریم خصوصی، زمانی بسیار ساده‌تر می‌شود که شرکت شما، قبلا سیاست‌های روشن در زمینه حاکمیت داده داشته باشد.

• عناصر کلیدی حاکمیت داده

آنچه دیروز با مقررات منطبق بود، ممکن است امروز به ریسک تبدیل شود. با این حال، بسیاری از شرکت‌ها، همچنان حاکمیت داده را در اولویت قرار نمی‌دهند و تنها زمانی به آن توجه می‌کنند که پای نهادهای نظارتی به میان کشیده شود. یک برنامه قدرتمند حاکمیت داده، نیازمند سیاست‌های هدفمند، نقش‌های مشخص و سازوکارهای اجرایی است که کنترل داده را حفظ کند و آن را با اهداف کسب‌وکار همسو نگه دارد.

• مالکیت و پاسخگویی در قبال داده

داده‌ها خودبه‌خود مدیریت نمی‌شوند. در نبود مالکیت مشخص، داده‌های سازمانی پراکنده، ناسازگار و ناامن می‌شوند. برنامه‌های حاکمیت باید مشخص کنند چه کسانی در هر بخش، مسئول مدیریت داده‌ها هستند و این مسئولیت‌ها، چگونه پیگیری و اجرا می‌شوند. برای ایجاد پاسخگویی:

• مالک و متولی داده را مشخص کنید: افرادی را برای تضمین کیفیت، امنیت و دسترسی داده در هر تیم مشخص کنید.
• سیاست‌های حاکمیتی را تدوین کنید: دستورالعمل‌های مکتوب برای مالکیت، استفاده و نگهداری داده‌ها تهیه کنید.
• نهاد نظارت بر حاکمیت تشکیل دهید: کمیته میان‌بخشی با حضور متخصصن حقوقی، فناوری، امنیت و عملیات، سیاست‌ها را پایش و اختلافات را حل کند.
• حمایت مدیریت ارشد را جلب کنید: موفقیت حاکمیت، تنها با پشتیبانی و نظارت رده‌های بالا تضمین می‌شود.

مثال: یک شرکت حوزه سلامت ممکن است تیم منابع انسانی را مالک داده‌های پرسنلی قرار دهد، در حالی ‌که تیم فناوری، مسئول کنترل دسترسی به سامانه‌ها خواهد بود.

• حداقل‌سازی داده

جمع‌آوری داده، باید هدف‌محور باشد، نه بی‌رویه. نبود سیاست‌های حداقلی‌سازی، باعث انباشت اطلاعات شخصی غیرضروری می‌شود و ریسک و مخاطرات قانونی را افزایش می‌دهد. برای اجرای حداقل‌‌سازی داده:

• حدود جمع‌آوری را مشخص کنید: هر بخش، باید فقط اطلاعاتی را گردآوری کند که برای نیازهای تجاری و الزامات قانونی، ضروری است.
• برنامه‌های نگهداری خودکار طراحی کنید: قوانین حذف یا بایگانی داده‌ها، پس از بازه زمانی معین تعریف شود.
• استفاده ثانویه از داده را کنترل کنید: برای استفاده‌های جدید از داده، تأییدیه لازم دریافت شود.
• جمع‌آوری داده‌ها را ممیزی کنید: فرایندها به‌صورت منظم بررسی شوند تا داده‌های مازاد جمع‌آوری نشوند.

مثال: تیم بازاریابی ممکن است تنها مجاز به دریافت نام کوچک و نشانی ایمیل برای ثبت‌نام در خبرنامه باشد.

• کیفیت داده

برنامه‌های حاکمیت باید به‌طور فعال، کیفیت داده را مدیریت کنند. داده‌های بی‌کیفیت، تصمیم‌گیری را مختل، عملیات را کند و رعایت مقررات را دشوار می‌کند. برای حفظ کیفیت داده:

• قواعد اعتبارسنجی خودکار اعمال کنید: فیلدهای خالی، قالب‌های نادرست یا رکوردهای تکراری را شناسایی و آنها را مسدود کنید.
• ورودی داده‌ها را استاندارد کنید: از قالب‌های یکپارچه برای نام‌ها، تاریخ‌ها و متادیتا در کل سیستم‌ها استفاده کنید.
• ممیزی منظم انجام دهید: داده‌ها را به‌صورت دوره‌ای، بررسی و اشکالات را اصلاح کنید.
• پایش لحظه‌ای برقرار کنید: ابزارهای خودکاری راه‌اندازی کنید که ناهنجاری‌هایی مانند افزایش غیرمنتظره در داده‌های ناقص را شناسایی کنند.

مثال: یک شرکت B2B ممکن است برای نمایندگان فروش، هشدار خودکاری تنظیم کند تا در صورت ناقص بودن اطلاعات مالک حساب، پیگیری انجام شود.

• کنترل دسترسی و امنیت

اگر کارکنان، به داده‌هایی فراتر از نیاز خود دسترسی داشته باشند، حاکمیت داده، بی‌اثر خواهد بود. سیاست‌ها باید دسترسی را به حد نیاز محدود کنند تا از نقض داده و عدم انطباق جلوگیری شود. برای اعمال کنترل دسترسی:

• مجوزهای مبتنی بر نقش تعریف کنید: دسترسی داده بر اساس وظایف شغلی محدود شود.
• گزارش‌های دسترسی را رصد کنید: نظارت بر افرادی که داده‌های حساس را مشاهده، ویرایش یا استخراج می‌کنند.
• بازبینی‌های فصلی انجام دهید: دسترسی‌های قدیمی، حذف و با تغییر نقش‌ها، به‌روزرسانی شود.
• کنترل‌های احراز هویت قوی اعمال کنید: رمز عبور قوی، احراز هویت چندمرحله‌ای یا بیومتریک برای سیستم‌های حساس، ضروری است.

مثال: تیم منابع انسانی به ارزیابی عملکرد کارکنان دسترسی دارد، در حالی که تیم فناوری اطلاعات، می‌تواند اعتبارنامه‌ها را مدیریت کند، ولی به فایل‌های شخصی منابع انسانی دسترسی ندارد.

• نتیجه‌گیری

یک برنامه فعال حاکمیت داده، فقط از نظر رعایت حریم خصوصی مفید نیست، بلکه کل اکوسیستم داده شما را از نظر دقت و امنیت تا بهره‌وری عملیاتی تقویت می‌کند. با تدوین سیاست‌های روشن برای مالکیت، کیفیت و دسترسی به داده، می‌توانید ریسک‌های قانونی را کاهش و کارآمدی را افزایش دهید و اعتماد مشتری را نیز جلب کنید. با این کار، وقتی قوانین حریم خصوصی در آینده، به‌طور ناگزیر، دچار تحول شوند، شما قبلاً زیرساخت لازم برای انطباق سریع را دارید.(منبع:عصرارتباط)