Reméljük, hogy mérettől függetlenül minden vállalatnak van már adatkezelési szabályzata, ha másért nem, az igen szigorú GDPR-nak való megfelelés miatt. Ez az adatkezelési szabályzat tartalmazza azokat a tennivalókat is, melyeket az adat életciklusának végén szokás életbe léptetni (ha esetleg mégsem, akkor most érdemes pótolni ezt a hiányosságot.)
Szánjunk egy kis időt adatmegsemmisítési gyakorlataink felülvizsgálatára, hiszen hamar kiderülhet, hogy már nem az aktuális folyamatokra, technológiákra bízzuk adataink megfelelő kezelését. Cikkünkben összeszedtünk pár érvet, hogy miért érdemes átvizsgálnunk adatkezelési szabályzatunkat, második cikkünkben pedig arról is írunk, mit érdemes átvizsgálni.
Technológiai változások
Adatgyűjtési szokásaink, adatfelhasználásunk folyamatosan változik: ha nem a vállalati folyamatok lesznek mások, akkor cserélődnek az adatgyűjtéshez használt hardver és szoftver. A változás szükségszerű, hiszen, ha régi módszereket használunk új eszközökhöz, akkor elhúzódó, időigényes, sérülékeny működés alakul ki.
Szabályozói akarat
Az Európai Unió adatvédelmi szabályzata (GDPR) 2018 májusától kezdte el büntetni azokat a vállalatokat, akik nem megfelelően védték az európai magánszemélyek személyes adatait. A GDPR számos európai adatokkal dolgozó vállalat életét átalakította, de ugyanakkor előkészítette az utat a rendelkezések világszerte történő elfogadásához. Noha az Amerikai Egyesült Államokban még nem fogadták el szövetségi szinten a GDPR-t, Kalifornia államban életbe lépett egy GDPR-ihlette adatvédelmi rendelkezés. a CCPA. Mindez azt mutatja, hogy a hatóságok világszerte azon vannak, hogy az adatok kezelését jogi korlátok közé szorítsák.
Az adat értéke változik
Az adatnak is van szavatossági ideje, egy idő után az elavult, régi, redundáns adat semmit sem ér, csak foglalja a helyet az adathordozón. Érdemes átgondolni, hogy a valaha komoly üzleti értékkel bíró adataink nem képviselnek értéket másoknak? Ha adatgyűjtési szabályzatunk megengedi (és ezt az adatok gazdáival is szabályszerűen tudattuk), akkor ezeket az adatokat másoknak eladhatjuk, miután számunkra már nem képvisel semmilyen értéket. Ha nem ezzel a céllal gyűjtöttük őket, érdemes az elavult, régi, lejárt szavatosságú adatokat úgy kezelni, ahogy megérdemlik: dokumentáltan, szakemberek segítségével töröljük őket. Azért is érdemes a régi adatoktól megszabadulni, mert a hackerek számára ezek is értéket képviselnek. Az IBM és Ponemon Intézet közös kutatása szerint az adatszivárgásokban elveszített adatok átlagos értéke 150 dollár (45 ezer forint) volt rekordonként.
Az adatgyűjtés sebessége és volumene növekszik
Az adatmenedzsment fontossága azután növekedett meg, hogy az adat egyre gyorsabban és egyre nagyobb mennyiségben növekszik. A vállalat szolgáltatásának bővülésével keletkezhet egyre több adat, ahogy az IoT eszközök szenzorjai is csak úgy ontják magukból az információkat, de egyre több a viselhető eszköz is, melyek az emberek egészségügyi jellemzőit rögzíti. Minél több adatunk van, melyet menedzselni és védeni kell, annál nagyobb a kockázata egy biztonsági incidensnek és annál nagyobb kár keletkezik egy esetleges adatszivárgás esetén. És arról nem is beszélve, hogy annál több információt kell valahol tárolnunk, ami azt jelenti, hogy újabb és újabb drága adattároló rendszereket kell beszereznünk. Az adatkezelési szabályzatunk szabhat gátat ennek, mely előírhatja, hogy pontosan meddig milyen adatokat, hogyan tároljunk, illetve életciklusuk végén hogyan semmisítsük meg azokat.
A hackerek egyre kíváncsibbak
A Risk Based Security adatai szerint 2019 első kilenc hónapjában 5183 adatszivárgásos incidenst regisztráltak, ami 7,9 milliárd adatrekordot jelent. Az előző év hasonló időszakához viszonyítva az adatincidensek száma 33,8 százalékkal bővült, míg a napvilágra került adatok mennyisége 112 százalékkal nőtt. A legelterjedtebb adatszerzési metódus a hackelés volt, a legtöbb adat webes forrásokból szivárgott ki. Iparág szerint az orvosi intézmények, kereskedők és közintézmények a legérintetettebbek.
Pongyola fogalmazás
Az jó, ha létezik vállalati adatszabályzat, de nem sokat érünk vele, ha széles körűen fogalmazunk, nem zárunk le minden kiskaput és nem jelöltjük ki pontosan a felelősöket. Főleg az adatmegsemmisítés témaköre az, melyet ezek a szabályzatok nem megfelelően tárgyalnak – holott a teljes adat életciklust le kellene fedni. Végső soron ki az adat tulajdonosa? Ki a hardver tulajdonosa és hol tároljuk az adathordozók teljes, szakszerű és tanúsított adattörlési jegyzőkönyveit? Ki a felelős, ha egy adatszivárgás következtében a régi adat nyilvánosságra kerül? A kérdésekre a válasz derüljön ki a szabályzatból.