تدخل كثير من الجهات الحكومية دورة قياس مؤشر “نضيء” وهي مطمئنة إلى بنيتها التحتية الأمنية، مستندةً إلى جدران الحماية السيبرانية وتصنيفاتها في إطار الأمن السيبراني الوطني — ثم تُفاجئها نتائج مجال حماية البيانات الشخصية (PDP) بأرقام لا تعكس حجم الاستثمار المبذول. والسبب ليس ضعفًا في الحماية التقنية، بل هو اختلاط مفهومَين مختلفَين تمامًا في ذهن الفريق المعني: فالأمن السيبراني يحمي البيانات من الاختراق الخارجي، بينما يقيس مجال (PDP) في مؤشر “نضيء” شيئًا مختلفًا كليًا، وهو مدى التزام الجهة بتنظيم معالجتها الداخلية للبيانات الشخصية وفق نظام حماية البيانات الشخصية (PDPL) وضوابط مكتب إدارة البيانات الوطنية (NDMO). وبهذا المعنى، فإن مجال (PDP) ليس مسألة تقنية بامتياز، بل هو منظومة هجينة تجمع بين الامتثال القانوني والإجراءات التشغيلية وثقافة المنظمة الداخلية، وكلها ميادين تحتاج إلى تأهيل مستقل لا يُغني عنه وجود نظام أمني متطور.
Blog Body
ما الذي يقيسه مؤشر “نضيء” فعليًا في مجال حماية البيانات الشخصية؟
يضمّ مجال (PDP) في مكوّن النضج سؤالَين رئيسيَّين (PDP.MQ.1 وPDP.MQ.2)، يكشف كلٌّ منهما جانبًا مختلفًا من منظومة الخصوصية التي ينبغي للجهة بناؤها وإثباتها بالأدلة الداعمة.
هل أجرت الجهة تقييمًا مبدئيًا لحماية البيانات الشخصية وطوّرت خطة للتعامل مع متطلباتها الاستراتيجية والتشغيلية (PDP.MQ.1)؟
يبدأ هذا السؤال من أبسط نقاط البداية: هل تعلم الجهة فعلًا ما تجمعه من بيانات شخصية؟ وهل حدّدت الفجوات الفاصلة بين ممارساتها الراهنة وما يشترطه نظام حماية البيانات الشخصية (PDPL)؟ فعند المستوى الأول (البناء)، يُطلب إرفاق نتيجة التقييم المبدئي (PDP.1.1) الذي يشمل على أقل تقدير: تحديد أنواع البيانات الشخصية المُجمَّعة، وموقع تخزينها وطريقته، والمعالجة والاستخدامات الجارية عليها، وتحديات الامتثال لـ PDPL واللائحة التنفيذية الصادرة من NDMO.
ومن هنا تتّضح أهمية هذا التقييم المبدئي بوصفه نقطة الانطلاق الإلزامية لكل ما يليه من مستويات؛ إذ لا تستطيع الجهة بناء خطة تنفيذية دون أن تعرف أولًا حجم الفجوة وطبيعتها. وعند المستوى الثاني (التعريف)، يُطلب خطة معتمدة من صاحب الصلاحية تحتوي على خارطة طريق بالأنشطة والأهداف المرحلية لتحقيق الامتثال الكامل، مع تخصيص الموارد والميزانية اللازمة، فضلًا عن خطة تدريب مستقلة لمنسوبي الجهة في هذا المجال. أما عند المستوى الثالث (التفعيل)، فيُصبح تقرير حالة التنفيذ الفعلي مطلوبًا مع إثباتات التدريب المنفَّذ لجميع الموظفين، شاملًا موضوعات جوهرية كأهمية حماية البيانات وتأثيراتها، وتعريف البيانات الشخصية، وحقوق أصحاب البيانات، ومسؤوليات الجهة في إدارة الإشعارات وطلبات الجمع والمعالجة والمشاركة.
