ترحيل الموظف: دليل تمهيدي لخصوصية البيانات والامتثال للموارد البشرية وتكنولوجيا المعلومات

ازدادت مسألة خصوصية البيانات في الأولوية مع تضاعف حجم انتهاكات البيانات – إلى جانب الآثار المترتبة على المنظمات وإدارات الموارد البشرية. بعد كل شيء ، تم الكشف عن عشرات المليارات من السجلات الشخصية في السنوات الأخيرة.

يحفز كل خرق المنظمين على إضافة ضمانات مماثلة للائحة العامة لخصوصية البيانات في الاتحاد الأوروبي (GDPR) ، والتي أصبحت قانونًا في عام 2016. وقد أدى هذا القانون بالفعل إلى فرض غرامات على ما يقرب من 1000 مؤسسة تصل قيمتها إلى أكثر من 1.25 مليار يورو. حصلت أمازون أوروبا على الجائزة الأولى ، مع ضريبة ضخمة قدرها 0.75 مليار يورو.

الشركات البارزة الأخرى التي قامت بتقييم غرامات كبيرة في الناتج المحلي الإجمالي تشمل WhatsApp و Google و Target و Yahoo و Marriott و Equifax و Facebook. كما تمكّن اللائحة العامة لحماية البيانات الأفراد من السعي وراء الأضرار في المحكمة نتيجة إهمال أي شخص بسجلات معلوماتهم الشخصية أو الصحية أو غيرها من المعلومات الحساسة.

توجد قوانين مماثلة في جميع أنحاء العالم ، مثل قانون الخصوصية النيوزيلندي وقانون خصوصية المستهلك في كاليفورنيا (CCPA). يأتي آخرون ، مثل قانون حماية البيانات الشخصية في الهند وربما قانون حماية خصوصية البيانات الأمريكية.

قال جيمس ماكيفي ، نائب الرئيس والمحلل الرئيسي في Forrester Research: “إلى جانب معايير أمان وحماية البيانات ، فإن العديد من اللوائح الحكومية والصناعية مثل اللائحة العامة لحماية البيانات تلزم بيانات القوى العاملة”. “ستزداد هذه اللوائح المعقدة ، مما يزيد من صعوبة تحديد معلومات الموظفين والقوى العاملة التي يمكنك جمعها وكيف يمكنك استخدامها.”

الخصوصية و offboarding

مع تناقص الكثير من الاحتمالات عن انتهاكات الخصوصية ، فلا عجب أن تكون إدارات الموارد البشرية أكثر بروزًا في الأعمال مما كانت عليه من قبل. يتم تعيين الموظفين بشكل روتيني للتدريب فيما يتعلق بمشاركة المعلومات وسياسات خصوصية البيانات وعمليات الأمان.

أحد أكبر المخاطر المتعلقة بانتهاكات الخصوصية والبيانات في الموارد البشرية يتعلق بإبعاد الموظفين عن العمل. قد يكون من السهل جدًا على الشخص المغادر الخروج من المنزل باستخدام محرك أقراص USB مليء بسجلات العملاء ، أو الاحتفاظ بإمكانية الوصول إلى أنظمة معينة ، على أمل تحقيق الربح في وقت لاحق.

وجدت دراسة أجرتها مؤسسة Beyond Identity أن 83٪ من الموظفين السابقين لا يزال بإمكانهم الوصول إلى بعض حسابات الشركة. ما لم تكن الموارد البشرية دقيقة للغاية في عملية الاستغناء عن الخدمة ، يمكن للأشخاص إيجاد طرق للدخول إلى بعض الأنظمة. نتيجة أخرى: نصف الشركات لا تستخدم العمليات الآلية لتغيير كلمات مرور المستخدم عندما يغادر شخص ما ، وحذف ثالث فقط حسابات المستخدمين كجزء من عملية الإلغاء. وبالتالي ، لا ينبغي أن يكون مفاجئًا أن 25٪ من الموظفين اعترفوا بأخذ معلومات العميل من صاحب عمل سابق. يتراوح هذا من معلومات الاتصال بالعميل والمعلومات المالية إلى قواعد بيانات CRM بأكملها.

