Как да защитим поверителната информация на служителите: правила и решения

Вашата компания събира много чувствителна информация за служителите, включително социалноосигурителни номера, медицински досиета, дати на раждане и ежедневна дейност на работните компютри. Защитата на тези данни не е само въпрос на етика и доверие; нарушаването на данните ще означава значителни правни и финансови последици.

И така, как да осигурите поверителната информация на служителите? Трябва да започнете, като идентифицирате пълния обхват на чувствителните данни, от очевидните, като лични идентификационни данни, до често пренебрегваните, като например анализите за наблюдение на служителите. След това изграждате вашата система за сигурност. Това означава налагане на строги ограничения за достъп, криптиране на данни и трансформиране на вашата работна сила от потенциална уязвимост във вашата първа линия на защита чрез последователно обучение.

Пътят към стабилна защита на данните е систематичен. Нека да открием основните категории информация, за които носите отговорност, правната рамка, която изисква защита на тези данни, и практичните, действащи решения, които ще ви помогнат да ги защитите.

Преди да изградите защита, първо трябва да картографирате територията. Какво точно е поверителна информация за служителите? Обикновено мислим за това като за лични данни, които могат да бъдат идентифицирани, например социалноосигурителен номер или данни за банкова сметка. На практика обаче чувствителната информация далеч надхвърля тези ограничения.

Мислете отвъд досието на персонала. Вие създавате чувствителни данни по време на цялата работа на лицето, от обаждането за набиране на персонал до последното интервю за напускане. Тези данни могат да бъдат категоризирани в:

Лична информация (PII)

Това са едни от най-чувствителните данни, които могат да идентифицират дадено лице. Ако бъде компрометиран, може да доведе до кражба на самоличност и други сериозни последствия. Това е списъкът със задължителни защити, които не подлежат на обсъждане:

• Социалноосигурителни номера
• Домашен адрес и лична информация за контакт
• Дата на раждане
• Данни за банкова сметка за заплати
• Семейно положение и информация за зависими лица

Трудови досиета

На пръв поглед тези записи може да не изглеждат толкова значими, но тяхната поверителност е ключова за поддържането на коректност и доверие. Трудовите досиета са:

• Молби за работа и автобиографии
• Бележки от интервюта
• Трудови договори
• Прегледи на изпълнението, дисциплинарни доклади и официални предупреждения.
• Записи за прекратяване и писма за напускане.

Финансови данни

Може би най-чувствителната тема за повечето служители, тази информация трябва да се пази изключително внимателно, за да се предотвратят вътрешни конфликти и външно насочване.

• Заплата
• Подробности за заплатите
• Бонуси
• Стимулиращо заплащане
• Формуляри за записване на обезщетения (здравни, стоматологични, животозастрахователни)
• Подробности за сметката на пенсионния план и вноски

Здравна и медицинска информация

Тази категория се управлява от мрежа от строги разпоредби, които може да варират в различните страни и включва:

• Оставете заверки и медицинска документация
• Записи за разумни приспособления
• Файлове за искове за обезщетения на работници
• Резултати от тестове за наркотици и доклади от физически преглед
• Представени лекарски бележки за отсъствия

Важна най-добра практика, която често се изисква от закона, е тези записи да се съхраняват в отделно, защитено медицинско досие, напълно отделно от общото досие на персонала.

Записи от разследване

Разследванията на тормоз, дискриминация или друго неправомерно поведение създават изключително чувствителни данни. Ако бъдат компрометирани, тези данни могат да съсипят не само разследването, но и културата на работното място и да доведат до правни последици. Записите от разследването са:

• Писмени декларации за оплаквания
• Бележки и резюмета на разпита на свидетел
• Събрани доказателства (имейли, доклади)
• Окончателни доклади от разследването и заключения

Данни за наблюдение на служителите

Данните, събрани от софтуера за мониторинг, са подробен цифров профил на вашия служител. Отнасяйте се към тези данни със същата сериозност, както към лично досие.

