מהי ריבונות נתונים?

מייקל צ'ן | אסטרטג תוכן | 2 במאי 2024

במאמר זה

המושג ריבונות נתונים מתייחס ליישום חוקים על נתוני המשתמש - בייחוד, אילו חוקים של סמכות שיפוט חלים על נתונים אלה ואילו זכויות מוגנות עבור כל משתמש בנוגע לפרטיות, שימוש של ארגון והסכמה. הדוגמה הידועה ביותר לעקרונות ריבונות נתונים היא הצו הכללי להגנה על נתונים (GDPR) של האיחוד האירופי (EU), המגדיר כיצד הנתונים של אזרחי האיחוד האירופי מוגנים במונחים של איסוף ושימוש.

מהי ריבונות נתונים?

ריבונות נתונים מתייחסת לרעיון שלפיו הנתונים כפופים לחוקים ולתקנות של המיקום הגאוגרפי שבו נמצאים בעליהם. באופן כללי, כללי ריבונות הנתונים קובעים שהאחריות על הניהול וההגנה על נתוני המשתמשים היא של הארגון שאוסף ומעבד אותם. הארגון חייב לטפל בבעיות פרטיות ואבטחה של משתמשים, ועליו לציית לתקנות של מדינת המשתמש או מדינת התושבות. משמעות הדבר היא ששכבות מרובות של תאימות נדרשות לארגונים עם בסיסי משתמשים רב-לאומיים. לדוגמה, ייתכן שארגון עם משתמשים באיחוד האירופי ובארה"ב יידרש לציית ל-GDPR של האיחוד האירופי כמו גם לחוקי ריבונות הנתונים של מדינות בודדות.

באופן כללי, לחוקים של ריבונות נתונים ברחבי העולם יש חפיפה משמעותית. חלקם מגבילים יותר מאחרים.

תובנות מרכזיות

  • ריבונות נתונים היא הרעיון שלפיו בעיות, תקנות והגבלות נתונים משפטיות נמצאות בתחום השיפוט של האומה, המדינה או האזור שממנו הנתונים מופקים.
  • קביעת ריבונות הנתונים עשויה לערב לעיתים קרובות בעיות קשורות כגון לוקליזציה של נתונים, תושבות נתונים ופרטיות נתונים.
  • כמה מהדוגמאות המוכרות ביותר לריבונות נתונים כוללות את כללי GDPR של האיחוד האירופי, כללי CCPA של קליפורניה, ואת הרעיון של ריבונות נתונים מקומיים.
  • ארגונים חייבים להעריך כל הזמן חוקים אזוריים, פרטים ממחשוב הענן שלהם ומצב האבטחה והחומרה שלהם.

הסבר על ריבונות נתונים

ריבונות נתונים היא מושג כבד משקל עם היבטים שונים רבים, אם כי את היסודות ניתן לתמצת בנקודות הבאות:

  • מי מעורב? ריבונות נתונים עשויה לכלול מספר צדדים, אם כי האחריות עשויה בסופו של דבר להיות על הארגון שאוסף או מוכר את הנתונים. הצדדים עשויים לכלול ארגונים אלה, את האנשים שהנתונים שלהם נאספים, את ספקי הענן שמאחסנים את הנתונים ואת המדינות/האזורים המכתיבים את החוקים המנחים המפקחים על הנתונים. במסגרת הארגון, הפיקוח על ריבונות הנתונים עשוי לכלול מחלקות IT וצוותים משפטיים.

  • מה עומד על כף המאזניים? עבור ארגונים שאינם עומדים בהנחיות רגולטוריות, התוצאה יכולה להיות רשת מורכבת, ואפילו בין-לאומית, של סוגיות משפטיות וקנסות. השלכות משפטיות יכולות להסתחרר ולהפוך לבעיות נוספות עבור הארגון, כמו קיצוץ אזורים של לקוחות או עיכוב פעולות עסקיות.

    השקעה בציות לתקנות עשויה לאפשר לארגונים לעמוד בדרישות הרגולטוריות.

  • מי מרוויח? בעלי נתונים פרטיים עשויים ליהנות מטבעם מריבונות נתונים בשל ההתמקדות שלה בהגנה ובפיקוח, אך גם עסקים עשויים לראות יתרונות. ברמה אחת, עסק יכול להפיק תועלת פשוט מהמשך קיום הפעילות העסקית והקמת בסיס יציב לציות עתידי לתקנות. נוסף על כך, ציות עקבי לתקנות עשוי לסייע בבניית אמון הציבור, אשר יכול לשמש חלק מיחסי ציבור או הודעות שיווקיות כדי למשוך עסקים נוספים.

