5 طرق لحماية خصوصية بيانات المؤسسات غير الربحية

4 دقائق
خصوصية البيانات
shutterstock.com/Lightspring

لا ترتبط حماية خصوصية البيانات بالقطاع الخاص والشركات الكبيرة فقط، بل يجب أن تدرك المؤسسات غير الربحية المخاوف القانونية المتعلقة بحماية المعلومات الشخصية للمتبرعين أو المستفيدين. فلماذا خصوصية البيانات مهمة للقطاع الخيري وكيف يمكن حمايتها؟

أهمية خصوصية البيانات

يمكّن جمع البيانات وتحليلها المؤسسات غير الربحية من فهم المجتمعات المستهدفة بشكل أفضل وقياس الأثر بدقة أكبر، ومع ذلك، فإن الجانب "السلبي" للبيانات هو عدم القدرة على حمايتها من الاختراق وانتهاك الخصوصية.

قد يؤدي الفشل في الحفاظ على سلامة سجلات المتطوعين والبيانات المالية للمتبرعين والمانحين والهوية الشخصية للفئات المستضعفة من المستفيدين، إلى هدر المال والوقت والموارد، والضرر بسمعة المؤسسة غير الربحية وفقدانها ثقة المتبرعين والمتطوعين والموظفين والجهات المانحة.

بحسب استطلاع حالة الأمن السيبراني غير الربحي في الولايات المتحدة الأميركية، فإن نحو 70% من الؤسسات غير الربحية ليس لديها سياسات وإجراءات موثقة في حالة تعرّضها لأي هجوم إلكتروني، و60% من المؤسسات المشاركة في الاستطلاع لا تقدم تدريباً منتظماً للموظفين حول الأمن السيبراني، وثلت المؤسسات غير الربحية فقط يستخدم أدوات إدارة كلمات المرور، كما يمكن أن تكلف هذه الحوادث ما يصل إلى 4% من الإيرادات السنوية للمؤسسة، ما يؤكد ضرورة التحرك لتوفير حماية شاملة لبيانات المتبرعين والمتطوعين وحتى المشتركين في الموقع الإلكتروني.

ماذا تعني خصوصية البيانات للمؤسسات غير الربحية؟

على الرغم من صعوبة تحديد التعريف القانوني لخصوصية البيانات نتيجة اختلافه من منطقة إلى أخرى، فإنها تعني تمكين الأفراد من اتخاذ قراراتهم الخاصة بشأن من يمكنه معالجة بياناتهم الشخصية ولأي غرض، وبالتالي ترتبط الخصوصية بعمليات جمع البيانات وتخزينها والاحتفاظ بها أو نقلها ضمن اللوائح والقوانين المعمول بها، مثل القانون العام لحماية البيانات في أوروبا (GDPR)، والقانون الاتحادي لحماية البيانات الشخصية في الإمارات، ونظام حماية البيانات الشخصية في السعودية.

تتضمن منهجية خصوصية البيانات مراقبة التهديدات وتشفير المعلومات لحمايتها، وإجراءات المصادقة للتحكم في الوصول إلى المعلومات الحساسة، وتوفير بروتوكولات النسخ الاحتياطي والاستعادة، والالتزام بالتشريعات والسياسات واتباع أفضل الممارسات لمنع الاستخدام الخاطئ للبيانات.

مع تزايد قوة البيانات وأهميتها للقطاع الخيري، تفرض سياسة الخصوصية نفسها كأولوية قصوى للمؤسسات غير الربحية، إذ يجب أن تكون ميزة بارزة على الموقع الإلكتروني الخاص بالمؤسسة ومكتوبة بلغة واضحة ومفهومة، لتظهر للأطراف المعنية وأصحاب المصلحة مدى تمتع المؤسسة بالشفافية وجدارتها بكسب ثقتهم.

وتساعد سياسة الخصوصية المدروسة بعناية المؤسسات غير الربحية في التفكير بالمعلومات التي تجمعها بشكل روتيني وكيفية التخطيط الجيد للحفاظ على أمن هذه البيانات وتجنب المواقف الصعبة في المستقبل.

وهذه بعض المبادئ التي يمكن اتباعها عند وضع استراتيجية الامتثال لسياسة حماية البيانات:

  • منح الأولوية للأمور الأساسية، وتحديد ما يجب فعله ومتى، وما الأمور التي يجب تجنبها.
  • مناقشة سياسة حماية الخصوصية مع أصحاب المصلحة الداخليين وتقوية الروابط بينهم، إذ يفضل بدء النقاش معهم بعبارة "ستساعدنا هذه السياسة في تحقيق مهمتنا وإليك الطريقة التي أقترح اتباعها في هذا الشأن، لكنني منفتح على تعليقاتك".
  • أن تكون سياسة الخصوصية مختصرة وموجزة مع ترك مجال البحث في التفاصيل عند التنفيذ، بالإضافة إلى مراجعة سياسة الخصوصية سنوياً أو كل عامين للتكيف مع التغيرات داخل المؤسسة.
  • إنشاء لجنة توجيهية داخلية أو اختيار لجنة حالية لتكون مسؤولة عن تفسير القواعد وتطبيقها منعاً لأي نزاعات.

