في العصر الرقمي الحالي، حيث تشكل البيانات حجر الزاوية في الأعمال، لم يكن ضمان أمن وخصوصية البيانات الحساسة أكثر أهمية من أي وقت مضى. ومع المخاوف المتزايدة المحيطة بانتهاكات البيانات والمتطلبات التنظيمية وتوقعات المستهلكين لحماية الخصوصية، يجب على المنظمات اتخاذ خطوات استباقية لحماية البيانات الشخصية التي تجمعها وتعالجها وتخزنها. إحدى هذه الخطوات هي تحقيق الامتثال لمعيار ISO 27701. صمم هذا المعيار لمساعدة المنظمات على إنشاء وتنفيذ وصيانة وتحسين نظام إدارة معلومات الخصوصية (PIMS). النسخة الحالية من ISO 27701 صدرت في عام 2019 وهي متوافق مع ISO 27001:2013 ، لكن مع إصدار 2022-27001 فإن إصداراً جديداً من ISO 27701 قيد التطوير.
المعلومات – نفط العصر الرقمي
تعتبر المعلومات أصولاً قيمة للمؤسسات، فهي مثلاً تسمح لها تقديم منتجات وخدمات مخصصة للغاية لعملائها من خلال إعلانات السوق الناجحة التي تستهدفهم بشكل محدد. لكن بيانات العملاء تلك يمكن أن تكون في بعض الأحيان عرضة لمجرمي الانترنت ومصادر التهديد الأخرى. تستهدف تلك الجهات المؤسسات لسرقة معلومات التعريف الشخصية PII. .إذا نجحوا بمخططاتهم، يستغل مجرمو الانترنت ومصادر التهديد الأخرى بيانات أولئك العملاء لسرقة الهوية والاحتيال المالي. ومع أن المعلومات تصبح هدفاً رئيساً لسوء الاستخدام من قبل العديد من الكيانات ولكنها تبقى مهمة لأنها تتيح تخصيص الخدمات والمنتجات بدرجة كبيرة لتلبية احتياجات تناسب تجربة كل عميل. وبالتالي، من الصعب الوصول إلى التوازن بين المنتجات أو الخدمات الجيدة والخصوصية.
المعلومات الشخصية القابلة للتحديد PII
الخصوصية لا تعني السرية. المسألة الخاصة هي شيء لا يريد شخص ما مشاركته مع العالم أجمع. على العكس من ذلك، فإن المسألة السرية هي شيء لا يريد شخص ما أن يعرفه أي شخص آخر. الخصوصية هي بالأحرى القدرة وأيضاً القوة على الكشف عن الذات للعالم بالاختيار والإرادة. و انطلاقاً من هذا التعريف، فإن استخدام التشفير القوي، وإخفاء الهوية، وإخفاء هوية البيانات، وغير ذلك من التدابير التقنية والتنظيمية، يحمي خصوصية الأفراد.
تمثل المعلومات الشخصية القابلة للتحديد (PII) مفهوماً جوهرياً في موضوع خصوصية البيانات. إنها أي معلومات يمكن استخدامها لتحديد هوية الشخص الذي تتعلق به هذه المعلومات. أو ترتبط به بشكل مباشر أو غير مباشر أو قد ترتبط به. وتتولى الجهة المتحكمة بالـ PII مهمة تحديد الغرض والوسيلة لمعالجة بخلاف الأشخاص الطبيعيين الذين يستخدمون البيانات لأغراض شخصية. كما تحدد وحدة تلك الجهة “السبب” و”الكيفية” التي سيتم بها معالجة PII. بالإضافة إلى ذلك، تقع على عاتقها مسؤولية تنفيذ ضوابط الخصوصية والأمان بناءً على السلطات القضائية ذات الصلة.
أما الجهة المعالجة، فهي جهة معنية بالخصوصية تعالج معلومات التعريف الشخصية نيابة عن الجهة المتحكمة و وفقاً لتعليماتها. يخضع معالج معلومات التعريف الشخصية عادةً لالتزامات قانونية أقل مقارنة بجهة التحكم لأن مسؤولية المعالجة تظل تقع على عاتق المتحكم في معلومات التعريف الشخصية
حماية خصوصية البيانات – GDPR و ISO/IEC 27701
هناك العديد من الأسباب التي أدت إلى تطوير وتنفيذ اللائحة العامة لحماية البيانات (GDPR) و غيرها من قوانين الخصوصية. لكن الـ GDPR معنية بحماية البيانات والخصوصية لجميع الأفراد المقيمين في الاتحاد الأوروبي. وبالتالي، فقد سعت البلدان خارج ذلك الاتحاد لإنشاء قوانين حماية البيانات الخاصة بها. استجابت المنظمة الدولية للمعايير (ISO) بالتعاون مع الـ (IEC) لهذه الحاجة في السوق. وأعدت معايير توفر إرشادات الخصوصية. لكنها إرشادات ومعايير تنطبق على أي منظمة بغض النظر عن حجمها أو نوعها أو البلد الذي تعمل فيه. وأحدث إطار معتمد يتم تطويره في هذا الشأن هو ISO/IEC 27701.