מדוע ריבונות הנתונים חשובה?

ריבונות הנתונים חשובה משום שהיא עשויה להבטיח שעומדים בחוקים ובתקנות החלים על נתונים. עכשיו לעיתים קרובות קל יותר לומר מלעשות, כי במהלך 20 השנים האחרונות, הדרך שבה ארגונים משתמשים בנתונים השתנה לחלוטין. כאשר הנתונים הפכו לדינמיים וניידים, הם גם עמדו בפני סיכון גדול יותר - הקבצים כבר לא נשארו בגבולות הכוננים והמכשירים המקומיים, ומסדי הנתונים החלו לאחסן רשומות כבר מעבר ליישומים ספציפיים. גישה מורחבת זו לנתונים הובילה לסוגים רבים של סיכונים. הגנה מפני סכנות אלה הפכה לעניין בעל חשיבות גוברת, בייחוד כאשר התקפות סייבר השתפרו בתחכומן ושידורי נתונים החלו לחצות גבולות בין-לאומיים.

היום, חלק מהתחומים החשובים ביותר של ריבונות נתונים הם:

  • משפטי. בשנים האחרונות, מדינות ואזורים שונים קבעו תקנות להגנה על נתונים המתייחסות לחששות על פרטיות, אבטחה ואחסון בהקשר המיקום של אחסון נתונים פיזי. דוגמה עיקרית לכך היא חוק ה-GDPR של האיחוד האירופי. סוגים אלה של תקנות נוגעים לתחומים כגון נתוני מבקרים באתר אינטרנט ונתוני שימוש במוצר. אי ציות עלול להוביל לבעיות משפטיות מורכבות, אשר לאחר מכן יכולות להוביל לסיבוכים תפעוליים ופיננסיים.

  • בִּטָחוֹן. למי יש גישה לנתונים רגישים? לא חשוב במה מדובר - קניין רוחני, פיננסי, אישי או ארגוני - השליטה בגישה לנתונים רגישים היא מרכיב חיוני בריבונות הנתונים. במקרים מסוימים, חוקים אזוריים מתייחסים גם להיבט הפרטיות של איסוף נתונים. כל אלה עשויים להצביע על הצורך לשמור על שליטה באבטחה, בגישה ובאחסון.

  • המשכיות. בעולם של נתונים מבוזרים גלובליים, ספקי ענן ציבוריים יכולים באופן תיאורטי לאחסן גיבויים במרכזי נתונים הממוקמים במדינות אחרות. דבר זה יוצר בעיה אם נפילות חשמל חמורות או אסונות טבע משבשים את הגישה והקישוריות. וגם עולה השאלה של תחום השיפוט – אם מישהו פורץ למרכז הנתונים של ספק הענן, אילו חוקים יחולו כדי להגן על משתמשים שנפגעו בכל רחבי העולם? אסטרטגיות ריבונות נתונים עשויות לסייע להבטיח שהאחסון נשמר באזורים ספציפיים. במונחים של גישה בנסיבות קיצוניות, המקומיות מאפשרת קישוריות גיבוי מהירה ללא בעיות השהייה עקב מרחק גאוגרפי או בעיות גישה משפטיות עקב חוקים אזוריים.

כיצד פועלת ריבונות הנתונים?

חברות שאוספות ומאחסנות נתונים חייבות לעמוד בחוקי ריבונות הנתונים של המדינות שבהן הן פועלות, ומשימה זו יכולה לכלול אחסון נתונים במיקומים ספציפיים, יישום אמצעי אבטחה ווידוא שהנתונים מטופלים בהתאם לתקנות המקומיות. משימה זו יכולה להיות תהליך מורכב ומאתגר, במיוחד עבור חברות רב לאומיות הפועלות בתחומי שיפוט מרובים.

תהליך עבודה בסיסי עבור ציות לריבונות נתונים עשוי להיות:

  1. ארגון מעריך את המצב הנוכחי של הנתונים שלו, כולל פרוטוקולי האבטחה הפנימיים והמיקומים הפיזיים של מרכזי נתונים.
  2. לאחר מכן, המיקומים של הלקוחות והמשתמשים יוצרים בסיס לזיהוי חוקי ריבונות הנתונים הרלוונטיים.
  3. צוות ה-IT והצוות המשפטי של הארגון מעריכים אם הם מצייתים לחוקים של אזורים שונים - ואם לא, עליהם לקבוע את הצעדים הדרושים להשגת ציות.
  4. הארגון עורך סקר שוטף של לקוחותיו וחוקיו כדי להבטיח שלא יוחמצו עדכונים.

