بالإضافة إلى شعور المدققين بالرضا، وتجنب الغرامات ، يوفر الامتثال للمعايير العالمية لأمن البيانات العديد من الفوائد التجارية. خصوصاً أنه بات من المعلوم أن أغلب الشركات تقوم بجمع البيانات. يشمل ذلك مثلاً سلاسل البيع بالتجزئة وشركات الطيران و المصارف و شركات الائتمان وعمالقة وسائل التواصل الاجتماعي.
اليوم ، هناك مخاوف متزايدة بشأن الامتثال للمعايير المتعلقة بالبيانات. تتركز هذه المخاوف على كيفية جمع البيانات وتحليلها وتأمينها. يحسن الامتثال صورة الشركة ، ويعزز ولاء العملاء ، ويجذب الموظفين ذوي الكفاءات العالية ويحافظ على توافق الشركات مع متطلبات الجهات الناظمة.
ما هو الامتثال لمعايير أمن البيانات؟
بمعنى واسع ، فإن الامتثال للمعايير يتأثر بقانون البلد الذي تعمل فيه الشركة. في الأساس يعتبر تنفيذ السياسات والإجراءات وسير العمل والعمليات مهماً للوفاء بالالتزامات القانونية. البيانات كيان ديناميكي، لذلك فالامتثال يتطلب وقتاً واهتماماً مستمرين.
يمكن أن تختلف لوائح الامتثال للبيانات من بلد إلى آخر أو من قارة إلى أخرى. على سبيل المثال ، يجب أن تكون الشركات العاملة في أوربا ، أو مع مواطنين أوربيين ، على دراية باللائحة العامة لحماية البيانات في الاتحاد الأوروبي و المعروفة اختصاراً GDPR.
وفقاً لما نشره TechTarget فإنه يجب أن تفي عملية معالجة البيانات داخل المؤسسة بمعايير الامتثال. كذلك فإن العمل في شركة متوافقة مع معايير الامتثال ولديها مجموعة قوية من الأخلاقيات يعتبر قيمة مضافة للسير الذاتية للموظفين. يمكننا تلخيص أسباب ذلك فيما يلي:
- يطمئن الامتثال العملاء أن معلوماتهم الشخصية ستظل آمنة ، وبالتالي يساعد ذلك في نجاح المؤسسة عبر بناء الولاء للعلامة التجارية.
- يساعد على تجنب مخالفات عدم الامتثال ويقلل من فرصة الدعاية السلبية، والتي يمكن أن تلحق الضرر بالعمل التجاري و بالموظف ذاته..
- عندما تتضمن مدونة أخلاقيات الشركة الامتثال لمعايير البيانات، فإنها تساعد في جذب موظفين من ذوي الكفاءات والحس الأخلاقي العالي.
- يعزز الامتثال لأمن البيانات على تحسين جودة أي عمل يعتمد على البيانات مما يرفع مستوى جودة مخرجات عمل الموظف.
إدراك أهمية حماية البيانات
تعتبر العلامة التجارية أحد الأصول القيمة لأي منظمة أعمال. يمكن أن تساعد سياسات الامتثال و كذلك ضوابط الخصوصية في تقوية صورة الشركة و حماية علامتها التجارية ويمكن كذلك أن تكون أداة تسويقية مهمة.
على الجانب الآخر ، تعد انتهاكات البيانات مؤذية للمنظمات و تحديداً منصات التواصل الاجتماعي ويمكن أن تؤدي غالباً إلى دعاوى قضائية. في السنوات الأخيرة ، تلطخت علامة Facebook التجارية -Meta حالياً- بسبب مشكلات خصوصية البيانات ، مما جعل بعض المستخدمين يترددون في تجربة الميزات الجديدة للمنصة.
تقدم تحليلات البيانات سمة عمل إيجابية عند التزامها بمعايير الامتثال. تقوم العديد من الشركات باستخراج البيانات. يتم ذلك غالباً عبر تطبيقات الأجهزة المحمولة التي تستخدم لإنشاء ملفات تعريف المستخدمين . وكإغراء سابق أو كترضية لاحقة لعملية استخراج بياناتهم.تقدم تلك الشركات مزايا مخصصة للمستخدمين الذين ضحوا بخصوصيتهم أو سرية بياناتهم.
ومع ذلك ، فإن هذه الممارسة تأتي مع تفويض لاستخدام المعلومات بشكل مسؤول. في العام 2019 قامت ماكدونالدز بشراء Dynamic Yield ، وهي شركة ناشئة تزود تجار التجزئة بتكنولوجيا ” decision logic ” التي تحركها الخوارزميات لمساعدة الشركات على استخراج البيانات. نتيجةً لذلك ، يتم اقتراح المنتجات على الزبائن وفقاً لسجل الشراء الخاص بهم. تساعد هذه التكنولوجيا في زيادة شعبية الأعمال والعلامة التجارية.
