את שם החברה לא יכולנו לפרסם, אבל על התהליך וחשיבותו, לגמרי כן!
אתגר ניהול הדאטה האישי (Data Privacy) של הלקוחות, צריך להעסיק כל חברה, בטח בעידן שמתאפיין במודעות צרכנית גבוהה מאי פעם, לצד רגולציה שמקשיחה עמדות ומעלה את רף הדרישות מגופים רבים שמנהלים דאטה של הלקוחות שלהם.
זאת הסיבה שבגללה חברות בענפים רבים מחפשות לקבל חוות דעת מקצועית (בראיה הטכנולוגית והמשפטית), לגבי האופן שבו הן מנהלות מידע אישי של הלקוחות, וכמובן לגבי תהליכי העבודה הנכונים מול הדאטה הרגישה הזו.
לא נוכל לציין את שם החברה, אבל כן נאמר שמדובר בחברת טכנולוגיה גדולה ובינלאומית, שפנתה אלינו ביוזמת ה-Chief Data Officer שלה, ויחד עם המחלקה המשפטית חיפשו גורם מקצועי המנוסה בליווי ובייעוץ לחברות אחרות סביב האתגר הזה בדיוק, וגם מכיר את האספקטים הטכנולוגיים ותהליכי העבודה הרלוונטיים כדי לוודא תקינות ואפקטיביות בעבודה עם הדאטה הרגישה.
חשוב להדגיש שתחום הפרטיות אינו מחולק לשחור ולבן, למרות הרגולציה, וכנראה שיותר נכון לתאר אותו כ-50 גוונים של לבן. יש כמובן ״כוכב צפון״ לגבי מה מותר ואסור, בעיקר בהסתמך על ה- GDPR או המקבילה האמריקאית לפי המדינה בה פועלים, ועדיין כל חברה וארגון נדרשים לוודא באופן ספציפי איפה הם עומדים בנושא. על כף המאזניים נמצא לא רק הדאטה עצמה, אל מול הדרישות הרגולטוריות, אלא גם מה חברות רוצות ויכולות לעשות מבחינה עסקית עם הדאטה.
ברוב חדרי ההנהלה מתקיים דיון לגבי הנושא העדין והקריטי הזה בדיוק: האם אנחנו מחמירים מידי בכל הקשור לפרטיות המשתמשים, וכפועל יוצא מפסידים הזדמנויות עסקיות? או לחילופין, יכולים ״לשחרר״ מעט מהמגבלות שהם עצמן מטילות בתהליכי העבודה וניהול המידע כדי לאפשר לביזנס יותר חופשיות? למרות שייתכן וחופשיות זו תבוא על חשבון סיכון הפרטיות של המשתמשים?
קצת על התהליך שלנו מול אותה חברה טכנולוגית:
קיימנו סדרת פגישות/ראיונות, בעיקר עם גורמים מאגף הטכנולוגיות אבל גם עם גורמי אבטחת מידע, המחלקה המשפטית, וגורמים מה- Business (אנליסטים וכו׳). עיקר השיחות התמקדו בארכיטקטורת הדאטה של הארגון, על מודעות העובדים לנושא הפרטיות ועל הנהלים הקיימים, על אופן יישום תהליכי עבודה בהקשר למה שנדרש בפן הרגולטורי ועוד.
כמו כן התמקדנו גם בשאלה: מה זה PII – Personal Identifiable Information בעיני כל אחד מהמרואיינים, כיצד הם מסווגים פרטי מידע לאור ההגדרה שלהם, היכן נשמר נשמר המידע הזה, כיצד הם מנטרים את הדאטה, למי יש גישה אליו ועוד.
לא ויתרנו גם על מחקר שוק שנועד לבחון מה קורה בחברות אחרות דומות מבחינת סדר גודל התזרים וכמות המשתמשים (באמצעות בדיקה של מידע ציבורי שקיים ברשת וכן שיחות עם יועצים בשטראוס, קולגות וקשרים אישיים נוספים, כמו גם ניסיון עשיר מול חברות וארגונים אחרים. מה התוצר הסופי של תהליך כזה?
התוצר הסופי הוא מסמך מקיף ומקצועי, שכלל את כל הממצאים הטכנולוגיים והעסקיים, וכמובן התייחסו להנחיות ודרישות הרגולציה באזורים שבהם החברה הפועלת. מיקוד מרכזי בפירוט ותיאור הפערים המרכזיים שזוהו, ריכוז המלצות מהותיות בהלימה לפערים העיקריים וכן המלצות על Quick Wins בדחיפות לא גבוהה, אך שניתנים ליישום בקלות יחסית. חלק משמעותי מהתוצר הוא ההתייחסות שלנו ל- Maturity Level של החברה בתחום הפרטיות, דירוג חשוב שמשקף בצורה כנה וישירה את מיקום החברה ביחס לענף, לשוק ולדרישות הרגולטוריות.
נשמח לשמוע על האתגרים והמחשבות שיש לארגון שלכם בתחום השמירה על הפרטיות.