ריבונות נתונים, לוקליזציית נתונים, תושבות נתונים, פרטיות נתונים

ריבונות נתונים היא מושג מורכב המכיל כמה רכיבים מחוברים שונים. תחומי שיפוט, חוקים ומיקומים של חומרה הם גורמים הקובעים את הנוסחה הדינמית של ריבונות נתונים. המרכיבים החשובים ביותר של מושג זה הם:

ריבונות נתונים

בבסיסה, ריבונות נתונים מתייחסת לפיקוח המשפטי על נתונים על בסיס תקנות המדינה שבה הם נוצרו. משתנים כגון בסיסי משתמשים עולמיים, עובדים מרוחקים ומרכזי נתונים של אחסון בענן הופכים את הרעיון הראשוני הזה למורכב הרבה יותר. לכן, גורמים כגון היכן הנתונים שוכנים, היכן הם נאספים וכיצד הם נאספים חיוניים להבנת הבעיות שעל כף המאזניים.

לוקליזציית נתונים

לוקליזציה של נתונים נמצאת בין תושבות נתונים וריבונות נתונים. היא מתייחסת לרעיון שלפיו נתונים שנוצרו על ידי אזרחי האזור צריכים לשכון בתוך אזור זה לפני שהם נמצאים בשימוש מחוצה לו. הגבלות על לוקליזציה של נתונים נובעות מחששות בנוגע לפרטיות ואבטחה, במיוחד כאשר ארגונים מטפלים בנתונים רגישים, אישיים או פיננסיים.

תושבות נתונים

תושבות נתונים היא מונח שניתן למיקום הפיזי של נתוני הארגון. אם הנתונים מאוחסנים במדינה או באזור אחרים מהמקום שבו הם נוצרו, חלים חוקי תושבות הנתונים מאזור מסוים זה, והם מוסיפים שכבות נוספות של מורכבות בציות לתקנות.

פרטיות נתונים

פרטיות נתונים מתייחסת להגנה על הנתונים האישיים של המשתמשים. אתרי אינטרנט ויישומים יכולים לאסוף נתונים אלו בכמה דרכים, כולל טפסים, פרטים שהמשתמשים סיפקו וקוקיז באתרים. סוגיות כגון הסכמה וחוקיות האיסוף נמצאות בחזית החששות לפרטיות נתונים, ואזורים החלו לכונן חוקי פרטיות נתונים משלהם כדי להגן על אזרחים מפני הונאות וניצול לרעה.

הבדלים עיקריים

ההבדלים העיקריים בין ריבונות נתונים, לוקליזציה של נתונים, תושבות נתונים ופרטיות נתונים נובעים מהאופן שבו הם קשורים אחד לאחר. ריבונות נתונים מתייחסת למטריית עקרונות הכוללים תחומי שיפוט, אזרחים, ארגונים וחוקים. לוקליזציה של נתונים מכתיבה כיצד יש לטפל בנתוני המשתמש, ואילו תושבות נתונים ופרטיות נתונים מתייחסות להגדרות המשמשות בעת בחינת המושגים הרחבים יותר. האיור הבא מציג זרימה חזותית של האופן שבו מושגים אלה פועלים יחד.

ריבונות לעומת לוקליזציה ולעומת תושבות

פרטיות נתונים מתייחסת לדרישה להגן על מידע אישי ורגיש - או להסתכן באובדן אמון לקוחות, פרסום רע או אפילו קנסות ותביעה.

ריבונות נתונים לוקליזציית נתונים תושבות נתונים
הפיקוח החוקי על מידע המבוסס על תקנות המדינה שבה הוא נוצר ו/או מעובד הרעיון שהנתונים שנוצרו על ידי אזרחי האזור צריכים להיות מאוחסנים בתחום שיפוט זה לפני שימוש חיצוני המיקום הפיזי שבו ארגון מאחסן ו/או מעבד את הנתונים שלו

ההיסטוריה של ריבונות נתונים

לאורך זמן מחשבים התפתחו מקופסאות ענקיות בגודל של חדר למכונות שולחניות, ולכן גם הגישה לנתונים התפתחה. האבטחה הפכה לתחום של אמצעי אחסון פיזי, רשתות אזוריות מקומיות ומרכזי נתונים. עם הזמן הנתונים הפכו לניידים יותר וניתנים להעברה דינמית, ובעקבות כך הופיעו המושגים הראשונים של ריבונות הנתונים. באיחוד האירופי, הנחיית הגנת המידע של 1995 הגבילה את עיבוד ואחסון הנתונים של אזרחי האיחוד האירופי לגבולות האיחוד. ברחבי האוקיינוס האטלנטי, ארצות הברית גם שקלה ריבונות נתונים מזוויות שונות, כולל חוק 2001 PATRIOT ששינה ביסודו את הנתונים האזרחיים שממשלת ארה"ב יכולה לגשת אליהם באופן חוקי. החוק העניק לממשלה הפדרלית גישה לנתונים המאוחסנים בתחומי שיפוט אמריקאים, וכמו כן נתונים המנוהלים בחברות הפועלות בגבולות ארה"ב.