• Регистри на натиснати клавиши и история на използването на уебсайта
• Снимки на екрана и нива на активност
• GPS данни за местоположение от фирмени превозни средства или устройства
• Имейл и метаданни за комуникация

Много от горните типове поверителна информация за служителите са защитени от специфични закони или разпоредби. Въпреки това, обхватът на защитата варира от юрисдикция до юрисдикция и от държава до държава. В Съединените щати, например, работодателите трябва да спазват Закона за американците с увреждания (ADA), който изисква медицинската информация на служителите да се пази поверителна и да се съхранява отделно от общите лични досиета.

Други забележителни разпоредби са:

• Законът за семейния и медицински отпуск (FMLA). Съгласно него медицинските удостоверения и подробностите, свързани с отпуска на служител, трябва да се пазят в тайна.
• Законът за недискриминация на генетичната информация (GINA). Той защитава генетичната информация и семейната медицинска история на служителите.
• Законът за справедливо кредитно отчитане (FCRA). Когато работодателите извършват проверки на миналото за решения за наемане на работа, този регламент им налага строги задължения.

Освен това някои държави са приели всеобхватни закони за поверителност. Един пример е Калифорнийският закон за защита на личните данни на потребителите (CCPA/CPRA), който предоставя допълнителни права и защита на данните на служителите в тези региони.

В Европа Общият регламент за защита на данните (GDPR) е основният регламент за поверителност. Всяка организация в ЕС, която обработва лични данни (включително поверителни данни на служители), трябва да следва няколко основни принципа: законово основание за обработка, минимизиране на данните, защита на данните и зачитане на правата на хората.

Ако вашата работна сила обхваща множество юрисдикции, трябва да имате предвид разпоредбите за поверителност във всяка от тези юрисдикции. Универсалният подход е рецепта за провал на съответствието. Консултацията с правен експерт, който е специализиран в законите за заетостта и поверителността на данните на всяка държава, в която работите, е мъдър избор, който ще ви помогне да избегнете потенциални правни проблеми.

И така, как защитавате поверителните данни на служителите? Ние предлагаме пет стълба, върху които можете да изградите солидна система за защита на данните.

Защитата на данните започва с ангажимент. Цялостната политика за сигурност на данните служи като конституция на вашата организация за обработка на информация.

Какво да направите:

• Създайте ясен, изчерпателен документ. Той трябва точно да дефинира поверителна информация, да очертае ясни процедури за обработка и да очертае реалните последици от нарушения.
• Сигурни подписани споразумения. Това ще направи политиката за обработка на данни персонална. Подписването на политиката ще трансформира общо правило в личен ангажимент на всеки служител, за който той ще носи отговорност.

База данни без контрол на достъпа е като къща с всяка отворена врата. В една солидна система за защита на данните никой не трябва да има достъп до данни, освен ако работата му не го изисква.

Какво да направите:

• Внедрете ролеви контроли за достъп. Създайте подакаунти във вашите системи за човешки ресурси, софтуер за наблюдение на служители и други системи за съхранение на данни, така че мениджърите и персоналът по човешки ресурси да могат да виждат само информацията, от която абсолютно се нуждаят. Маркетинговият екип няма работа в папката за заплати, точно както счетоводството не се нуждае от пътната карта за развитие на продукта.
• Не пренебрегвайте физическия свят. За всеки заключен цифров файл трябва да има съответен заключен шкаф за архивиране. Контролни клавиши педантично. Най-сложното криптиране е безполезно, ако някой може просто да си тръгне с папка с хартия.
• Съхранявайте регистрационни файлове за достъп до системи за съхранение на данни. Знаейки кой какво е и кога е имал достъп, създава безценна одитна пътека.

Винаги трябва да защитавате поверителната информация на служителите, независимо от това как се съхранява и използва, дали е на сървър, изпратена по имейл или се намира в папка на бюрото на мениджъра.