قال عوزي حداد: “يجب على أرباب العمل اتخاذ إجراءات أمنية في الخارج ، مثل تعطيل الوصول إلى البريد الإلكتروني ، وإزالة جميع الحقوق ، وتعطيل الوصول إلى جميع التطبيقات ، ومطالبة الموظفين بتأكيد أنهم أعادوا جميع أصول البيانات الشخصية للشركة ولم يحتفظوا بأي بيانات للشركة”. ، دكتوراه ، المؤسس والرئيس التنفيذي لشركة Privya ، وهي شركة تعمل في مجال حماية البيانات والامتثال القائمة على الذكاء الاصطناعي (AI).

بالإضافة إلى تعطيل حسابات المستخدمين ، يجب على المؤسسات اتباع قواعد الخصوصية المعمول بها فيما يتعلق بالاحتفاظ ببيانات البريد الإلكتروني لفترات محددة وحذف البيانات الشخصية لحماية حقوق الموظف السابق.

قال حداد: “يُسمح لأصحاب العمل بالاحتفاظ بمعلومات حول الموظفين وسبب إنهاء الخدمة ، كالتزام قانوني وكوسيلة لحماية أنفسهم في حال طعن الموظف في الإنهاء”. “يجب حذف البيانات الأخرى المتعلقة بالموظف ، مثل المعلومات المتعلقة بحالة طبية أو رسائل البريد الإلكتروني الخاصة غير المطلوبة لأي نزاع قانوني محتمل في المستقبل”.

قد يتم تطبيق قواعد امتثال وخصوصية البيانات الأخرى

تختلف القواعد من بلد إلى آخر ومن منطقة إلى أخرى. وأشار حداد إلى أن اللائحة العامة لحماية البيانات لا تتحدث كثيرًا عن تفاصيل حماية البيانات في سياق التوظيف أو إنهاء التوظيف. تسمح اللائحة للدول الأعضاء بوضع إرشاداتها الخاصة لمعالجة البيانات الشخصية للموظفين أثناء وبعد التوظيف ، وفقًا للمادة 88 من القانون العام لحماية البيانات (GDPR).

وفي الوقت نفسه ، في ولاية كاليفورنيا ، يدخل قانون حقوق الخصوصية في كاليفورنيا (CPRA) حيز التنفيذ في 1 يناير 2023 ، ويعدل بشكل كبير CCPA. قد يكون حقل ألغام لأصحاب العمل إذا لم يديروا بيانات الموظفين بشكل مناسب.

قال حداد: “ستلغي CPRA إعفاءات بيانات الموظفين من قانون CCPA”. “سيتم الآن تطبيق جميع الأحكام المتعلقة بالبيانات الشخصية على بيانات الموظف ، بما في ذلك جميع الحقوق والتزامات الشفافية وتقييم التأثير والقواعد المتعلقة ببيع البيانات الشخصية ومعالجة البيانات الحساسة.”

استخدام التكنولوجيا لمعالجة الخصوصية والاستغناء عن الخدمة

تحتاج تكنولوجيا المعلومات والموارد البشرية إلى بذل المزيد من إنفاذ السياسات لتجنب الضرر المحتمل من الموظفين المغادرين أو الموظفين السابقين. يجب على المنظمات تقييم البيانات التي لديها ، والأماكن العديدة التي تتواجد فيها ، وكيفية تطبيقها على خصوصية الموظفين وعمليات الاستغناء عن العمل. يجب فحص الأنظمة القديمة ، على سبيل المثال ، بحثًا عن مثل هذه البيانات كجزء من جرد البيانات.

تشمل الأدوات الأخرى التي يجب تنفيذها تشفير بيانات الموظف وإخفاء هويتها عبر إخفاء البيانات. قد تكون الاستضافة السحابية المحلية أيضًا وسيلة لتجنب الوقوع في أخطاء القانون العام لحماية البيانات (GDPR) والقيود الأخرى ضد نقل البيانات خارج منطقة جغرافية واحدة أو عبر الحدود الوطنية.

تقييمات الثغرات الأمنية المنتظمة هي طريقة أخرى يمكن للمؤسسات من خلالها ضمان تأمين بيانات الموظف. يجب أن تشمل هذه اختبارات الاختراق من طرف ثالث.

قال أناستاسيوس جكوليتسوس ، قائد الأمن السيبراني وحماية البيانات في منصة الموارد البشرية في كل مكان: “تساعد عمليات فحص الثغرات الأمنية في تحديد نقاط عمياء متعددة في أمن البيانات ونقلها ونقاط الضعف”. “هناك العديد من البائعين الذين يمكنهم أيضًا المساعدة في تحديد فجوات الامتثال ، ولكن بشكل عام ، تتطلب منك اللائحة العامة لحماية البيانات الحفاظ على بنية تحتية مرنة لتكنولوجيا المعلومات حيث تعمل إجراءاتك التنظيمية والأمنية بشكل فعال.”