בתקופה זו, לפני 20 שנה, התמודדו עם אמצעים פיזיים, חיבור לרשת באמצעות מודם והאינטרנט כשירות נישתי. אך בשנים שלאחר מכן, הטרנספורמציה הדיגיטלית הפכה לנפוצה בתעשיות ובקהילות, והתרחבה גם לגישה לאינטרנט ביתי, עסקאות פיננסיות מקוונות, נתונים אישיים במדיה חברתית, וכל הדרך עד לאחסון יום-יומי בענן, מטבעות דיגיטליים ומכשירי אינטרנט של דברים (IoT). ולפתע, גדלה החשיבות של ריבונות נתונים באופן אקספוננציאלי. תאגידים החלו לשתף נתונים מעבר לגבולות בין-לאומיים, פשעי סייבר הפכו לסיכון יום-יומי, אזרחים ביצעו רכישות מקוונות ממקומות מרוחקים, וממשלות נתפסו במעקב לא חוקי אחר נתונים אישיים. כל השינויים האלה הובילו לצורך ליצור סדר מסוים בכאוס, במיוחד עם תחומי השיפוט השונים המעורבים.

כיום, הרעיון של ריבונות נתונים כולל מגוון רחב של נושאים, כולל עניינים משפטיים מקומיים, חששות בנוגע לפרטיות, המיקום הפיזי של שרתי אחסון בענן ועוד. עם הזמן, המכשירים משתלבים עוד ועוד בכל היבט של חיי היום-יום שלנו ועסקים דוחפים את גבולות העבודה מרחוק, ולכן ריבונות הנתונים רק תהפוך למורכבת יותר - וחיונית יותר - עם כל שנה שחולפת.

ריבונות נתונים ו-GDPR

בשנת 1995, ההנחיה להגנה על נתונים (DPD) של האיחוד האירופי נכנסה לתוקף עם שחר עידן האינטרנט. הנחיית ה-DPD, הידועה בכינויה "הנחיה 95/46/EC", היא הבסיס לאופן שבו העולם מסתכל על פרטיות הנתונים במונחים של זכויות יסוד וחירויות. נושאי המפתח במסגרת הנחיית ה-DPD הם:

  • שקיפות בעת עיבוד הנתונים של אזרח האיחוד האירופי
  • הגדרת הכוונה והמטרה של האחסון והעיבוד
  • חוקים החלים על העברת נתונים מחוץ לאיחוד האירופי
  • מגבלות על האופן והסיבה לעיבוד נתונים אישיים כדי להבטיח פרטיות

ב -20 השנים מאז, השימוש בנתונים התפוצץ ברחבי העולם, תחילה באמצעות גישת פס רחב ביתית לאינטרנט, ולאחר מכן בהופעתה של המדיה החברתית, ואז בשימוש במכשירי אינטרנט של דברים (IoT) כגון טלפונים חכמים - אשר כל הזמן אוספים כמויות גדולות של נתונים אישיים. אבולוציה זו חשפה את הפערים בהגנות ה-DPD, שכן הנתונים החלו לזרום בדרכים שלא ניתן היה לדמיין בעבר.

לאחר שאומצה בשנת 2016 ונהייתה פעילה מאז 2018, התקנה הכללית להגנה על נתונים (GDPR) החליפה את ה-DPD ונבנתה על כל עקרונות המפתח שלה, כולל זכויות בסיסיות לנתונים, תקנות לרשויות פיקוח והגבלות על העברת נתונים אישיים למדינות מצד שלישי. באופן משמעותי, לפי ה-GDPR ארגונים חייבים לאסוף ולטפל בנתונים אישיים רק בדרכים מוסמכות מבחינה משפטית, כולל הסכמה של בעל הנתונים, חובה חוזית או אינטרס ציבורי ברשות רשמית. חששות לגבי הסכמה ורשות ממשלתית התעוררו בעשור שלפני כניסת ה-GDPR לתוקף מכיוון שעלו גילויים לגבי השימוש בנתונים אמריקאים לפי חוק PATRIOT. ה-GDPR הבהיר ופישט את הגישה לנתונים אישיים, בעלות, הסכמה, תלונות והגבלות כדי ליצור גבולות משפטיים חזקים יותר ובעלות אישית גדולה יותר, תוך העברת התחייבויות ואחריות לארגונים ובקרי נתונים.