Какво да направите:

• Шифровайте всички чувствителни данни. Третирайте шифроването като състояние по подразбиране за цялата поверителна информация на служителите, както в покой на вашите устройства, така и в транзит през вашата мрежа.
• Използвайте многофакторно удостоверяване. Паролите вече не са пълна защита сами по себе си. Многофакторното удостоверяване изисква второ доказателство за самоличност и добавя допълнителен слой на сигурност. Това е безплатен и ефективен начин за намаляване на потенциалните рискове.
• Налагайте политика за чисто бюро. Колкото и изненадващо да изглежда, претрупаното работно пространство или отключен компютър представляват отлична възможност за пробив в данните. Едно просто правило - защита на всички документи и излизане от системата, преди да си тръгнете - изгражда вашата първа линия на защита и може значително да намали заплахите за сигурността.
• Начертайте твърда линия на личните устройства. Удобството да използвате личен телефон или лаптоп за работа е троянски кон. Забранете го. Не можете да контролирате какви потенциално несигурни приложения служителят инсталира на устройството или на кого го заема.

Технологията може да направи много неща, но не може да замени човешката преценка. Вашият екип е или най-силният ви щит, или най-слабото звено. Обучението е това, което прави разликата.

Какво да направите:

• Направете обучението разказ, а не лекция. Изхвърлете плъзгачите с куршуми. Използвайте истински истории, за да научите служителите как да забележат умен фишинг имейл или да устоят на манипулативно обаждане за социално инженерство. Свържете точките между техните действия и безопасността на компанията.
• Повторете, подсилете, напомнете. Обучението по сигурност не трябва да бъде еднократно събитие. Това трябва да бъде серия от редовни сесии (например тримесечни или годишни). Бдителността избледнява без подкрепление.
• Демократизирайте отговорността. Определете защитата на данните като колективна мисия, споделено задължение и тогава ще успеете.

Данните имат продължителност на живота. Пренебрегването на последния му етап - сигурно изхвърляне - е като внимателно да заключите документ в трезор и след това да изхвърлите ключа през прозореца.

Какво да направите:

• Унищожавайте хартия с цел. Не хвърляйте документи просто в пункта за рециклиране. Нарежете ги на кръст и ги накъсайте. Направете кофите за унищожаване толкова често срещани, колкото кофите за боклук в зоните, където се обработват чувствителни документи.
• Delete data for good. Dragging a file to your computer's trash bin does not erase it. It just hides it. Use digital "shredding" software that overwrites the information, making it truly unrecoverable.
• Овладейте изкуството на редактиране. Ако документът, който се каните да споделите, включва поверителна информация за служител, която не трябва да се вижда, редактирайте тази информация. За физически копия можете да използвате черен маркер, за електронни документи - специализирани инструменти за редактиране, базирани на AI.

Заплахите непрекъснато се развиват. Въпреки всичките ви усилия ще се случват инциденти. Стабилната стратегия за защита на данните може да сведе до минимум тези инциденти и да предложи план за действие в случай на нарушение.

Първо, проверявайте редовно вашите контроли. Правило, което не се прилага, бързо се превръща в правило, което няма значение. Последователността в отчетността е това, което разделя политическия документ от оперативната реалност.

Second, create a breach response plan. It is not a matter of if the breach will happen; it is a matter of when. A breach response plan is a clear set of actionable steps that will make employees act in the right moment instead of panicking.

Вашият план трябва да обхваща как да ограничите щетите, да оцените въздействието, да изпълните задълженията за правно уведомяване и, което е изключително важно, да коригирате уязвимостта. Когато всяка секунда е от значение, този план е вашият компас.

Защитата на поверителна информация за служителите е постоянен ангажимент. Това изисква прилагане на цялостни мерки за сигурност за цялата чувствителна информация, включително тази извън обичайните лични данни, и създаване на стабилен план за реагиране при нарушаване. Правейки го, вие не просто проверявате поле за съответствие - вие създавате по-безопасно и по-сигурно работно място за всички.