การเปิดตัว GDPR ในปี 2018 บังคับให้องค์กรต่างๆ พิจารณานโยบายการลบข้อมูลของตนอย่างละเอียดถี่ถ้วน GDPR เป็นมากกว่า 'สิทธิ์ที่จะถูกลืม'; นอกจากนี้ยังใช้กับการป้องกันการรั่วไหลของข้อมูลโดยองค์กรทั้งหมดที่ทำธุรกิจภายในสหภาพยุโรปหรือจากภายนอกกับบริษัทในสหภาพยุโรป อย่างไรก็ตาม ดูเหมือนว่าจะยังมีความสับสนอยู่มากเกี่ยวกับการแก้ไขโปรโตคอลการลบข้อมูล ซึ่งทำให้องค์กรต่างๆ เปิดกว้างต่อการละเมิดข้อมูล ในบล็อกนี้ เราจะสำรวจว่าคุณแน่ใจได้อย่างไรว่าธุรกิจของคุณยังคงปฏิบัติตามข้อกำหนดเมื่อลบข้อมูลจากสภาพแวดล้อมที่ทำงานอยู่
ข้อ 32
ใน มาตรา 32 ของ GDPR ระบุว่าบริษัทต่างๆ จะต้อง "แนะนำขั้นตอนในการรักษาการทบทวนและประเมินผลอย่างสม่ำเสมอเกี่ยวกับประสิทธิภาพของมาตรการทางเทคนิคและองค์กร เพื่อความปลอดภัยของการประมวลผลข้อมูลส่วนบุคคลภายในบริษัท" การตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามขั้นตอนที่ถูกต้องไม่เพียงแต่ใช้ได้กับการประมวลผลข้อมูลเท่านั้น แต่ยังรวมถึงกระบวนการคัดเลือกและจัดซื้อโซลูชันไอที (ทั้งซอฟต์แวร์และฮาร์ดแวร์) ที่ใช้งานอยู่ด้วย
GDPR:ควรทำอย่างไร
ตัวแทนไอทีทุกบริษัทควรใช้มาตรการที่จำเป็นทั้งหมดเพื่อให้แน่ใจว่าไม่มีข้อมูลส่วนบุคคลรั่วไหลออกนอกบริษัท บางขั้นตอนที่ควรดำเนินการตาม GDPR ได้แก่:
- การใช้นามแฝงและการเข้ารหัสข้อมูลส่วนบุคคล
- ความสามารถในการรับรองความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการที่เกี่ยวข้องกับการประมวลผลอย่างถาวร
- ความสามารถในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลอย่างรวดเร็วในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค
- กระบวนการสำหรับการตรวจสอบและประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรเป็นระยะๆ เพื่อความปลอดภัยในการประมวลผล
ประเด็นสำคัญอีกประการหนึ่งของมาตรา 32 คือ:
“โดยเฉพาะอย่างยิ่ง ความเสี่ยงที่เกี่ยวข้องกับการประมวลผล – โดยเฉพาะอย่างยิ่งการทำลาย การสูญเสียหรือการเปลี่ยนแปลง ไม่ว่าการเปิดเผยโดยไม่ได้ตั้งใจหรือผิดกฎหมายหรือไม่ได้รับอนุญาตของหรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บหรืออื่น ๆ – จะต้องนำมาพิจารณาเมื่อประเมินระดับที่เหมาะสมของ การป้องกัน"
กล่าวโดยย่อ มาตรา 32 เรียกร้องให้องค์กรคำนึงถึงความเสี่ยงทั้งหมดเมื่อใช้เทคโนโลยีใดๆ ที่เก็บข้อมูลส่วนตัว ก่อนที่องค์กรใดๆ จะใช้สื่อเพื่อเก็บข้อมูลที่ละเอียดอ่อน พนักงานที่รับผิดชอบต้องกรอกการประเมินผลกระทบต่อการปกป้องข้อมูล เพื่อตรวจสอบความเสี่ยงใด ๆ ต่อสิทธิ (ข้อมูล) ของบุคคล