يمثل الإطار ISO/IEC 27701:2019 امتداداً لمعيار ISO/IEC 27001، المعني بأنظمة إدارة أمن المعلومات (ISMS). يتناول معيار ISO 27001 حماية أصول المعلومات. لكن معيار ISO 27701 يركز على وجه التحديد على إدارة الخصوصية في سياق إطار إدارة أمن المعلومات الشامل لمنظمات الأعمال. من خلال دمج ISO 27701 في عملياتها، يمكن للمؤسسات تعزيز قدرتها على إدارة مخاطر الخصوصية. وكذلك الامتثال للوائح حماية البيانات ذات الصلة، وبناء الثقة مع أصحاب المصلحة. وعادةً ما يكون معالج معلومات التعريف الشخصية طرفاً ثالثاً خارج الشركة. على سبيل المثال، يُعتبر مزودو الحوسبة السحابية معالجين لمعلومات التعريف الشخصية. وكذلك الشركات الخارجية التي تحصل على حق الوصول إلى أنظمة تكنولوجيا المعلومات لأغراض الصيانة.
خصوصية البيانات -أهمية المعيار ISO 27701
- إدارة الخصوصية الشاملة: يوفر ISO 27701 نهجاً لإدارة مخاطر الخصوصية. يمتد هذا الإطار ليغطي دورة حياة البيانات، من الجمع والمعالجة إلى التخزين والتخلص منها. عبر تنفيذ الضوابط والتدابير الموضحة في ISO 27701، يمكن للمؤسسات إنشاء عمليات قوية لضمان سرية وسلامة وتوافر البيانات الشخصية.
- التوافق مع لوائح حماية البيانات: تم تصميم ISO 27701 لمساعدة المؤسسات على الامتثال للوائح حماية البيانات المختلفة. يشمل ذلك، ولا يقتصر على اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). من خلال تنفيذ ضوابط ISO 27701، يمكن للمؤسسات الامتثال للمتطلبات القانونية والتخفيف من تبعات العقوبات والجزاءات الناتجة عن عدم الامتثال.
- تعزيز ثقة العملاء: إن تحقيق الامتثال لمعيار ISO 27701 هام. إنه يطمئن العملاء والشركاء وأصحاب المصلحة الآخرين أن المؤسسة تأخذ خصوصية البيانات على محمل الجد. وأنها تنفذ تدابير صارمة لحماية معلوماتهم الشخصية. ويمكن أن يعزز ذلك الثقة والسمعة مما يزيد القدرة التنافسية في السوق.
- الوعي بالمخاطر: يتبنى معيار ISO 27701 نهجاً قائماً على المخاطر لإدارة الخصوصية. يمكن عبره للمؤسسات أن تحدد وتقيم أولويات مخاطر الخصوصية بناءاً على احتمالية حدوثها وتأثيرها المحتمل. من خلال إجراء تقييمات تأثير الخصوصية، وتنفيذ الضوابط المناسبة، يمكن للمؤسسات التخفيف بشكل فعال من مخاطر الخصوصية ومنع خروقات البيانات أو الحوادث.
- التحسين المستمر : يؤكد معيار ISO 27701 على أهمية التحسين المستمر والقدرة على التكيف عبر تشجيع المؤسسات على مراجعة وتحديث سياسات الخصوصية وإجراءاتها وضوابطها بانتظام استجابة للتغيرات في المشهد التنظيمي والتقدم التكنولوجي وتهديدات الخصوصية الناشئة.
كلمة أخيرة
يوفر الامتثال لمعيار ISO 27701 للمؤسسات إطاراً لإدارة مخاطر الخصوصية، والامتثال للوائح حماية البيانات، وتعزيز ثقة أصحاب المصلحة. من خلال دمج معيار ISO 27701 في أنظمة إدارة أمن المعلومات الخاصة بها، يمكن للمؤسسات تأمين مستقبل عملياتها التجارية وإظهار التزامها بحماية خصوصية وسرية البيانات الشخصية. في عالم اليوم الذي تحركه البيانات، لا يعد الامتثال لمعيار ISO 27701 ضرورة فحسب؛ بل إنه ضرورة استراتيجية للمؤسسات التي تتطلع إلى الازدهار في بيئة تهتم بالخصوصية بشكل متزايد.
