Bảo vệ dữ liệu: những điều cần làm để hợp lý hóa sự tuân thủ

09:42 AM 05/08/2019 In bài viết

Quy định bảo vệ dữ liệu chung có hiệu lực từ hơn một năm trước. Trong 12 tháng đầu tiên, Ủy ban liên minh Châu Âu đã chứng minh việc thực hiện mạnh mẽ với số tiền phạt tổng cộng lên tới hơn 56 triệu euro đánh vào 91 công ty, bao gồm 50 triệu euro tiền phạt đối với một tổ chức. Đây là một số tiền không hề nhỏ.

Tuy nhiên, rất nhiều doanh nghiệp vẫn còn gặp nhiều rắc rối trong việc tuân thủ Quy định bảo vệ dữ liệu chung. Trong bài viết này, các chuyên gia sẽ làm rõ những điểm cốt lõi của Quy định bảo vệ dữ liệu chung, cách thức mà nó được thi hành và những gì bạn có thể làm với tư cách là quản trị viên hệ thống để tối ưu hóa sự tuân thủ.

Đầu tiên là quyền riêng tư

GDPR cho biết chủ thể của dữ liệu sẽ quyết định công ty dữ liệu cá nhân nào có thể lưu trữ chúng. Và trước khi đưa ra quyết định như vậy, chủ thể nên biết lý do tại sao công ty cần những dữ liệu như vậy, họ sẽ làm gì với nó và nên chắc chắn rằng nó sẽ được lưu trữ đúng cách. Trong số những vấn đề khác, "lưu trữ" dữ liệu cá nhân "đúng cách" có nghĩa là bạn sẽ đảm bảo chỉ những người cần xem nó mới có thể nhìn thấy nó và họ sẽ chỉ có thể nhìn thấy nó khi họ cần.

Nhiều người cảm thấy GDPR chỉ đơn giản là mã hóa những gì nhiều người cho là thực tiễn tốt nhất trong ngành, và nhiều quy định thực sự rơi vào lãnh thổ của quản trị hệ thống và cơ sở dữ liệu. Có năm cách khác nhau mà quản trị viên có thể giúp đảm bảo các công ty của họ đã tuân thủ đúng Quy định bảo vệ dữ liệu chung.

Truy cập phù hợp

Đảm bảo việc quản trị dữ liệu và tuân thủ quy định trong những bước tiếp theo với tính sẵn sàng cao

Bạn cần đảm bảo rằng chỉ những người cần quyền truy cập vào một tập dữ liệu nhất định mới được cấp quyền truy cập vào dữ liệu đó. Ví dụ, một bác sĩ nên có quyền truy cập vào hồ sơ y tế của bệnh nhân của họ, nhưng điều đó không có nghĩa là tất cả các bác sĩ nên có quyền truy cập vào tất cả các hồ sơ y tế của bệnh nhân. Điều đương nhiên là bất cứ ai không có lý do về chuyên môn muốn có quyền truy cập vào hồ sơ y tế của bệnh nhân thì không nên có quyền truy cập đó.

Quản trị viên hệ thống và cơ sở dữ liệu có thể giúp các công ty của họ tuân thủ quy định hơn bằng cách xem xét ai có quyền truy cập vào các loại dữ liệu khác nhau, và đảm bảo chỉ những người cần truy cập mới được cấp quyền truy cập.

Bảo trì tài khoản

Khi bạn đảm bảo rằng chỉ những người thích hợp mới có quyền truy cập, hãy đảm bảo bạn có quy trình hủy kích hoạt tài khoản khi không còn cần thiết. Quản lý nhân sự và những người giao dịch với các nhà thầu nên có một quy trình thông báo thích hợp cho nhóm khi quyền truy cập cá nhân hoặc quyền truy cập nhóm cần được thu hồi. Ngoài ra, doanh nghiệp cũng cần có một số loại đánh giá định kỳ để đảm bảo rằng không có quyền truy cập nào bị bỏ sót.

Phân tách quyền hạn

Quản trị viên hệ thống hoặc cơ sở dữ liệu càng có nhiều quyền lực thì hậu quả có thể xảy ra càng lớn nếu họ làm không đúng quy trình. Đây là lý do tại sao doanh nghiệp nên sử dụng quản trị dựa trên vai trò để phân tách các quyền hạn khác nhau. Ví dụ: một quản trị viên có thể định cấu hình các bản sao lưu mới và chạy chúng, nhưng không có khả năng xóa các cấu hình sao lưu cũ hoặc các bản sao lưu cũ. Có lẽ khả năng phục hồi chỉ nên giới hạn ở một vài vị trí. Bạn càng có thể phân tách quyền hạn, dữ liệu của bạn sẽ càng an toàn và dữ liệu cá nhân sẽ càng an toàn.