ข้อมูลรั่วไหลใด ๆ ที่เกิดขึ้นในบริษัทจะต้องรายงานภายใน 72 ชั่วโมงของการรั่วไหลที่เกิดขึ้น . ถ้าไม่เช่นนั้น ค่าปรับจะรุนแรง และเช่นเดียวกับการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต:ปรับไม่เกิน 20 ล้านยูโรหรือ 4% ของมูลค่าการซื้อขายประจำปีทั่วโลก (แล้วแต่จำนวนใดจะสูงกว่า)
การลบอย่างปลอดภัยยังคงเป็นปัญหา
สองปีนับตั้งแต่มีการดำเนินการ บางธุรกิจยังคงมองข้ามหรือลืมที่จะลบไฟล์ที่มีอยู่ออกจากคอมพิวเตอร์เดสก์ท็อป แล็ปท็อป ไดรฟ์ภายนอก และบริการต่างๆ ซึ่งมักเกิดจากความเข้าใจผิดเกี่ยวกับวิธีการลบข้อมูลที่ถูกต้อง และการไม่สามารถเข้าถึงเครื่องมือที่มีประสิทธิภาพที่ช่วยให้พวกเขาสามารถลบข้อมูลในสภาพแวดล้อมไอทีที่ใช้งานอยู่ได้ ข้อมูลที่ละเอียดอ่อนขององค์กรหลายแห่งจึงถูกปล่อยให้อยู่ในสถานะประนีประนอมและเสี่ยงต่อการถูกละเมิด
สำหรับหลายๆ องค์กร การลบข้อมูลยังไม่อยู่ในลำดับความสำคัญด้านความปลอดภัยสูงสุดของแผนกไอที ไม่น่าแปลกใจเลยที่การโจมตีทางไซเบอร์ได้กลายเป็นความจริงที่โชคร้ายในโลกที่เชื่อมต่อทางดิจิทัลในปัจจุบัน อย่างไรก็ตาม ตามที่กล่าวไว้ข้างต้น GDPR กำหนดให้เป็นข้อกำหนดทางกฎหมายสำหรับองค์กรเพื่อให้แน่ใจว่ามีแนวทางปฏิบัติในการทำลายข้อมูลที่ถูกต้องและปลอดภัย
อย่างไรก็ตาม แผนกไอทีจำนวนมากยังขาดความรู้และการศึกษาเกี่ยวกับความแตกต่างระหว่าง 'การลบ' และ 'การลบ' ในการศึกษาที่ดำเนินการโดย Blancco - 'Delete vs Erase':วิธีล้างไฟล์ใน Active Environments พบว่ากว่าครึ่ง (51%) ของผู้ตอบแบบสอบถาม 400 คนคิดว่าจะล้างถังขยะรีไซเคิลก็เพียงพอที่จะลบข้อมูลออกจากคอมพิวเตอร์เดสก์ท็อป/ แล็ปท็อปอย่างถาวร ที่น่ากังวลไม่แพ้กันคือ อีก 51% ที่พิจารณาว่าทำการฟอร์แมตอย่างรวดเร็วหรือฟอร์แมตทั้งไดรฟ์ของคอมพิวเตอร์ก็เพียงพอแล้วที่จะทำลายข้อมูลของตนให้ดี
หากปราศจากความเชี่ยวชาญและความรู้ที่ถูกต้องเกี่ยวกับการลบข้อมูล องค์กรต่างๆ จะนำข้อมูลที่ละเอียดอ่อนของตนไปเสี่ยงต่อการรั่วไหลของข้อมูล
เพื่อช่วยเสริมสร้างสุขอนามัยข้อมูลขององค์กรและ ปรับปรุงการจัดการข้อมูลโดยรวมและแนวทางปฏิบัติในการลบข้อมูล เราได้รวบรวมเคล็ดลับด้านล่างเพื่อช่วยคุณในการล้างข้อมูลออกจากสภาพแวดล้อมที่ใช้งาน
1. ทำการลบอย่างปลอดภัยโดยอัตโนมัติ
ผู้ใช้แต่ละคนควรดำเนินการนี้ในถังรีไซเคิลเมื่อออกจากระบบ การทำให้กระบวนการนี้เป็นแบบอัตโนมัติ องค์กรของคุณกำลังดำเนินการตามขั้นตอนการตรวจสอบสถานะที่จำเป็นเพื่อยืนยันการลบข้อมูลและไฟล์อย่างถาวรและปลอดภัย การทำเช่นนี้จะช่วยลดความไม่แน่นอนหรือความเสี่ยงใดๆ เกี่ยวกับการลบข้อมูลอย่างปลอดภัยจากแล็ปท็อปหรือเดสก์ท็อปของผู้ใช้
