أدخلت اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي حقبة جديدة من تنظيم السرية والامتثال على مستوى العالم حيث تم سن المزيد من لوائح السرية، نتيجة لذلك يجب على المؤسسات تنفيذ السياسات والإجراءات لضمان الامتثال للوائح السرية هذه.
بالإضافة إلى ذلك العالم كله حالياً في خضم تحول رقمي سريع حيث يتزايد جمع البيانات ومعالجتها بشكل كبير فإن النمو المتزامن في حجم البيانات والمتطلبات التنظيمية المتعلقة بهذه البيانات يجعل الامتثال معقداً بشكل متزايد بالنسبة للمؤسسات من جميع الأنواع.
يساعد المعيار الدولي الجديد (ISO / IEC 27701 )نظام إدارة معلومات الخصوصية (PIMS) المعروف سابقاً باسم ISO / IEC 27552 المؤسسات على التوفيق بين متطلبات تنظيم السرية والضوابط التشغيلية .
البيانات الشخصية
البيانات الشخصية هي أي معلومات (بما في ذلك الآراء والنوايا) التي تتصل بشخص طبيعي محدد الهوية أو من الممكن تحديد هويته. البيانات الشخصية خاضعة لضمانات قانونية محددة وغيرها من اللوائح التنظيمية، والتي تفرض قيوداً على الكيفية التي من الممكن أن تتبعها المؤسسات لمعالجة البيانات الشخصية. وتسمى المؤسسة التي تتعامل مع البيانات الشخصية وتتخذ قرارات بشأن استخدام تلك البيانات باسم “مراقب البيانات”.
تحديات الامتثال
تتناول (ISO / IEC 27701) ثلاثة تحديات رئيسية تتعلق بالامتثال:
- الكثير من المتطلبات التنظيمية التي لا يمكن التوفيق بينها: إن التوفيق بين المتطلبات التنظيمية المتعددة من خلال استخدام مجموعة عالمية من الضوابط التشغيلية يتيح التنفيذ المتسق والفعال.
- مكلفة للغاية للتدقيق من خلال اللوائح التنظيمية: يمكن للمدققين ، الداخليين والطرف الثالث على حد سواء ، تقييم الامتثال التنظيمي باستخدام مجموعة رقابة تشغيلية شاملة ضمن دورة تدقيق واحدة.
- يعد الوعد بالامتثال دون دليل محفوفاً بالمخاطر: قد تتطلب الاتفاقيات التجارية التي تتضمن نقل المعلومات الشخصية شهادة الامتثال.
المتطلبات التنظيمية كثيرة جداً بحيث لا يمكن التوفيق بينها
يشتمل معيار ISO / IEC 27701 على ملحق يحتوي على عناصر التحكم التشغيلية للمعيار والتي تم تعيينها وفقاً للمتطلبات ذات الصلة في اللائحة العامة لحماية البيانات لوحدات التحكم والمعالجات. هذا التعيين هو مجرد مثال على كيفية تفعيل لوائح السرية مع توفر خرائط إضافية مع اللوائح الأخرى والتحقق من صحتها ، يمكن نقل الضوابط التشغيلية من المعيار مباشرة من المراجعة التنظيمية إلى التنفيذ. يسمح إطار العمل العالمي هذا للمؤسسات بتفعيل المتطلبات التنظيمية ذات الصلة بشكل موثوق دون “إعادة اختراع العجلة”. مشروع مفتوح المصدر قيد التنفيذ لتمكين مجتمع السرية من تعيين لوائح أخرى والتحقق من صحة التعيينات الحالية
مكلفة للغاية لمراجعة اللوائح التنظيمية تلو الأخرى
مع دخول المزيد من لوائح السرية حيز التنفيذ ، سيزداد الضغط لتقديم دليل على الامتثال. لكن تكاليف الشهادات التنظيمية المتباينة تصبح باهظة إذا دعت كل لائحة إلى تدقيق فريد خاص بها. من خلال تحديد مجموعة من الضوابط التشغيلية العالمية ، يحدد نظام إدارة المعلومات (PIMS) أيضاً إطاراً عالمياً للامتثال للتدقيق مقابل ، وربما المصادقة ، على المتطلبات التنظيمية المتعددة.
من المهم أن ندرك أن شهادة اللائحة العامة لحماية البيانات الرسمية تتطلب اتخاذ قرارات الموافقة المعلقة من قبل المنظمين الأوروبيين. في حين أن التوافق بين PIMS و GDPR واضح ، يجب اعتبار شهادة PIMS كدليل على الامتثال للائحة العامة لحماية البيانات ، وليس كشهادة رسمية لـ GDPR حتى يتم الانتهاء من القرارات التنظيمية.
إن الوعود بالامتثال دون دليل محفوفة بالمخاطر
تشارك المؤسسات الحديثة في عمليات نقل البيانات المعقدة مع شبكة عميقة من شركاء الأعمال بما في ذلك المنظمات الشريكة أو وحدات التحكم المشتركة والمعالجات مثل موفري السحابة والمعالجات الفرعية مثل البائعين الذين يدعمون نفس المعالجات. قد يؤدي عدم الامتثال للوائح في أي جزء من هذه الشبكة إلى مشكلات امتثال متتالية عبر سلسلة التوريد. هذا هو المكان الذي يمكن أن يكون فيه التحقق من الامتثال ذا قيمة تتجاوز الضمان الذي توفره الشروط التعاقدية بين هذه المنظمات. نظراً لأن الاقتصاد العالمي يفرض أن معظم هذه المنظمات منتشرة في جميع أنحاء العالم ، فمن العملي استخدام معيار دولي من ISO لإدارة الامتثال عبر الشبكة.
هذا الاعتماد على الامتثال يزيد من أهمية الشهادة للمعيار. في حين لا تحتاج جميع الشركات والمؤسسات إلى الحصول على مثل هذه الشهادة ، إلا أن معظمها سيستفيد من الشركاء والبائعين الذين يفعلون ذلك ، خاصةً عند مشاركة أحجام معالجة البيانات الحساسة أو الكبيرة.
