Ta zmiana podejścia co do postrzegania danych i szereg przepisów prawa wymaga zmiany nastawienia do danych również przez przedsiębiorców. Wiele firm z wieloletnim stażem na rynku zbierało dane na zapas. Licząc, że w przyszłości mogą przynieść zyski. Nowopowstające firmy lub te z niewielkim stażem mają odmienne podejście, zbierają dane w jak najmniejszym zakresie, niezbędnym do prowadzenia działalności. Dlatego firmy, które zbierały dane na zapas muszą teraz podjąć działania by zminimalizować posiadane dane. 

Niedawno wytyczne w tym zakresie wydał brytyjski organ ochrony danych (ICO). W swoich wytycznych ICO wskazuje gdzie anonimizacja i pseumonomizacja może zminimalizować ryzyko. Anonimizacja to proces, w wyniku którego danych nie można ponownie przypisać do osoby. Pseudominizacja to technika, która zastępuje lub usuwa informacje identyfikujące osobę, np. poprzez zastąpienia imienia i nazwiska numerem referencyjnym. Anonimizacja to bezpieczniejsza technika w porównaniu do pseudominizacji, jednak pseudominizacja jest bardziej użyteczna. 

Aby proces anonimizacji lub pseudominizacji był skuteczny musi dotyczyć danych zlokalizowanych w całej organizacji, a nie tylko w bazie źródłowej. Zrozumienie przez przedsiębiorców w jaki sposób dane są kopiowane, przekształcane i wykorzystywane w całej organizacji może okazać się problematyczne. Z łatwością przedsiębiorcy kontrolują źródłowy zapis danych, ale nastręcza im problemów zarządzanie kopiami i pochodnymi tych danych. 

Z jednej strony jest konieczne minimalizowanie posiadanych w firmie danych z drugiej wraz z pojawieniem się pandemii COVID˗19 ilość gromadzonych danych się zwiększyła. Dochodzi do tego również kwestia pracy zdalnej, która spowodowała rozproszenie danych. 

Jednak te przeciwności, nie powinny zniechęcić do działań w celu zminimalizowania posiadanych danych. Jeden z głośniejszych w ostatnim czasie cyberataków na Colonial Pipeline, spowodował niedobory ropy w Stanach Zjednoczonych, pokazał jak drogie może być gromadzenie nadmiernej ilości danych bez zwracania uwagi na ich ochronę. Dlatego, warto zmienić swoje podejście na takie, w których posiadamy jedynie niewielki zakres danych. Jeśli posiadamy niewiele danych, a dojdzie do ataku na nasze bazy, straty będą mniejsze. 

Co więcej, koszty przechowywania danych są obecnie znaczne. Jeszcze niedawno takie koszty były minimalne, stąd tak łatwo wielu firmom przychodziło zbieranie danych na zapas. Jednak konieczność zapewnienia odpowiedniej ochrony danym spowodowało wzrost kosztów ich utrzymania. 

Posiadanie licznych danych niesie ze sobą trudności w zapanowaniu nad nimi. Dodatkowo, problematyczne może okazać się znalezienie i usunięcie danych bez zepsucia innych elementów. Warto zwrócić uwagę na sposób realizacji prawa dostępu do danych. Może ono odzwierciedlać podejście organizacji do danych. Firmy, które nie gromadziły danych w nadmiernym zakresie mogą z łatwością dostarczyć dane, o które prosi osoba, której dane dotyczą. Te, które zbierały dane na zapasa mogą mieć z tym problem. 

Każda organizacja musi zmierzyć się z tym problemem. Firmy powinny zaprzestać zbierania danych na zapas, jeśli dalej to robią, a dane, które zostały wcześniej zebrane na zapas powinny zostać usunięte. Jeśli firmy nie zmienią podejścia same, zostanie im to narzucone. Co może się wiązać z dodatkowymi karami administracyjnymi, które może nałożyć organ nadzorczy. 

Źródło: https://cybernews.com/privacy/privacy-expert-most-enterprises-dont-know-where-their-sensitive-data-is/