كيف نعكس هذه الاستراتيجية في خطوات عملية؟ يمكن المساعدة في حماية الخصوصية بخمس طرائق قد لا تنطبق على جميع المؤسسات غير الربحية، ولكنها تفيد في التفكير بكيفية التحرك نحو ممارسات خصوصية أفضل، وهي:

1. تحديد النقاط الأساسية المرتبطة بالبيانات

من المفيد أن تبدأ المؤسسة في التفكير مع الفريق حول هذه المسائل: ما البيانات المتاحة لدينا والتي يجب حمايتها؟ من الذي نريد حماية البيانات منه؟ ما مدى احتمالية احتياجنا إلى حماية تلك البيانات؟ من لديه حق الوصول إلى بيانات المستفيدين أو الداعمين؟ هل هذه البيانات مشفرة؟ هل نستخدم كلمات مرور قوية ومميزة لحماية الحسابات التي يمكنها الوصول إلى هذه البيانات؟ هل تم تشغيل المصادقة ذات العاملين للأنظمة الأساسية حيثما كان ذلك ممكناً؟ وأخيراً، ما هي عواقب فشلنا؟

قد تهتم العديد من المؤسسات غير الربحية بجمع كل البيانات والنظر في كيفية الاستفادة منها لاحقاً، لكن المؤسسات التي تحترم الخصوصية تدرك ضرورة التخلي عن جمع البيانات التي لا تستخدمها، على سبيل المثال، تسهل العديد من منصات البريد الإلكتروني مجموعة متنوعة من طرق التتبع واختبارات (A/B) لمعرفة أي نماذج البيانات أكثر فعالية.

2. تأمين أنظمة إدارة البيانات 

تلجأ العديد من المؤسسات غير الربحية لاستخدام الأنظمة الأساسية السحابية مثل أوس (AWS) ومايكروسوفت أزيور (Microsoft Azure) وجوجل كلاود (Google Cloud) نظراً لعدم امتلاكها الموارد اللازمة لإدارة مجموعة تكنولوجية أكثر تعقيداً، لكن هذا لا يعني عدم الاهتمام بإدارة وضع أمان السحابة (CSPM)؛ فعندما تصبح البيانات أكثر تعقيداً واستخداماً، قد يؤدي استخدام التكنولوجيا السحابية إلى حدوث مشكلات أمنية غير متوقعة بمرور الوقت، ما يتطلب إعادة تقييم دورية لنظام السحابة.

3. التوقف عن إعادة استخدام كلمات المرور

قد يبدو خيار إعادة استخدام كلمة مرور لأجهزة أو خدمات متعددة أكثر سهولة في تذكرها في حالات السرقة أو الاختراق، لكنه يسهل أيضاً على المخترقين الوصول إلى الأجهزة أو الخدمات الأخرى، وبالتالي يمكن الاستعانة ببرامج إدارة كلمات المرور مثل باسوورد1 (1Password)، ولاست باس (LastPass) وداش لين (Dashlane) وكيبر (Keeper).

4.التحديث المستمر وضبط إعدادات جمع البيانات

من المهم التأكد من تحديث جميع الأجهزة والبرامج لإغلاق أي ثغرة فنية يمكن أن يستغلها المخترقون، وكذلك حث الموظفين على مراجعة إعدادات الأذونات وإيقاف تشغيل أذونات التطبيقات لجمع بيانات إضافية.

5. التدريب وتطوير سياسات حماية خصوصية البيانات

من الضروري جعل خصوصية البيانات أولوية للجميع في المؤسسات غير الربحية، لذا يجب أن يكون التدريب على الأمن السيبراني جزءاً أساسياً من تطوير الموظفين ليبقوا على اطلاع بمدى تطور التهديدات الرقمية وأفضل الممارسات للحفاظ على الأمان الرقمي لأنفسهم وللمؤسسة.

كما يساعد نشر سياسة معالجة البيانات على أن يكون الموظفين على دراية بأفضل طرائق التعامل مع المعلومات الحساسة، وتعزيز ثقافة المسؤولية والمساءلة داخل المؤسسة.

المحتوى محمي