تمايز في اللوائح و الهدف واحد
عند إدارة لوائح الامتثال للبيانات ، من المهم إنشاء إطار عمل داخلي لأخلاقيات التعامل مع البيانات. يجب أن تشمل هذه العملية الالتزامات التنظيمية ، مع خلق توازن بين القيمة التجارية و المسؤولية الأخلاقية المتعلقة ببيانات الشركة. يتوقع البعض أنه قد ينتج عن الامتثال لمعايير أمن البيانات أرباح أقل. مع ذلك، فإن وجود إطار أخلاقي متين في المؤسسات يساعدها على تجنب التضحية بالامتثال من أجل الربح. مع ملاحظتنا أنه من حيث المبدأ لا يجب أن يكون هناك تعارض بين الامتثال و بين ربحية المؤسسة.
تختلف لوائح الامتثال باختلاف البلدان والصناعات. يشعر بعض المتخصصين في أمن المعلومات بالقلق من أنه في حالة وضع سياسات للامتثال للمعايير العالمية لإدارة البيانات موضع التطبيق فإنها ستمنح المتسللين خريطة طريق أكثر وضوحاً لاتباعها.
قد تكون هذه المخاوف في مكانها و لكن من المؤكد أن المتسللين سيجدون طريقاً أقصر لبيانات الشركة فيما لو لم تكن تمتثل لأي معايير لحماية البيانات. ا
بجميع الأحوال، تحتاج الشركات دائماً إلى الحرص على حماية البيانات بغض النظر عن الامتثال أو عدمه.
غياب GDPR عربي
اجراءات و تفاصيل عملية الامتثال ليست هي نفسها في جميع المجالات. الاختلافات في الاحتفاظ بالبيانات بموجب HIPAA ، على سبيل المثال ، تجعل نقل السجلات الصحية أكثر صعوبة.
يمكن لمستخدمي وسائل التواصل الاجتماعي في كاليفورنيا الذين يريدون حذف ملفهم الشخصي من النظام الأساسي وجميع النظم التقنية ذات الصلة تنفيذ المهمة على الفور – وليس بعد شهر كما هو معتاد في بعض منصات الوسائط الاجتماعية. كما يمكنهم طلب تقرير حول كيفية مشاركة بياناتهم مع الأنظمة الأساسية الرقمية الأخرى وطلب إيقاف المشاركة في كثير من الحالات.
يعتبر ما سبق استجابة لقانون حماية خصوصية المستهلك CCPA في كاليفورنيا المصمم على غرار اللائحة العامة لحماية البيانات GDPR الذي يحمي مواطني دول الاتحاد الأوروبي أو المقيمين على أرضه.
للأسف فإنه لا يوجد قانون أو لوائح موحدة لحماية بيانات المستهلك أو المستخدم العربي. طبعاً لا يخلو الأمر من بعض القوانين المحلية في دول عربية و التي تحتاج للكثير من التطوير لتجاري هذا التوسع في استخدام البيانات إن كان أفقياً عبر زيادة عدد الخدمات و الصناعات و المنصات المعتمدة على البيانات أو شاقولياً بزيادة عدد المستخدمين العرب لما سبق من خدمات.
إن وعي المستهلك المحيط بالبيانات أيضاً سيدفع الشركات إلى عادة التفكير في مسؤولياتهم تجاه المستخدمين.
الامتثال لمعايير أمن البيانات بين وعي المستهلك و الثقة بالمؤسسات
يعد الافتقار إلى الوعي مصدر قلق حقيقي. تمتلك بعض الكيانات معرفة محدودة بشأن ما يعنيه اتباع الإرشادات – وقد تقرر بعض هذه الشركات المخاطرة بسمعتها لتجنب النفقات الأمنية الإضافية التي يتطلبها الاستعداد و التدريب للتعامل مع أي خرق في البيانات التي تديرها.
قد يؤدي اتباع نهج العميل أولاً من خلال الشفافية و الصراحة عند حدوث خرق إلى الحفاظ على هؤلاء العملاء عبر طمأنتهم أن جهود حقيقية تبذل من أجل حل المشكلة.
تتطلب مشاركة البيانات الشخصية عبر الانترنت الكثير في الثقة وتعني أن هناك من يسمع رسالة المستخدم النهائي التي يوجهها للشركات : “نحن نثق بكم لاستخدام معلوماتنا بشكل أخلاقي وحمايتها من العناصر السيئة.” يجب على الشركات ألا تسيء استخدام الثقة الموضوعة فيها. يجب عليهم وضع مبادئ توجيهية وأخلاقيات تتجاوز أي لوائح حالية أو على الأقل تتسق معها. باختصار ، إن الامتثال لمعايير أمن البيانات ليس مجرد عمل جيد بل هو أيضاً عمل أخلاقي ذو مردود تجاري أيضاً.