هل وضعت الجهة ونفّذت سياسات وعمليات خصوصية البيانات الشخصية، بما فيها التعامل مع التسريبات وإدارة الموافقات وحقوق أصحاب البيانات وتقييمات مخاطر الخصوصية (PDP.MQ.2)؟
يُعدّ هذا السؤال الأثقل تشغيليًا والأكثر حضورًا في إخفاقات الجهات، لأنه يتجاوز وجود السياسات على الورق ليسأل عن دليل التنفيذ الفعلي. فعند المستوى الثاني (التعريف)، تُطلب وثيقة العملية الموثّقة للإشعار بتسريبات البيانات والتعامل معها — وتُلاحَظ هنا دقة الدليل المطلوب: فالعملية يجب أن تُبيّن إجراءات المراجعة الفورية من قِبَل ضابط حماية البيانات، وصياغة الاستجابة العاجلة من مسؤول ضبط البيانات أو معالجها، والإطار الزمني المحدد للإبلاغ المنظِّم وهو 72 ساعة. ويُطلب أيضًا سياسات حماية البيانات الشخصية الخاصة بالجهة وعملية إدارة الموافقات (Consents) وحقوق أصحاب البيانات (Data Subjects).
وعند المستوى الثالث (التفعيل)، ترتفع سقف المتطلبات ارتفاعًا لافتًا؛ إذ يُطلب إثبات أتمتة سير العمل لإدارة الموافقات (PDP.4.1)، وأدلة على الإشعارات المرسلة للسلطة التنظيمية ضمن الـ 72 ساعة المقرّرة، وأدلة على إدارة اختراقات أو تسريبات البيانات الفعلية أو تقديم خطاب معتمد يُثبت عدم حدوث أي حادثة. والأهم من ذلك: يُطلب سجل حماية البيانات الشخصية المجمَّع (PDP.5.1) الذي يضم سجلات تدقيق الامتثال بكل عملية جمع أو معالجة لأي بيانات شخصية، مع دليل على إمكانية إتاحته للجهة التنظيمية (NDMO) عند الطلب.
سجل حماية البيانات الشخصية: الوثيقة الحيّة لا الملف السنوي
يُشكّل مطلب سجل حماية البيانات الشخصية (PDP.5.1) نقطة تحوّل جوهرية في فهم الجهات لما يعنيه الامتثال الحقيقي، إذ يكشف أن المؤشر لا يبحث عن وثيقة “تُعدّ مرة واحدة قبيل موعد القياس”. بل يشترط وجود سجل مُحدَّث باستمرار يحتوي على كل عملية جمع أو معالجة لبيانات شخصية، ومتاح للجهة التنظيمية وفق أحكام نظام حماية البيانات الشخصية واللائحة التنفيذية الصادرة من NDMO.
وهذا الاشتراط يفرز نوعَين من الجهات في دورات القياس: الأولى تتعامل مع السجل كمشروع تنفّذه مرة واحدة، فتجد نفسها في كل دورة أمام فجوة بين السجل الموثَّق والواقع التشغيلي المتغيّر، خاصة مع إطلاق خدمات إلكترونية جديدة أو إبرام عقود مع موردي الخدمات السحابية. والثانية تُؤسِّس منظومة تحديث مستمر مرتبطة بعمليات إدارة التغيير، فتكون دائمًا في حالة جاهزية لأي تدقيق، دون ارتباك أو حملات تصحيحية مكثّفة قبيل موعد القياس.
حقوق أصحاب البيانات: متطلب موثَّق لا مجرد شعار
يُفرد الدليل الرسمي لمؤشر “نضيء” مساحة واسعة لإدارة حقوق أصحاب البيانات (Data Subjects) باعتبارها دليلًا على النضج الحقيقي لمنظومة الخصوصية. ويشترط المؤشر توثيق عمليات تدعم سبعة حقوق أساسية لأصحاب البيانات، وهي: الحق في العلم، والحق في الوصول إلى البيانات، والحق في التصحيح، والحق في المسح أو الإتلاف، والحق في الاعتراض، والحق في تقييد المعالجة، والحق في نقل البيانات.
