مقررات عمومی(اتحادیه اروپا) حفاظت از داده ،طبقه بندی و مدیریت اطلاعات در آزمایشگاه
مشاوره پیاده سازی استانداردISO 17025:2017
COOK BOOK: کوک بوک – سند شماره ۲۲
مقدمهای بر GDPR برای آزمایشگاهها
از میسال ۲۰۱۸، مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) چارچوب قانونی جدیدی را برای مدیریت کلیه دادههای مرتبط با افراد (دادههای شخصی) ایجاد کرده است. این مقررات نه تنها بر کسبوکارهای سنتی، بلکه بر آزمایشگاههای آزمون و کالیبراسیون نیز اعمال میشود، هم در حوزه دادههای منابع انسانی و هم در حوزه دادههای فنی و عملیاتی تولید شده در فرآیندهای آزمایشگاهی.
این سند (کوک بوک شماره ۲۲ یورولاب) به تفسیر عملی این مقررات در محیط آزمایشگاهی میپردازد.
تعاریف کلیدی GDPR
درک اصطلاحات پایهای GDPR برای اجرای صحیح آن ضروری است. بر اساس ماده ۴ مقررات:
- داده شخصی: هر اطلاعاتی که به یک شخص حقیقی شناساییشده یا قابل شناسایی مرتبط باشد.
- پردازش: هر عمل یا مجموعه عملیات انجام شده روی دادههای شخصی (جمعآوری، ثبت، ذخیره، استفاده، پاک کردن و ...).
- کنترلکننده: شخص یا نهادی که اهداف و روشهای پردازش داده را تعیین میکند (معمولاً خود آزمایشگاه).
- پردازنده: شخص یا نهاد ثالثی که داده را به دستور کنترلکننده پردازش میکند.
- رضایت: بیان آزادانه، مشخص، آگاهانه و بدون ابهام رضایت صاحب داده.
- نقض داده: هر حادثه امنیتی که منجر به تخریب، از دستدادن، تغییر یا افشای غیرمجاز دادههای شخصی شود.
دو رکن اصلی اجرای GDPR
۱. اصل اطلاعرسانی شفاف و اخذ رضایت
کنترلکننده (آزمایشگاه) موظف است هدف، مبنای قانونی و مدت زمان پردازش دادهها را به روشنی و معمولاً در قالب یک "اعلامیه حریم خصوصی" به صاحب داده اطلاع دهد. در مواردی که پردازش مبتنی بر رضایت است، این رضایت باید آگاهانه، خاص و قابل اثبات باشد.
نکته عملی برای آزمایشگاه: برای دادههای کارکنان، پیمانکاران و حتی نمونهدهندگان، باید اعلامیههای حریم خصوصی مناسب تهیه و رضایتهای لازم ثبت و بایگانی گردد.
۲. اصل حفاظت و امنیت داده
پس از جمعآوری داده، باید با تدابیر فنی و سازمانی مناسب از آن در برابر دسترسی، افشا، تغییر یا نابودی غیرمجاز محافظت کرد. این اصل مستلزم اجرای مدیریت ریسک امنیت اطلاعات است.
نکته عملی برای آزمایشگاه: ارزیابی خطر برای سیستمهای اطلاعاتی، سوابق فنی (Technical Records)، آرشیوهای کاغذی و ایمیلها ضروری است.
جزئیات اقدامات حفاظتی و امنیتی
بر اساس مواد ۳۲ تا ۳۴ GDPR، اقدامات زیر (متناسب با سطح خطر) باید در نظر گرفته شوند:
🔐 اقدامات فنی پایه
- احراز هویت و کنترل دسترسی: سیستمهای لاگین با نام کاربری و رمز عبور قوی، تعریف سطوح مجوز.
- رمزنگاری: برای دادههای حساس یا هنگام انتقال.
- پشتیبانگیری امن و دورهای: همراه با تست بازیابی.
- نرمافزارهای امنیتی: آنتیویروس، فایروال، بهروزرسانی منظم.
📄 امنیت دادههای غیرالکترونیکی
- آرشیوهای کاغذی: نگهداری در کمدهای قفلدار، کنترل دسترسی فیزیکی.
