אז מה היה לנו כאן – הבעיות הגדולות שעדיין נותרו לחברות
על ארגונים להבין ולדאוג שסיכון הגנת המידע ישתלב במסגרת ניהול הסיכונים הארגוניים ובמסגרת הבקרה הפנימית ● תהיה חובה לנהל את פרויקט התאימות הזה, ולגבש הבנה משמעותית של תהליך זה
אם נרצה או לא נרצה, רגולציית ה-GDPR נכנסת לתוקף בחודש הבא ואנו רק מספר שבועות לפני אירוע זה. במידה ואתם נמנים על החברות שסיימו או עדיין בתהליך התאימות לרגולציה, אתם ודאי כבר מודעים לעובדה שאין דרך אחת נכונה להשיג את המטרה הנכספת של המוכנות לתחולתה.
בדרך למטרה זו עולות שאלות רבות ומגוונות. ביניהן:
- האם יש מסגרות מומלצות ליישום בקרות ותהליכים עבור אבטחת מידע שאני יכול לבצע כדי להבטיח את מוכנותי ל-GDPR?
- כיצד אוכל להבטיח שהשותפים שלי יהיו אחראים לסיום תהליך התאימות ל-GDPR שלהם?
- האם עלי להפריד את הנתונים שלי כדי לצמצם את החשיפה לדרישות משתנות ברחבי האיחוד האירופי?
- איך GDPR חל על ארגונים מבוססי ארצות הברית, וכיצד הם יכולים למנוע מצב בו חלות עליהם הדרישות של GDPR?
- האם הרגולציה מתמקדת בעיקר בלקוחות או בעובדים?
מפחיד? ובכן, קחו נשימה, אין מה לפחד. בואו ננסה לפרוט את השאלות אחת אחת.
ראשית, על מנת לעמוד בדרישות הרגולציה בתחום אבטחת המידע, ניתן ליישם אחת ממספר מסגרות עבודה המומלצות בתחום זה. חשוב לזכור, כי על מנת להיות תואם לדרישות, יש ליישם בקרות המתאימות לרמת הסיכון שאתם כארגון מתמודדים איתם. הארגון צריך להגן על נתונים מפני הפרות של סודיות, שלמות וזמינות. לשם כך, ניתן להשתמש במתודולוגיה של SANS Top 20 Security Controls או שימוש בבקרות ה-ISO27001 אשר מכסות את שיטות העבודה המומלצות ואת כל האזורים הקריטיים של ה-IT בתחום האבטחה.
חלק מהרגולציה מתייחס לעבודה עם השותפים. גם השותפים, כמו הארגון עצמו, צריכים להיות חלק מתהליך התאימות. על מנת להבטיח זאת, על הארגון לבנות דרישות אבטחה, מדדים, הסכמי SLA ותנאים נוספים בחוזים מולם על מנת לאפשר אכיפה לאורך זמן.
להימנע מכל איסוף נתונים מכל אזרח
נתונים אשר חוצים גבולות, מסבכים באופן משמעותי את הציות לרגולציה. על כן, ארגון המבקש לציית לרגולציית ה-GDPR, צריך לדאוג להפרדת הנתונים האישיים או אפילו לשמור על נתונים פיזית בתוך גבולות אזוריים ספציפיים. כמו כן, יש להעריך את הסיכון של חשיפה לנתונים, לסווג את הנתונים המוחזקים במדינות השונות בכל יישום ולאחר מכן לקבוע אם הפרדת הנתונים שווה את המאמץ לעומת הסיכון והעלות.
לגבי עבודה עם ארצות הברית – ברמה הבסיסית, אם החברה מעניקה שירותים שיווקיים לאזרחי האיחוד האירופי, כאשר הינה מבוססת בארצות הברית, עדיין קיימת החובה לעמידה בדרישות ה-GDPR. כדי למנוע אי עמידה בדרישות של GDPR, על הארגון להימנע מכל איסוף נתונים מכל אזרח של האיחוד האירופי.
ומילה נוספת לגבי העובדים של החברה. הרגולציה מתמקדת בהגנה על נתוני הפרטים, הכוללת עובדים.
אין ספק, שפרטים הנוגעים לבריאות העובד, התשלומים עבורו, זיהוי נתונים ונתונים רגישים אחרים הינם חלק מדרישות התאימות. סביר להניח שמדיניות שימוש מקובלת בנתוני העובדים, הקשורה לשימוש בטכנולוגיה, תחייב שימוש בתהליכים למטרות עסקיות בלבד, ותנאי העבודה של הארגון צריכים להגדיר את האופן שבו הארגון משתמש בנתונים אלו, שומר עליהם ומנהל אותם. צוותי החוק והתאימות של הארגון צריכים לבדוק את תנאי העסקתם הקיימים של עובדי הארגון ואת החוזים שלהם, ולוודא שהסכמה מתאימה נאספת מעובדים.
בסיכומו של דבר, על הארגון להבין את ההשלכות של הרגולציה על מנת לתמוך בפרויקט ולהקצות את המשאבים הדרושים להשלמת תהליך התאימות. בנוסף, יש לדאוג שסיכון הגנת המידע יצטרך להשתלב במסגרת ניהול הסיכונים הארגוניים ובמסגרת הבקרה הפנימית. אדם או צוות של אנשים חייבים לנהל את פרויקט התאימות הזה, ולגבש הבנה משמעותית של תהליך זה.
הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGF, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.
תגובות
(0)