وبالتالي لا يكفي مجرد النصّ على هذه الحقوق في وثيقة السياسة الداخلية؛ بل يُطلب عند المستوى الثالث نشرها على الموقع الرسمي للجهة مع وجود آلية فعلية لرصد الملاحظات والأسئلة والمشكلات الواردة من أصحاب البيانات، وأدلة على جمع آرائهم وإدارة طلباتهم (PDP.4.2). وهذا ما يُميّز مجال (PDP) عن كثير من المجالات الأخرى: فهو يمتد خارج جدران الجهة ليصل إلى المستفيدين الفعليين، ويسأل عن الأثر المُثبَت لا عن النية المُعلَنة.
تقييمات مخاطر الخصوصية: ما يُطلبه المؤشر بالضبط
يُلزم الدليل الرسمي الجهاتِ بإجراء تقييم سنوي لمخاطر تشغيل واستخدام أنظمة المعلومات التي تحتوي على بيانات شخصية، شاملًا عمليات الجمع والمعالجة والتخزين والنقل في كل نظام سواء يدويًا أو آليًا. وتخضع نتائج هذا التقييم لمتطلبات محددة تشمل: التوثيق الكامل، وتحليل الأثر واحتمالات الوقوع، والتقييم على أساس الالتزامات التنظيمية وأهمية الحلول.
ومن هنا يظهر نمط مُتكرِّر في الجهات التي تُخفق في هذا البند: فهي إما لا تُجري التقييم إلا عند بلوغ حادثة فعلية (وهو ما يُصنّفه المؤشر ضمن المستوى الأول “ردّة فعل”)، أو تُجريه لكنها لا تُوثّق نتائجه بالشكل الذي يتحقّق منه المقيِّم. وكلا الحالتَين يستنزف درجات في مكوّن النضج، حتى وإن كان الواقع التشغيلي أفضل مما تعكسه الأدلة المُقدَّمة.
مسار النضج من المستوى الثاني إلى المستوى الخامس: ما الذي يُحقّق الفارق؟
يُبنى مجال (PDP) في مؤشر “نضيء” على ستة مستويات متراكمة تبدأ من غياب القدرات وتصل إلى الريادة، وكل مستوى يستوعب ما قبله ويُضيف اشتراطات جديدة. وإليك المسار الأكثر وضوحًا لمن يستهدف التمكّن أو الريادة:
المستوى الثالث (التفعيل): يشترط تطبيق وتوحيد الممارسات المُطوَّرة والمعتمدة لحماية البيانات الشخصية، مع نشر حقوق أصحاب البيانات على الموقع الرسمي للجهة، وتوثيق سجل مجمَّع بعمليات الامتثال بكل جمع أو معالجة لبيانات شخصية. حتى إن لم يحدث أي اختراق فعلي، يُطلب تقديم خطاب معتمد يُثبت ذلك صراحةً، لا الصمت عن هذه النقطة.
المستوى الرابع (التمكّن): يُضاف اشتراط مراقبة فعالية ممارسات حماية البيانات الشخصية عبر KPIs محددة مسبقًا وبطاقات مؤشرات مُفصَّلة، وإجراء عمليات تدقيق دورية على الامتثال لـ PDPL واللائحة التنفيذية. فضلًا عن ذلك، يُطلب تقرير مراقبة الامتثال ونتائج التدقيق (PDP.4.4) الذي يُثبت أن الجهة تُدار في حالة تدقيق مستمر لا في حالة تحضير لموعد قياس محدد.
المستوى الخامس (الريادة): يتجاوز الاشتراط حدود الامتثال ليصل إلى التحسين المستمر المؤتمَت وإدارة التغيير المرتبطة بالمتطلبات التشريعية والتنظيمية المتجدّدة، مع مراجعات دورية موثَّقة تُظهر التطور الفعلي في عمليات حماية البيانات الشخصية والخصوصية عبر الزمن.