- مدیریت اسناد: سیاستهای واضح برای طبقهبندی، نگهداری و امحای اسناد حاوی داده شخصی.
⚠️ مدیریت پایان چرخه عمر داده
دادههای شخصی پس از اتمام هدف اولیه پردازش یا انقضای مدت قانونی حفظ، باید حذف یا ناشناسسازی شوند. این شامل دادههای در پشتیبانها نیز میشود.
مثال در آزمایشگاه: دادههای تماس اضطراری کارمند بلافاصله پس از ترک خدمت حذف میشوند، اما نام و صلاحیتهای اپراتور در گزارش آزمایش ممکن است مطابق الزامات accreditation به مدت طولانی (مثلاً ۱۰ سال) حفظ شود.
COOK BOOK: کوک بوک – سند شماره ۲۱
مقدمه
یک آزمایشگاه انواع مختلفی از اطلاعات را مدیریت میکند. الزامات متعددی برای مدیریت این اطلاعات وجود دارد که میتواند منشأ قانونی، استانداردها، مشتری یا اعتباربخشی داشته باشد. برای پاسخگویی به این الزامات، آزمایشگاه باید یک سیستم مدیریت اطلاعات آزمایشگاهی (LIMS) داشته باشد. اما یک مدل طبقهبندی اطلاعات نیز میتواند مدیریت اطلاعات را بسیار کارآمدتر کند.
الزامات و پایه استانداردی
این راهنما و مدل طبقهبندی اطلاعات مبتنی بر مدل آژانس مدیریت بحران سوئد (MSB)، توسعه موسسه تحقیقاتی سوئد (RISE) از آن مدل، و در نهایت مبتنی بر سری استانداردهای ISO/IEC 27000 است. در استاندارد ISO/IEC 17025:2017 نیز الزامات متعددی برای مدیریت اطلاعات وجود دارد (مانند بندهای ۴.۲.۱، ۷.۱۱.۱ و ۷.۱۱.۲). به ویژه بند ۷.۱۱.۳ الزاماتی را برای خود سیستم مدیریت اطلاعات از نظر حفاظت از داده، شرایط محیطی عملیات و نگهداری برای اطمینان از یکپارچگی داده و مدیریت اطلاعات تعیین میکند. طبقهبندی میتواند به تحقق این الزامات کمک کند.
چرخه حیات اطلاعات
اطلاعات یک چرخه حیات دارند. طبقهبندی اطلاعات باید در ابتدا و در ارتباط با خلق اطلاعات انجام شود. با این حال، در طول عمر اطلاعات، طبقهبندی ممکن است به دلیل پردازش، تغییر اطلاعات یا صرفاً گذشت زمان تغییر کند.
خلق اطلاعات
ایجاد یا دریافت اطلاعات جدید
استفاده و پردازش
کاربرد، ویرایش و بهرهبرداری
بایگانی
ذخیرهسازی سازمانیافته
انتخابزدایی
تعیین اطلاعات برای امحا
امحا
نابودی امن اطلاعات
مدل طبقهبندی اطلاعات
طبقهبندی اطلاعات به اطمینان از سطح حفاظت صحیح کمک میکند. این طبقهبندی به عملکرد و اهمیت اطلاعات برای سازمان بستگی دارد. مدل پیشنهادی بر پایه ارزیابی پیامدهای ناشی از تأثیرات ناخواسته بر کیفیت اطلاعات است. این پیامدها از نظر تأثیر بر سازمان سنجیده میشوند.
جنبههای امنیتی مدل
- محرمانگی (Confidentiality): اطلاعات چقدر باز است؟ برای همه قابل دسترسی است یا محرمانه نگه داشته میشود؟
- دقت و صحت (Accuracy): اطلاعات باید قابل اعتماد، صحیح و کامل باشد و نباید به اشتباه، خطای عملکردی یا دستکاری غیرمجاز تغییر یا تخریب شود.
- دسترسپذیری (Accessibility): اطلاعات باید در یک دوره زمانی توافق شده، در دسترس پرسنل مرتبط با دسترسی صحیح قرار گیرد.
- ردیابیپذیری (Traceability): هر فعالیتی که روی اطلاعات انجام میشود باید قابل ردیابی باشد و مشخص باشد که چه کسی آن را انجام داده است.