תקנת ה-GDPR, המוכרת באופן נרחב כחוק ההגנה על נתונים המשפיע ביותר בהיסטוריה, סייעה לקדם את ההגנה על נתונים ברחבי העולם. בארצות הברית כמה מדינות העבירו חוקים משלהן לגבי נתונים שיצרו התושבים, כולל חוק הפרטיות לצרכן של קליפורניה וחוק הפרטיות של קולורדו. גם דרום אפריקה, תאילנד, סינגפור ומדינות אחרות הלכו בעקבותיהן.

5 אתגרים מרכזיים הנוגעים לריבונות נתונים

ריבונות נתונים יכולה להיות מסע ייחודי, ולעיתים קרובות גם מאתגר - ברגע שארגון משיג את מטרותיו, התהליך נמשך בשל תקנות מתפתחות והנחיות חדשות מטריטוריות מתפתחות. ארגונים חייבים להיות מודעים לכל המשתנים האלה בזמן שהם מבצעים בחירות IT חיוניות ומעריכים את ההשלכות. הרשימה הבאה מציגה את האתגרים הנפוצים ביותר הנוגעים לריבונות נתונים:

  • פעילות בכמה מדינות. אם הארגון שלכם פועל בכמה מדינות, ריבונות הנתונים עשויה להפוך מייד למורכבת יותר. תקנות איסוף הנתונים תלויות בתחום השיפוט שבו תהליכים מתרחשים. ייתכן שתאגיד רב-לאומי יצטרך לנווט בין הווריאציות האזוריות ובין הניואנסים של חוקי הנתונים באזורים שבהם הוא פועל.

  • חוקים שמשתנים כל הזמן. חוקים קיימים כמו תקנת ה-GDPR של האיחוד האירופי ותקנת ה-CCPA בארצות הברית עשויים להמשיך להתעדכן, גם כאשר תחומי שיפוט אחרים יציגו גרסאות משלהם להגנה על נתונים. כל ארגון אחראי למעקב אחר שינויים אלה כדי להבטיח ציות לתקנות, מאחר שהתחייבויות משפטיות בנוגע לפרטיות והגנה על נתונים עשויות לחול על ישויות ולא על אנשים פרטיים. לדוגמה, בריטניה עדיין שמרה על תקנת ה-GDPR לאחר יציאתה מהאיחוד האירופי ב-2020, אך היא יכולה להכתיב כיצד החוק יתפתח בשביל תושבי בריטניה באופן עצמאי.

  • אתרי אחסון של ספקים. אם הארגון שלכם משתמש בענן ציבורי לצורכי הנתונים שלו, אתרי האחסון והעיבוד הפיזיים של הענן הציבורי עשויים להפוך לגורם משפיע. אם חוקי פרטיות נתונים דורשים שהנתונים יישארו בתחום השיפוט של המשתמש, ארגונים עשויים להחליט אם לתקשר עם ספקים לגבי דרישות משפטיות ספציפיות הנוגעות למיקום גאוגרפי.

  • השקעות ראשוניות. ריבונות נתונים דורשת התחייבות כספית. הפעלת מרכז נתונים מקומי עשויה לדרוש מעבר לענן. איסוף נתונים רגישים כמו מידע פיננסי עשוי לדרוש יישום שכבות חדשות של אבטחה. השלבים הספציפיים הנדרשים להשגת ריבונות נתונים בטוחה הם ייחודיים לכל ארגון. הם עשויים גם לדרוש זמן ומאמץ משמעותיים בהשקעה בהדרכה מחדש של עובדים על פרטים אלו. לא משנה איך ייראה מסע ריבונות הנתונים שלכם, הוא יהיה כרוך בהתמודדות עם אתגרים לא צפויים, ולכן הארגון שלכם חייב להיות מוכן לספוג את העלויות.

  • עלות ההצלחה. אולי הארגון שלכם התחיל כעסק מקומי אבל הרחיב את ההיצע שלו בעקבות מוצרים או שירותים שצברו תאוצה במכירות. עם התרחבות כזאת מגיע בסיס לקוחות גדול יותר, ועם בסיס זה נוצרות בעיות הנוגעות לריבונות נתונים, במיוחד אם היקף הלקוחות שלכם מגיע לאזורים חדשים עם תקנות שונות. ריבונות נתונים חייבת להיות חלק קבוע מהמשוואה בעת תכנון להרחבה וצמיחה, מכיוון שהתעלמות ממנה יכולה להביא להשלכות משפטיות משמעותיות בהמשך.