العلاقة بين مجال PDP وبقية مجالات المؤشر: تشابك يستحق الانتباه
لا يعمل مجال حماية البيانات الشخصية في عزلة عن مجالات مؤشر “نضيء” الأخرى؛ بل تربطه علاقات تأثير متبادل ينبغي للجهة فهمها حتى لا تُعالج كل مجال بمعزل عن غيره. فنتائج تقييمات مخاطر الخصوصية ترتبط ارتباطًا وثيقًا بمجال تصنيف البيانات (DC)، إذ لا يمكن تقييم مخاطر البيانات الشخصية بدقة دون وجود تصنيف معتمد يُميّز البيانات الشخصية عن غيرها. كذلك يرتبط مجال (PDP) بمجال البيانات الوصفية ودليل البيانات (MCM)، حيث تُنشر مستويات التصنيف الممنوحة لمجموعات البيانات الشخصية على فهرس البيانات الوطني (NDC) وفق العملية المعرَّفة في مجال (MCM). وبالمثل، فإن عمليات الإشعار الموثَّقة وإدارة الموافقات تُولّد سجلات مرتبطة بمجالَي تكامل البيانات ومشاركتها (DSI) وحوكمة البيانات (DG). ومن هنا، فإن التنسيق عبر مجالات المؤشر المختلفة ليس ترفًا تنظيميًا، بل هو شرط لتجنّب الأدلة المتناقضة التي قد تُشير إلى ضعف في منظومة الحوكمة ككل.
كيف يدعمك نظام قيمة (QIMA) من RMG في مجال حماية البيانات الشخصية؟
يُدرك فريق ريناد المجد (RMG) — الحاصل على التصنيف الذهبي من هيئة الحكومة الرقمية (DGA) وشريك معتمد من EDM Council — أن معظم إخفاقات الجهات في مجال (PDP) لا تنشأ من إهمال، بل من فجوة بين ما تُنجزه الإدارات التشغيلية يوميًا وما تُوثّقه السياسات المعتمدة. لذا تتضمّن خدمات قيمة (QIMA) في هذا المجال:
- إجراء التقييم المبدئي الشامل لحماية البيانات الشخصية المتوافق مع PDPL ومعايير NDMO، بما يُنتج نتيجة التقييم المطلوبة في معيار (PDP.1.1)
- بناء الخطة التنفيذية المعتمدة مع خارطة الطريق والموارد والميزانية ووثيقة التدريب المطلوبة عند المستوى الثاني
- تطوير وتوثيق السياسات والعمليات الأربعة الرئيسية: الإشعار بالتسريبات، وإدارة الموافقات، وحقوق أصحاب البيانات، وتقييمات مخاطر الخصوصية
- بناء سجل حماية البيانات الشخصية المجمَّع (PDP.5.1) وتصميم آلية تحديثه المستمر بالتكامل مع عمليات إدارة التغيير
- تفعيل مسارات عمل مؤتمتة لإدارة الموافقات (PDP.4.1) بالتعاون مع شركاء تقنيين معتمدين كـ Microsoft وOracle
- تدريب مسؤولي حماية البيانات وملّاك البيانات وفرق تقنية المعلومات على إدارة المجال بصورة مستدامة
وبدلًا من أن تعيش الجهة قلق ما إذا كانت ممارساتها ستجتاز تدقيق المقيِّم، يُمكّنها نظام قيمة من معرفة مستوى نضجها في مجال (PDP) قبل دورة القياس وإغلاق الفجوات بمنهجية مُختبَرة في أكثر من 50 مشروعًا.
احصل على تقييم مجاني لمستوى نضج جهتك في مجال حماية البيانات الشخصية ←
أسئلة شائعة حول مجال حماية البيانات الشخصية في مؤشر “نضيء”
هل يكفي الامتثال لإطار الأمن السيبراني الوطني (ECC) لاجتياز مجال حماية البيانات الشخصية (PDP)؟ لا يكفي، وهذا اللبس هو الأكثر شيوعًا في الجهات التي تُفاجَأ بنتائجها في هذا المجال. يعالج إطار الأمن السيبراني حماية الأنظمة والبيانات من الاختراقات الخارجية، في حين يقيس مجال (PDP) الامتثال لنظام حماية البيانات الشخصية (PDPL) واللائحة التنفيذية الصادرة من NDMO، والتي تُنظّم المعالجة الداخلية المشروعة وتُؤطّر العلاقة مع أصحاب البيانات وحقوقهم. ومن هنا، فإن الجهة التي تتفوّق في الأمن السيبراني وتُهمل توثيق عمليات الموافقات والإشعارات وحقوق الوصول ستجد نفسها في المستوى الأول (ردّة فعل) ضمن مجال (PDP)، رغم متانة بنيتها التحتية الأمنية.