2. กำหนดเวลาการดำเนินการ "ทำลายพื้นที่ว่างในดิสก์"
แล็ปท็อปและคอมพิวเตอร์เดสก์ท็อปแต่ละเครื่องที่องค์กรของคุณเป็นเจ้าของและใช้ควรมีขั้นตอนนี้เมื่อมีกำหนดเวลาหน้าต่างบริการหรือโปรแกรมแก้ไข ด้วยการดำเนินการนี้ คุณจะกำหนดเป้าหมายข้อมูลแอปพลิเคชันที่ค้างอยู่อย่างต่อเนื่อง (รวมถึงข้อมูลอื่นๆ) ที่ผู้ใช้ระบบลบไปอย่างไม่เหมาะสมหรือไม่สมบูรณ์
3. ลบไฟล์ชั่วคราวโดยอัตโนมัติ
การทำให้กระบวนการลบอัตโนมัติเป็นไปโดยอัตโนมัติจะช่วยให้มั่นใจได้ถึงการทำงานอย่างสม่ำเสมอ ซึ่งรับประกันความปลอดภัยสูงสุด ด้วยวิธีนี้ คุณสามารถกำหนดเป้าหมายข้อมูลผู้ใช้ที่อาจสร้างขึ้นและยังคงอยู่ในระบบ เช่น แคชของเบราว์เซอร์ ซึ่งข้อมูลที่ละเอียดอ่อนอาจถูกจัดเก็บไว้
4. ลบไฟล์ผู้ใช้ที่สร้างและบันทึกไว้ในเครื่อง
การลบไฟล์ผู้ใช้ที่ผลิตในเครื่องอย่างสม่ำเสมอและสนับสนุนให้พนักงานของคุณเก็บข้อมูลของตนไว้ในที่เก็บส่วนกลางสามารถป้องกันการละเมิดข้อมูลที่อาจเกิดขึ้นได้ นี่เป็นการต่อสู้ด้านการจัดการข้อมูลอย่างต่อเนื่องซึ่งทำให้ทีมไอทีต้องเดือดร้อนภายในหลายองค์กร
5. อนุญาตให้ "ผู้ใช้ระดับสูง" ทำการลบข้อมูลที่ใช้งานอยู่
สินทรัพย์ที่กำกับดูแลบ่อยครั้งสำหรับนโยบายไอทีของคุณคือการเลือกและการกำหนดกลุ่มของ "ผู้ใช้ระดับสูง" ภายในองค์กรที่ได้รับอนุญาตให้ดำเนินการลบไฟล์จากระบบ พวกเขาสามารถเป็นเครื่องมือในการรักษาความปลอดภัยของบริษัทของคุณ โดยเฉพาะอย่างยิ่งถ้าบุคคลจัดเก็บข้อมูลที่ละเอียดอ่อนในตำแหน่งที่ไม่ถูกต้อง "ผู้ใช้ระดับสูง" ควรกำหนดเป้าหมายข้อมูลที่จัดเก็บไว้ไม่ถูกต้องและลบออกอย่างถาวรทันที
6. รับใบรับรองที่ยืนยันการลบไฟล์เพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนด
การรับรองว่าคุณมีใบรับรองและหลักฐานการตรวจสอบที่พิสูจน์ว่าการลบข้อมูลอย่างปลอดภัยและถาวรจะหมายความว่าองค์กรของคุณสามารถแสดงให้เห็นว่าเป็นไปตามนโยบายการเก็บรักษาข้อมูลและข้อกำหนดด้านกฎระเบียบ Erasure Verification Services ช่วยให้องค์กรของคุณตรวจสอบกลยุทธ์การลบข้อมูลได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการลบข้อมูลอย่างปลอดภัยจากสภาพแวดล้อมของบริษัท โปรดติดต่อผู้เชี่ยวชาญด้านการทำลายข้อมูลของเรา
ลิขสิทธิ์ภาพ:MichaelGaida / pixabay.com
https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/
ใบอนุญาต CC0