لذلك ، يجب أن يكون أمن نقطة النهاية أولوية واضحة لكل شركة ، لا سيما تلك التي تعمل على مستوى العالم. لن تكون حماية خصوصية البيانات فعالة إلا إذا كانت مدعومة بميزات الأمان مثل جدران الحماية ، وإزالة البرامج الضارة ، وحماية برامج الفدية ، وإدارة الجهاز ، وإدارة كلمات المرور ، وإدارة التصحيح ، والشبكات الظاهرية الخاصة للأعمال أو غيرها من وسائل الاتصال الآمن. لا تنسَ سياسات أمان المعلومات المتعلقة بمجالات مثل الخصوصية وإخراج الموظفين من العمل وضوابط الوصول وإدارة التغيير وتكامل البيانات.

يضيف McQuivey of Forrester حلول إدارة رأس المال البشري المستندة إلى مجموعة النظراء إلى قائمة الضمانات التكنولوجية. تم تجهيز بعض أنظمة HCM الحديثة بميزات لتجنب انتهاك خصوصية البيانات وقواعد حركة البيانات. عندما يتم وضع البيانات في السحابة ، على الرغم من ذلك ، يجب على الشركات التأكد من تخزينها فقط في المواقع المسموح بها. على سبيل المثال ، غالبًا ما يتم إلقاء البيانات المؤرشفة في طبقات التخزين البارد في السحابة. قد يؤدي ذلك إلى فقدان السيطرة على موقعه. تحتوي مجموعة أرشفة نشطة من تطبيقات النظام المفتوحة وأنواع مختلفة من أجهزة القرص والأشرطة على ميزات تراقب البيانات وترحيلها عبر أجهزة تخزين متعددة مع الحفاظ على إمكانية الوصول السريع للمستخدم وتتبع متطلبات خصوصية البيانات.

بدلاً من ذلك ، يمكن للمؤسسة تسخير السحابة للتطبيقات مع الاحتفاظ بجميع البيانات محليًا ، كطريقة للبقاء على رأس الامتثال.

قال ستيف والو ، كبير مسؤولي التكنولوجيا في Vcinity: “نظرًا لأن البيانات والتطبيقات لا تحتاج إلى أن تكون في موقع مشترك جغرافيًا ، يمكنك تشغيل التطبيقات في السحابة ، ولكن مع الاحتفاظ بالبيانات التي يحتاجها التطبيق في مكان العمل”.

تعتاد على التعقيد والاختلافات الإقليمية

التعامل مع قوانين الخصوصية ليس بالأمر السهل. ما لم تمرر الحكومة الفيدرالية الأمريكية شيئًا قريبًا ، توقع أن تمرر عدة ولايات قواعدها الخاصة. سيضيف هذا تعقيدًا مشابهًا لكابوس ضريبة المبيعات الذي تتعامل معه الشركات (لكل ولاية نسبة وسياسة ضريبة مبيعات مختلفة). على الصعيد العالمي أيضًا ، ستسن البلدان والسلطات الإقليمية مثل الاتحاد الأوروبي قوانين تؤثر على مناطق معينة. الأمر متروك لقسم تكنولوجيا المعلومات والموارد البشرية للبقاء على رأس كل هذا.

قال داني ساندويل ، كبير المحللين الإستراتيجيين للحلول في Quest ، “إن الترقيع العالمي الحالي لقوانين سيادة البيانات والخصوصية جعل الأمر أكثر تعقيدًا من أي وقت مضى بالنسبة للشركات لإنشاء سياسات متسقة بشأن مشاركة البيانات والتكامل والامتثال”. “سيستمر هذا في إحداث تأثير كبير على قدرة المؤسسات على تعظيم استخدام البيانات عبر البنية التحتية لتكنولوجيا المعلومات الخاصة بها ، ما لم تضع خططًا واضحة لتكامل البيانات والحوكمة. في عام 2023 ، سيحفز تمرير المزيد من قوانين سيادة البيانات والمشاركة الشركات على الاستثمار في الحصول على رؤية لبياناتهم ووضع خطط واضحة للمشاركة والتكامل عبر مشهد تكنولوجيا المعلومات الخاص بهم. ”