ما المطلوب تحديدًا في سجل حماية البيانات الشخصية (PDP.5.1) وكيف يختلف عن سجلات التدقيق المعتادة؟ يشترط الدليل الرسمي لمؤشر “نضيء” أن يتضمّن هذا السجل سجلات بكل عملية جمع أو معالجة لأي بيانات شخصية، مع دليل على إمكانية إتاحته لمكتب إدارة البيانات الوطنية (NDMO) عند الطلب، وفق أحكام PDPL واللائحة التنفيذية. ويختلف ذلك عن سجلات التدقيق التقنية المعتادة التي تُركّز على الأحداث الأمنية؛ إذ يُركّز هذا السجل على دورة حياة البيانات الشخصية بمجملها من الجمع حتى الإتلاف، ويكون عنصر الإتاحة للجهة التنظيمية جزءًا من إثبات الامتثال لا مجرد إجراء اختياري.
هل يُعدّ وجود مسؤول حماية البيانات (DPO) شرطًا للنضج في هذا المجال؟ لا يُعدّ وجود DPO شرطًا صريحًا في مستوى بعينه من مستويات مؤشر “نضيء”، غير أن تعريف الحوكمة لإدارة الامتثال لـ PDPL واللائحة التنفيذية بما يتوافق مع هيكل “تنظيم إدارة البيانات” — وهو مطلب المستوى الثاني — يستلزم عمليًا وجود أدوار ومسؤوليات واضحة لضابط حماية البيانات أو من يُنيب عنه، وإلا ظلّت الخطة التنفيذية منفصلة عن الواقع التشغيلي.
كيف تُثبت الجهة أن سجلات الموافقات (Consents) مُؤتمَتة وليست يدوية فحسب؟ يشترط المستوى الثالث إرفاق ما يُثبت أتمتة سير العمل المعدّ والمعتمد لعملية إدارة الموافقات (PDP.4.1)، ولا يُقبل في هذا المستوى الوصف النظري لآلية الموافقة دون دليل على التطبيق الفعلي. ويتحقّق ذلك عبر لقطات نظام أو سجلات تشغيلية أو تقارير أداة إدارة الموافقات تُظهر مسار العمل الآلي في حالات حقيقية، مما يُثبت للمقيِّم أن الجهة انتقلت من الممارسة اليدوية المُعرَّضة للخطأ إلى منظومة مؤتمتة مُتحكَّم بها.
ما التعامل الصحيح عند مشاركة بيانات شخصية مع جهات حكومية أخرى عبر قناة التكامل الحكومية (GSB)؟ تشترط سياسات NDMO المُدرَجة في معايير مجال (PDP) وجود عملية موثَّقة للإشعار وإدارة الموافقات تشمل كل مراحل دورة حياة البيانات التي تُجمَع فيها أو تُشارَك، وفق نظام حماية البيانات الشخصية واللائحة التنفيذية. وتُدرَج عمليات المشاركة هذه ضمن سجل حماية البيانات الشخصية المجمَّع مع تحديد الغرض النظامي من كل عملية مشاركة، فضلًا عن الربط مع عمليات الحوكمة المُعرَّفة في مجال تكامل البيانات ومشاركتها (DSI) لضمان اتساق الأدلة الداعمة عبر المجالَين.
تستعدّ جهتك لدورة قياس مؤشر “نضيء” القادمة؟ يُقدّم فريق RMG المتخصّص تقييمًا لمستوى نضجك الراهن في مجال حماية البيانات الشخصية ويضع معك خطة عمل واضحة لإغلاق فجوات الأدلة الداعمة تواصل معنا الآن.