6 שלבים לתמיכה בריבונות נתונים במחשוב ענן

בכל הנוגע לריבונות נתונים, אין פתרון יחיד שעובד עבור כל ארגון. עם זאת, כמה דרישות רחבות הן עקביות ללא קשר לטכנולוגיה או ליעדים העסקיים הקיימים של הארגון. ששת השלבים הבאים הם מדריך כללי להשגה פוטנציאלית של ריבונות נתונים.

1. עם מה אתם עובדים?

כיצד הנתונים שלכם מאוחסנים? היכן הם נמצאים ו/או מעובדים כרגע? האם אתם משתמשים במרכז נתונים מקומי, ספק ענן או שילוב של שניהם? אילו גישות מבוססות תפקיד ואמצעי אבטחה אחרים אתם נוקטים? האם אתם משתמשים ו/או זקוקים לתמיכה במכשירי קצה הקרובים לגבול של תחום שיפוט? וכיצד תתרחבו בהמשך הדרך? לפני קבלת החלטות על ריבונות נתונים, הארגון חייב לענות על סוגים אלה של שאלות כדי לקבל היקף מלא של מה שיניע ציות לתקנות.

2. החליטו מה אתם רוצים

האם עניתם על השאלות לעיל? יופי, עכשיו הסתכלו על המידע הזה וחשבו מה אתם צריכים - ורוצים - לעשות בו. עמידה בדרישות הציות לתקנות חשובה, כמובן. עם זאת, בהתחשב בכך שהאסטרטגיות ישפיעו גם הן על בחירות ה-IT, על הצוות המשפטי ועל התקציב שלכם, כדאי גם לקבוע יעדים ברורים לעסקים כחלק מהתהליך. מפת דרכים כללית, רשימה של צורכי החומרה והנתונים, והערכות לתרחישים הטובים או הגרועים ביותר יכולות להיות כל הקריטריונים העיקריים שיעזרו לבנות את אסטרטגיית ריבונות הנתונים שלכם.

3. הכירו את האפשרויות הזמינות

במקרים רבים, ההצטלבות בין צורכי התאימות, העסק והתפעול תוביל לפתרון ענן. המעבר לענן עשוי לדרוש חיבור של מרכז נתונים מקומי קיים באמצעות מודל היברידי, העברת מרכז נתונים מקומי לענן, או השוואת הדרישות המעשיות לציות לתקנות כנגד ההצעות של ספק הענן. על הארגון להעריך את ספקי הענן בהקשרהצרכים הטכניים, הפיננסיים והציות לתקנות, תוך התחשבות בגורמים כגון שירותי העברת הנתונים שלהם, מיקומים פיזיים של מרכזי נתונים ואזורי השירות.

4. בחרו אפשרות אחת - או כמה

עד כה תוכלו להבין את המצב הנוכחי שלכם, לפרט את הצרכים הספציפיים ולבחון את היכולות של ספקי ענן שונים. התחשבות בכל הגורמים יחד תיצור רשימה קצרה ברורה של כמה ספקים. ראיינו כל ספק, וקבלו הדגמה או גרסה לניסיון אם אפשר. לאחר מכן, הגיע הזמן לבחור את הספק(ים) הדרושים וליצור מפת דרכים להעברת נתונים. כחלק משלב זה, תוכלו לעיין ביסודיות בהסכמי רמת השירות (SLAs) של כל ספק כדי לגלות כיצד השירותים שלו יתאימו לצרכים הפונקציונליים של הארגון שלכם.

5. הישארו מעודכנים בשינויים

פונקציונליות, אבטחה וציות לתקנות - גם לאחר העברת הנתונים וההשקה ייתכן שהארגון יצטרך לעקוב אחר מדדי ביצועי מפתח ובעיות אבטחה כדי להבטיח שהכול יתנהל כמתוכנן. ביקורות שגרתיות עשויות להיות חלק הכרחי מהתפעול העסקי מבוסס הנתונים של ימינו, וכמו גם הבאה בחשבון של עדכונים אזוריים וחוקים חדשים. בשלב זה, הארגון צריך גם להתכונן לתרחיש הגרוע ביותר: מה אם יהיה צורך לנתק קשר עם ספק בעל ביצועים נמוכים?