Mã hóa được các chuyên gia đặc biệt khuyến nghị

Ngoài việc có một hệ thống phát hiện và ngăn chặn xâm nhập vững chắc, bạn nên xem xét việc sử dụng mã hóa cho dữ liệu khi không được sử dụng trong trường hợp hệ thống bị xâm nhập. Nếu một tác nhân xấu từng có quyền truy cập vào dữ liệu mà họ không được phép truy cập, mã hóa sẽ khiến dữ liệu không được phát hành. Các chuyên gia khuyến nghị mã hóa nên được xem xét cho tất cả các dữ liệu cá nhân.

Sao lưu không còn là tùy chọn

Sao lưu không nên được coi là tùy chọn ở bất cứ đâu trong trung tâm dữ liệu. Nhưng khi nói đến dữ liệu cá nhân và Quy định bảo vệ dữ liệu chung, một phần của quy định nói rằng dữ liệu đó nên được bảo vệ khỏi bị xóa. Cách duy nhất để thực hiện điều này một cách chắc chắn là đảm bảo bạn có một hệ thống sao lưu và phục hồi tốt.

Quyền truy cập và xóa thông tin

Một trong những khía cạnh gây tranh cãi nhất của Quy định bảo vệ dữ liệu chung là quyền riêng lẻ để yêu cầu xóa thông tin cá nhân của một cá nhân, nếu một công ty không có lý do kinh doanh hợp lệ để nắm giữ những thông tin đó. Tuy nhiên, hiện chưa có bất kỳ công ty nào bị phạt do không thể thực hiện theo đúng yêu cầu như vậy. Khi điều đó xảy ra và khi xem xét các khoản phạt của ủy ban từ trước đến nay trong các lĩnh vực khác, các chuyên gia nhận thấy mức độ nghiêm trọng của khoản phạt sẽ phụ thuộc vào cách công ty cố gắng tuân thủ các yêu cầu. Có phải công ty đã hoàn toàn bỏ qua ý tưởng về quyền bị lãng quên, hoặc đơn giản là công ty không thể tuân thủ do những hạn chế về công nghệ đang được sử dụng? Các chuyên gia vẫn không biết ủy ban sẽ xử lý tình huống như thế nào và chỉ có thời gian mới có thể trả lời câu hỏi điều gì sẽ xảy ra trong kịch bản này.

Chủ thể dữ liệu có thể yêu cầu xem tất cả dữ liệu cá nhân của mình và có thể thu hồi quyền lưu trữ dữ liệu đó bất cứ lúc nào. Chính vì vậy, doanh nghiệp nên có một hệ thống để xác định tất cả các nơi lưu trữ để có thể lưu trữ dữ liệu cá nhân và tuân thủ một trong hai yêu cầu này. Quản trị viên hệ thống có liên quan cũng nên theo dõi cách Quy định bảo vệ dữ liệu chung quyết định những người thuê này áp dụng (hoặc không) cho các bản sao thứ cấp như ảnh chụp nhanh và bản sao lưu.

Một khởi đầu phù hợp

Bài viết này cung cấp một cái nhìn tổng quan kỹ lưỡng hơn về một khung pháp lý phức tạp của Quy định bảo vệ dữ liệu chung. Các chuyên gia cho rằng, các khu vực cốt lõi được bảo hiểm là điểm khởi đầu rất phù hợp. Hãy chắc chắn rằng bạn có một bản sao lưu tốt và chỉ những người cần truy cập mới có quyền truy cập. Hãy bắt đầu ở đó, và bạn đã đi đúng hướng. Để có cách xử lý rộng hơn về Quy định bảo vệ dữ liệu chung, hãy tải xuống bản Hướng dẫn tuân thủ GDPR cho doanh nghiệp (The GDPR Compliance Guide for Business).

Kết thúc một kỷ nguyên

Để tuân thủ lâu dài với Quy định bảo vệ dữ liệu chung, điều cần thiết là đảm bảo doanh nghiệp có thể theo dõi dữ liệu khi dữ liệu được lan truyền, để dữ liệu có thể được bảo vệ và có thể lưu trữ hồ sơ đầy đủ về nơi lưu trữ dữ liệu của khách hàng. Các dịch vụ dựa trên đám mây có thể giúp một tổ chức xây dựng các bản ghi này và tự động cập nhật chúng, trong khi các nền tảng nội bộ thì không thể thực hiện chức năng này.

Trong những năm tới, các doanh nghiệp phải coi trọng những nền tảng cốt lõi của GDPR hơn bao giờ hết, với việc quản trị dữ liệu an toàn, mạnh mẽ, là nền tảng của hầu hết mọi khía cạnh của kinh doanh. Quản trị dữ liệu tuân thủ trực tiếp với Quy định bảo vệ dữ liệu chung không còn là lĩnh vực mà các công ty có thể tiến tới gần, hay hướng tới. Thời đại khi các vi phạm được hưởng sự khoan hồng sẽ sớm chấm dứt.

Ngọc Huyền