سطوح پیامد
پیامدهای از دست رفتن محرمانگی، صحت، دسترسپذیری یا ردیابیپذیری برای سازمان، سایر سازمانها یا افراد را میتوان به سطوح زیر طبقهبندی کرد:
| سطح | تعریف |
|---|---|
| بدون آسیب یا آسیب ناچیز | هیچ تأثیر منفی یا تأثیر بسیار جزئی |
| آمت متوسط | آسیب قابل جبران با هزینه معقول |
| آمت قابل توجه | آسیب جدی به عملیات یا اعتبار |
| آمت شدید | آسیب گسترده با پیامدهای قانونی یا مالی عمده |
| آمت فاجعهبار | تهدید وجودی برای سازمان |
بر اساس این سطوح، هر یک از جنبههای امنیتی میتوانند در سطوح مختلف (مثلاً از ۰ تا ۴) درجهبندی شوند. برای مثال برای محرمانگی:
- سطح ۰: اطلاعات باز (عمومی)
- سطح ۱: اطلاعات داخلی (درون سازمانی)
- سطح ۲: اطلاعات محدود داخلی
- سطح ۳: اطلاعات محرمانه سطح ۴: اطلاعات محرمانه واجد شرایط
طبقهبندی و مدیریت عملی
ابزارهای مختلفی (مانند صفحهگسترده) برای محاسبه طبقهبندی نهایی میتوانند استفاده شوند. از آنجا که در نظر گرفتن تمام جنبهها پیچیده است، اغلب تمرکز بر یک یا دو جنبه (معمولاً محرمانگی) صورت میگیرد.
لازم است سیستمهایی که اطلاعات طبقهبندی شده در آنها مدیریت میشوند (مانند سیستمهای فناوری اطلاعات، آرشیوها، محلها) نیز طبقهبندی شوند. پس از طبقهبندی اطلاعات، سازمان میتواند سطح حفاظت مورد نیاز و چگونگی مدیریت هر نوع اطلاعات را تعیین کند (مثلاً مدیریت اطلاعات «محرمانه» در یک سیستم اطلاعاتی باز مجاز نیست).
سطح حفاظت مورد نیاز
ارزیابی کلی جنبههای امنیتی و پیامدها به الزامات سطح حفاظت برای اطلاعات و سیستمهای مربوطه منجر میشود. این الزامات شامل موارد زیر است:
- مدت نگهداری (Retention Time)
- رسانه بایگانی (Media for Archiving)
- مکانیابی آرشیو (Localisation of the Archive)
- سطح پشتیبانی و خدمات (Support and Service Level)
مثال عملی (برای جنبه محرمانگی)
این ارزیابی باید برای هر نوع اطلاعات (یا سیستم اطلاعاتی) و برای هر مرحله از چرخه حیات آن انجام شود:
روش کار:
- پیامد افشای غیرمجاز اطلاعات در هر مرحله از چرخه حیات را ارزیابی کنید.
- با استفاده از یک چارچوب تصمیمگیری (مانند شکل ۲ در سند اصلی)، سطح محرمانگی (۰ تا ۴) را برای هر مرحله تعیین کنید.
- نتایج را در یک جدول مشابه جدول ۱ ثبت کنید (انگیزه و توضیحات را اضافه کنید).
- معمولاً بالاترین سطح در طول چرخه حیات به عنوان سطح نهایی برای آن نوع اطلاعات در نظر گرفته میشود.
- بر اساس سطح نهایی، الزامات حفاظتی (مانند دسترسی، ذخیرهسازی، انتقال) را تعیین کنید.
مطالب زیر را حتما مطالعه کنید
محاسبه شاخص های OEE با MINITAB 2026
تعیین فواصل کالیبراسیون در ایزو 17025 OIML D10:2022
مثالهای محاسبه عدم قطعیت در آزمایشگاه الکتریکال ISO 17025
محاسبه عدم قطعیت تیتراسیون.تعیین اسید لینولئیک.تعیین عدد اسید در روغن نخل
محاسبه عدم قطعیت آزمون استحکام کششی فلزات
دیدگاهتان را بنویسید