6. תקנו ושנו את החלטותיכם לפי הצורך

אם אתם לא מרוצים מהספק שבחרתם, דעו שתמיד קיימת אפשרות אחרת. נוסף על כך, תמיד יש יכולות טכנולוגיות חדשות שאפשר למנף. גם אם העסק פועל בצורה חלקה, אף פעם לא מזיק לשקול מה יש שם בחוץ, תוך הבאה בחשבון של המעמסה שבהעברת הנתונים, כמובן. הכרת כל האפשרויות יכולה להיות חשובה במיוחד אם דברים משתבשים עם הספקים שחתמתם איתם על חוזה - לדוגמה, אם הם לא עומדים בתקני הביצועים שנקבעו בהסכמי רמת השירות שלהם, או אם שירות הלקוחות שלהם לוקה בחסר.

לא משנה מה המקרה, הערכה מחדש ותיקון צריכים תמיד להיות חלק מהתוכנית בכל הנוגע לטכנולוגיה, ואף יותר מכך כאשר מדובר בכלכלה ואבטחה מבוססות נתונים.

שיטות עבודה מומלצות לריבונות נתונים

בכל הנוגע לריבונות נתונים, רק לעיתים נדירות פתרון אחד מתאים לכול, ושיטות עבודה מומלצות שונות יתאימו כמעט לכל מצב. שיטות אלה הן:

  • דעו לאן מועברים הנתונים שלכם. באחסון, עיבוד ושידור יש חשיבות למיקום. הצעד הראשון לריבונות נתונים בטוחה הוא זיהוי כל מיקומי הנתונים הפיזיים. לאחר יצירת רשימה זו, ארגונים יכולים לחפש חוקים אזוריים רלוונטיים כדי לעזור לאמת ציות לתקנות (או לקבוע סיכונים במקרה של אי-ציות).

  • בצעו בחירות חכמות לגבי לוקליזציה של נתונים. לוקליזציה של נתונים מפשטת את הציות לתקנות ואת הסיכון הרגולטורי על ידי וידוא שהנתונים המאוחסנים שוכנים פיזית בתחום השיפוט שבו הם נאספו. במקרים רבים, לוקליזציה של נתונים עשויה להיות הדרך המהירה ביותר להשגת ציות לתקנות, כך שגישה זו עשויה להימנע מרוב הסיבוכים הכרוכים כשנתונים חוצים גבולות בין-לאומיים או מדיניים.

  • אבטחו נתונים רגישים. יש הבדל בין נתונים אישיים רגישים לבין מדדים כלליים של משתמשים שנאספו על ידי אתרי אינטרנט, למשל. לנתונים רגישים - רפואיים, פיננסיים או אחרים - נדרשים אמצעי הגנה ראויים כדי לעמוד בהנחיות משפטיות ואתיות. ייתכן שארגונים יצטרכו ליצור מדיניות ספציפית לניהול והגנה על נתונים רגישים. כדי להבטיח ציות לתקנות, עסקים עשויים לשקול לבצע בדיקות תקופתיות ועדכונים של כל מדיניות שנוצרה למטרה זו.

  • בדקו את ספקי הענן שלכם. אחסון בענן מציע יתרונות משמעותיים על פני מרכזי נתונים מקומיים, כולל מהירות, עלות ויכולת הרחבה. עם זאת, כל ארגון שמעבד נתוני משתמש חייב להיות מודע למקום שבו מתרחש איסוף הנתונים. מכיוון שספקי ענן יכולים תיאורטית לספק שירותים לארגונים בכל רחבי העולם, האחריות לבדוק את הספקים ולהבטיח שאפשרויות תושבות הנתונים הנכונות קיימות עבור ציות אזורי לתקנות היא של הארגונים.

היבט קריטי ועקבי של שיטות העבודה המומלצות המפורטות לעיל הוא הצורך להתעדכן בחוקים ובתקנות אזוריים. ציות לתקנות הוא תהליך דינמי ומתמשך, שכן טכנולוגיה חדשה והכוונה מתפתחות ללא הפסקה - לעיתים במהירות רבה. גם לאחר שארגון קבע את עקרונות ריבונות הנתונים שלו, אימות מתמשך וציות לתקנות תלויים בשיחות מעקב קבועות בכל האזורים ותחומי השיפוט הרלוונטיים.

תוכלו לטפל בדרישות ריבונות עם Oracle Sovereign Cloud

כדי לעזור לארגונים ברחבי העולם לטפל בדרישות ריבונות הנתונים השונות והרבות, Oracle מציעה אוסף של פתרונות ריבונות Oracle Cloud Infrastructure (OCI) - מודלי פריסה שנועדו לעזור לטפל בצרכים מסחריים וממשלתיים ספציפיים עם מלוא תכונות ה-OCI. הצעות אלה תומכות בבקרה על לקוחות בהקשר תושבות נתונים, גישה והסמכות לציות לתקנות עבור הארגונים. נוסף על כך, Oracle National Security Regions עוזרת לספק רשתות ממשלתיות מאובטחות עבור עומסי עבודה מסווגים ורגישים ביותר, ואילו Oracle EU Sovereign Cloud יכול לספק שירותי ענן ציבוריים, תמחור ותוכניות שעומדות בצורכי התאימות של האיחוד האירופי.

