Reikalavimai dėl duomenų privatumo įvairiose šalyse skiriasi. Tačiau, nepriklausomai nuo geografijos, įmonės teisės aktų yra įpareigotos saugoti tokius duomenis, kaip asmeninę informaciją (ang. personally identifiable information – PII), su asmens sveikata susijusią informaciją (angl. private health information – PHI), asmeninius ir įmonės mokestinius duomenis, finansinę informaciją bei telekomunikacijos duomenis.
„Duomenų privatumas – tai ne vien tik jų saugumas, – sako Deividas Švėgžda, „Baltimax“ produktų vadovas. – Informacijos saugumą galima užtikrinti programinėmis ir techninėmis priemonėmis, tačiau duomenų privatumas reikalauja daug daugiau – tinkamo procesų organizavimo bei kontrolės priemonių diegimo.“
Pasak D. Švėgždos, paprastai informacijos saugumo ir jos privatumo problemos sprendžiamos numatant autentifikavimo bei atitinkamas kontrolės priemones. Tai reiškia, kad tik įgalioti asmenys gali turėti prieigą prie įmonės duomenų. Be to, labai svarbu suprasti, kad tokios priemonės, kaip šifravimas užtikrina informacijos saugumą, tačiau negarantuoja jos privatumo. Todėl siekiant tinkamai išspręsti duomenų privatumo problemą būtina nustatyti, kaip ir kur saugomi šifravimo raktai bei kas turi prieigą prie jų.
„Vis daugiau duomenų perkeliama į debesų kompiuteriją, todėl organizacijos, siekdamos užtikrinti informacijos saugumą ir privatumą, nustato savo politikas ir tvarkas“, – sako D. Švėgžda. Norint išsiaiškinti,ar jomis vadovaujamasi konkrečioje organizacijoje, pravartu atsakyti į vienuoliką pagrindinių klausimų.
- Duomenų laikymo vieta: ar Jūsų organizacijos IT administratorius gali nustatyti regionus, kuriuose laikomi duomenys?
- Vietos administratorius: ar IT administratoriai gali būti identifikuoti, ar jiems nustatytos skirtingos prieigos teisės?
- Tiekėjai: ar tiekėjai turi galimybę prieiti prie duomenų blokų ar metaduomenų?
- Asmens privatumas: ar galutiniai vartotojai gali valdyti privatumo nuostatas, metaduomenis ar audito pėdsako matomumą? Ar jie gali išsirinkti iš administratoriaus pateiktų duomenų?
- Duomenų atskyrimas: ar įmonės duomenys mobiliuose prietaisuose atskirti nuo asmeninių?
- Darbuotojai: ar politikoje nustatytas draudimas kopijuoti ir rinkti duomenisbei administratoriaus galimybės matyti audito pėdsakus?
- Padalinių duomenys: ar „Active Directory“ yra grupinės nuostatos, ribojančios duomenų matomumą?
- Duomenų auditas: ar galimas pilnas duomenų auditas dėl jų atitikties PHI ir PII reikalavimams?
- Stebėsena: ar monitoringas yra proaktyvus ir paremtas duomenų klasifikacija?
- Atitiktis: ar yra numatyti darbuotojai, vykdantys atitikties stebėseną bei teikiantys teisines konsultacijas?
- Tyrimai: ar galima pilna prieiga prie duomenų ir audito pėdsako, siekiant nustatyti atitiktį reikalavimams, atlikti tyrimus bei naudoti teismo procesuose?
Jeigu į kelis ir daugiau klausimų atsakymas „Ne“ arba „Nežinau“, laikas stiprinti duomenų privatumo užtikrinimo sistemą.