Det er sikkert at sige, at du altid lærer i din rolle som databaseadministrator. Der er helt sikkert meget på din plade, når det kommer til SQL-serverovervågning, men nu har du også den generelle databeskyttelsesforordning (GDPR) at bekymre dig om.
At lære alt, hvad du kan om overholdelse af GDPR, er afgørende for din virksomhed og dens databaser. GDPR er spækket med juridiske ord og gør én ting klart:at du som DBA er ansvarlig for adgangen til og beskyttelsen af enhver information, uanset om det er on-premise i dit eget datacenter eller i dine cloud-tjenester. Lad os se nærmere.
Hvad er GDPR?
GDPR er en europæisk privatlivslov, der trådte i kraft den 25. maj 2018. Dens grundlæggende formål er at beskytte enkeltpersoners privatlivsrettigheder, samtidig med at der etableres globale privatlivskrav med hensyn til, hvordan personlige data administreres og beskyttes.
Selvom det er en lov, der har til formål at beskytte borgere i EU, skal enhver virksomhed, der har en EU-borger i deres database, overholde GDPR-kravene. Personlige data omfatter fødselsdatoer, kreditkortoplysninger, e-mailadresser, IP-adresser, fotografier, nationale identifikationsnumre og mere.
Som DBA skal du ikke kun sikre, at persondata er beskyttet mod ulovlig adgang, men også at en bruger kan få adgang til og få en kopi af sine persondata.
Manglende overholdelse af GDPR-reglerne har store konsekvenser; Organisationer får bøder på op til 4 % af deres globale omsætning eller op til 20 millioner pund, hvilket gør det afgørende for virksomheder at skride til handling med det samme og være i fuld overensstemmelse, når GDPR-kravene er i fuld kraft.
Så hvad er det næste for SQL-serverovervågning?
Nu hvor fristen den 25. maj er udløbet, har du forhåbentlig gennemført en risikovurdering. For eksempel, involverer nogen af de oplysninger, du gemmer, virksomheder og enkeltpersoner i EU, eller vil det i fremtiden?
Hvis svaret er ja, så skal du overveje en række spørgsmål, herunder hvor du opbevarer personlige oplysninger, hvad oplysningerne bruges til, om du gør det klart for brugerne, at du gemmer oplysningerne, hvor længe du opbevarer dem , hvem der har adgang til det osv.
Ideelt set kunne du simpelthen søge i alle data på din SQL-server for at lede efter kolonnenavne såsom "SSN" eller "Fødselsdato", men kolonner er ofte mærket med obskure, kryptiske navne. Det betyder, at du muligvis skal bruge tid på manuelt at undersøge hver enkelt tabel. Det kan også være svært at afgøre, hvem der har adgang til data.
Hvis du gerne vil have en generel vurdering af din organisations GDPR-beredskab, kan denne undersøgelse hjælpe.
Sigle gennem (bjerget af) information
Desværre kræver det timers læsning og research at lære alt, hvad der er at vide om overholdelse af GDPR. Der er 99 artikler og 11 kapitler på GDPR-informationswebstedet, som det kan tage dig dage at undersøge i sin helhed.
Når det er sagt, er her nogle artikler, der måske mest vedrører dig som DBA vedrørende SQL-serverovervågning:
Artikel 25
Artikel 25 omhandler databeskyttelse ved design og standard, dvs. at kontrollere, hvem der har adgang til personoplysninger, og hvordan oplysningerne opbevares, behandles og tilgås.
- Databeskyttelse ved design betyder, at passende organisatoriske og tekniske foranstaltninger til at sikre persondatasikkerhed og privatliv er indlejret i hele livscyklussen af en organisations produkter, tjenester, applikationer og forretningsmæssige og tekniske procedurer. Tekniske foranstaltninger kan omfatte, men er ikke begrænset til, pseudonymisering og dataminimering.
- Databeskyttelse betyder som standard, at (a) kun nødvendige personlige data indsamles, opbevares eller behandles og (b) personlige data ikke er tilgængelige for et ubestemt antal personer.
Artikel 25 specificerer også, at en godkendt certificering, som specificeret i artikel 42, kan bruges til at demonstrere overholdelse af privacy by design og privacy by default-krav.
Artikel 30
Denne artikel omhandler korrekt revision af alle optegnelser og personlige data. Kravene til artikel 30 vil sandsynligvis gælde for de fleste virksomheder på grund af artiklens brede anvendelighed. Virksomheder, der forbereder sig på at overholde artikel 30, bør se på, hvordan data bevæger sig gennem hver af deres forretningsprocesser, ikke kun hvor dataene befinder sig. Med andre ord, "følg dataene."
Artikel 30 kræver, at virksomheder udarbejder "optegnelser over behandlingsaktiviteter", som vil give lovgivere mulighed for at se, at virksomheder overholder GDPR.
Artikel 32
Artikel 32 dækker kravet om, at data er krypteret. Det kræver, at DBA'er implementerer tekniske og organisatoriske foranstaltninger, der sikrer et datasikkerhedsniveau, der er passende for det risikoniveau, som behandling af personoplysninger udgør.
Datasikkerhedsforanstaltninger bør som minimum tillade:
- Pseudonymisering eller kryptering af personlige data.
- Opretholdelse af løbende fortrolighed, integritet, tilgængelighed, adgang og modstandsdygtighed for behandlingssystemer og -tjenester.
- Gendannelse af tilgængeligheden af og adgangen til personlige data i tilfælde af et fysisk eller teknisk sikkerhedsbrud.
- Test og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
Artikel 35
Denne artikel skitserer den korrekte dokumentation af alle databeskyttelsesmetoder og deres behov og virkning. Alle organisationer er forpligtet til at analysere deres risiko og demonstrere deres overholdelse af GDPR.
Det foreskriver, at en databeskyttelsesindvirkningsvurdering (DPIA) skal udføres, hvis behandlingen af data sandsynligvis vil skabe en høj risiko. En DPIA er en øvelse, der sætter en virksomhed i stand til at undersøge den risiko, der kan være forbundet med behandlingen af data og en måde at gennemgå deres procedurer med GDPR-overholdelse i tankerne.
Artiklen opfordrer også tilsynsmyndighederne til at oprette og offentliggøre deres egne lister over databehandlingsaktiviteter, der vil kræve DPIA'er.
At blive klar til overholdelse af GDPR er ingen nem opgave. Hvis du ikke allerede har gjort det, så drag fordel af alle tilgængelige oplysninger og forskning til at hjælpe dig med at blive kompatibel så hurtigt som muligt.
Tag yderligere skridt for at forbedre din SQL Server-overvågning. Begynd at fremtidssikre dine databaser med vores gratis guide.