גלו מדוע Gartner הכריזה על הענן המבוזר של Oracle כמוביל במתן נתונים בפיקוח ללקוחות עם כל היתרונות של הענן, עם שליטה רבה יותר בפעולות, תושבות נתונים ורמת קרבה.

שאלות נפוצות בנושא ריבונות נתונים

מה המשמעות של ריבונות נתונים?

המושג ריבונות נתונים מתייחס לרעיון שחוקי הנתונים של תחום שיפוט ספציפי חלים על נתונים המאוחסנים ומופקים בתוך הגבולות שלו. לפיכך, הנתונים האישיים של משתמש בתוך מדינה מסוימת כפופים לחוקים של אותה מדינה. באופן דומה, אם ספק ענן מאחסן נתונים בתחום שיפוט השונה מזה של הלקוח שלו, תקנות מרובות עשויות לחול על המצב. ברוב המקרים, האחריות על ההיחלצות מהתסבוכת ועמידה בתקנות אלה היא של הארגון שאוסף את הנתונים ומשלם לספק הענן על שירותים, כמו חברת טכנולוגיה עם יישום לנייד.

מהי דוגמה לעקרונות של ריבונות נתונים?

אחת הדוגמאות הידועות ביותר לעקרונות של ריבונות נתונים היא תקנת ה-GDPR של האיחוד האירופי. GDPR היא תקנה שנוצרה בשנת 2016 ופעילה מאז 2018, והיא חלה על אזרחי האיחוד האירופי. במסגרתה נקבעו תקנות על פרטיות נתונים אישיים, איסוף נתונים, הגנה על נתונים ושימוש בנתונים באוטומציה. GDPR מכונה לעיתים קרובות חוק הפרטיות למידע המשפיע ביותר שיש.

מדוע ריבונות נתונים חשובה?

בעידן הדיסקטים ריבונות נתונים לא נדונה הרבה בשל היכולת המוגבלת להעביר נתונים. עם זאת, הקישוריות והמכשירים המחוברים לאינטרנט גדלו ביכולתם, ולכן נתונים נוצרים כל הזמן ובכל מקום ועוברים גם מעבר לגבולות. ריבונות נתונים חשובה משום שהיא מסייעת לקבוע מה מותר לחברות לעשות עם נתוני משתמשים, בעיקר נתונים אישיים שנאספו דרך המדיה החברתית או נתונים פיננסיים שנאספו באמצעות יישומים בנקאיים. נוסף על כך, כל מכשיר או אתר יכול להיות סיכון פוטנציאלי לפרטיות עקב האקרים, ובכך להעלות שאלות לגבי מי צריך להיות אחראי על פרטיות ובטיחות. יוזמות של ריבונות נתונים עוזרות לקבוע קווים מנחים, הגבלות והתחייבויות ברורות לחברות שאוספות, מעבדות ומאחסנות נתונים.

מהי ריבונות נתונים בארצות הברית?

לארצות הברית אין חוק ריבונות נתונים יחיד ומקיף עבור אזרחיה. לוועדת הסחר הפדרלית יש סמכות לחקור ולהעמיד לדין ארגונים שאינם מצייתים למדיניות הפרטיות. ברמה המדינית, תקנת ה-CCPA של קליפורניה מתייחסת לרבים מתחומים ש-GDPR של האיחוד האירופי מתייחסת אליהם, וזה חשוב במיוחד בהתחשב בתרומה המשמעותית של המדינה לכלכלה הכוללת של המדינה - במיוחד במגזר הטכנולוגי. למדינות אחרות כמו אורגון, קולורדו ווירג'יניה יש גם חוקי פרטיות נתונים, ומדינות נוספות מציגות חוקים בהיקף משתנה בשנים האחרונות. בהקשר זה, שאלות טרום-GDPR רבות בנוגע לפרטיות ולאתיקה של נתונים הועלו עם הצגת חוק ה-PATRIOT של ארה"ב משנת 2001. יש לציין כי חוק ה-CLOUD של 2018 קשור לריבונות נתונים. עם זאת, חוק זה מתמקד בספקים של שירותי ענן ואחריותם לגבי נתונים במקרה שרשויות אכיפת החוק ידרשו מהם להציג צווים או זימונים.