Những thách thức của Nghị định 13 đối với doanh nghiệp vừa và nhỏ
Thy Dang
Sự ra đời của Nghị định 13/2023/NĐ-CP có ý nghĩa quan trọng trong sự phát triển công nghệ thông tin nói chung và việc bảo vệ dữ liệu cá nhân nói riêng tại Việt Nam. Song, văn bản này cũng đặt ra những thách thức đáng kể cho các doanh nghiệp, đặc biệt là những doanh nghiệp vừa và nhỏ với nhiều lý do khách quan.
Nghị định 13 áp dụng với tất cả các cơ quan, tổ chức, cá nhân trong và ngoài nước có liên quan trực tiếp và gián tiếp tới việc xử lý dữ liệu cá nhân trong Việt Nam.
Ảnh hưởng của Nghị định 13 đối với nhóm SMEs
Sự ra đời của Nghị định 13 vừa là cơ hội phát triển, nhưng cũng đặt ra nhiều thách thức lớn cho 3 nhóm: công ty start-up, doanh nghiệp vừa và nhỏ và tập đoàn lớn.
Tuy nhiên, trên thực tế, nhóm doanh nghiệp vừa và nhỏ là đối tượng chính chịu sự ảnh hưởng lớn nhất trong quá trình áp dụng quy định của Nghị định 13 vào môi trường làm việc. Những doanh nghiệp start-up, dù nguồn nhân lực và ngân sách hạn hẹp, nhưng được Chính phủ hỗ trợ thông qua việc miễn trừ tuân thủ trong 02 năm đầu tiên thành lập. Các tập đoàn lớn tuy phải điều chỉnh và bổ sung các điều khoản để đảm bảo tuân thủ mà không gây ra sự xáo trộn nội bộ công ty, nhưng lợi thế của họ nằm ở nguồn nhân lực phong phú và ngân sách tài chính mạnh mẽ. Trong khi đó, các doanh nghiệp vừa và nhỏ phải “gánh vác” tất cả những hạn chế của cả hai nhóm còn lại.
Xem giải pháp giúp doanh nghiệp đảm bảo tuân thủ Nghị định 13 của CyStack
Khó khăn trong việc tuân thủ Nghị định 13
Hơn hết, doanh nghiệp vừa và nhỏ là mục tiêu hàng đầu của các tội phạm mạng. Theo CyberPolicy, hơn 43% doanh nghiệp nhỏ đã gặp phải các cuộc tấn công mạng vào năm 2015 và chịu mức thất thoát trung bình lên tới 180.000 USD. [1] Những lý do chính kể đến như:
Chưa có nhiều kiến thức về an ninh mạng
Việc bảo vệ thông tin cá nhân thường không được xem là một ưu tiên quan trọng, mặc dù chúng có thể gây ra hậu quả nghiêm trọng nếu vi phạm. Đánh mất niềm tin từ phía khách hàng, sụt giảm danh tiếng của thương hiệu, tốn nhiều thời gian và tiền bạc để, v.v. Trong trường hợp xấu nhất, doanh nghiệp có thể buộc phải giải thể nếu không thể giải quyết tất cả những lỗ hổng bảo mật cùng các hậu quả kéo theo sau đó.
Nguồn nhân lực ít ỏi
Doanh nghiệp quy mô nhỏ là các tổ chức sở hữu số lượng nhân viên dưới 100 người; và trong khoảng 100 – 999 nhân viên đối với doanh nghiệp quy mô vừa. Nếu không hoạt động trong lĩnh vực bảo mật hay an ninh mạng, rất khó để doanh nghiệp có thể xây dựng một phòng ban đáp ứng đầy đủ và kịp thời cập nhật những thay đổi về sau của Nghị định 13.
Ngân sách tài chính hạn chế
Việc đầu tư cho bảo mật không phải là một trong những ưu tiên hàng đầu của đa phần các doanh nghiệp vừa và nhỏ. Vì vậy, vấn đề này thường bị bỏ qua, kéo theo đó là hạ tầng không được nâng cấp để đáp ứng các thủ thuật đột nhập mới, trở thành mục tiêu tiềm năng để tin tặc khai thác lỗ hổng bảo mật và đánh cắp dữ liệu. Từ đó, doanh nghiệp dễ dàng mắc phải những lỗi vi phạm trong Nghị định 13.
Phụ thuộc vào bên thứ ba
Bởi nguồn nhân lực không dồi dào, nhiều doanh nghiệp vừa và nhỏ vẫn cần tới sự hỗ trợ các dịch vụ của bên thứ ba như công ty truyền thông quảng cáo hay nhà cung cấp dịch vụ môi giới việc làm. Trong quá trình hợp tác, doanh nghiệp buộc phải cung cấp những nguồn dữ liệu có sẵn của mình, phục vụ cho công việc chung của đôi bên. Do đó, nếu không xây dựng một chính sách bảo mật hợp lý cùng mẫu hợp đồng chi tiết, doanh nghiệp rất có thể rơi vào tình trạng vô tình làm rò rỉ dữ liệu khách hàng, dẫn đến những rắc rối pháp lý về sau này.
Với tất cả những khó khăn kể trên, các doanh nghiệp vừa và nhỏ có thể sẽ gặp rất nhiều trở ngại khi tìm kiếm sự hỗ trợ để tuân thủ Nghị định 13 từ các nhà cung cấp bên ngoài. Tuy nhiên, CyStack đặt sự tinh giản và tính cần thiết làm trung tâm, bởi chúng tôi hiểu rằng mỗi doanh nghiệp có những nhu cầu riêng biệt. Vì vậy, chúng tôi mang tới gói 3 giải pháp cơ bản, giúp các doanh nghiệp đảm bảo tuân thủ Nghị định 13 một cách dễ dàng và với mức chi phí tiết kiệm nhất.
Những thách thức của doanh nghiệp trong việc triển khai Nghị định 13
Một số thách thức trong việc triển khai Nghị định 13 về Bảo vệ dữ liệu cá nhân bao gồm:
Xây dựng phương án kỹ thuật đáp ứng yêu cầu về kiểm soát và xử lý dữ liệu vào quy trình hiện tại
Đối với các tập đoàn lớn, họ thường đã có sẵn một hệ thống tuân thủ các quy định liên qua đến bảo vệ dữ liệu, nên việc triển khai thực hiện Nghị định 13 sẽ không gặp quá nhiều khó khăn. Trong khi đó, các doanh nghiệp vừa và nhỏ sẽ cần phải đánh giá và chỉnh sửa lại toàn bộ quy tình hiện tại để đáp ứng các yêu cầu mới về quản lý dữ liệu cá nhân trong một khoảng thời gian ngắn. Điều này không hề dễ dàng, đặc biệt với những yêu cầu về đảm bảo quyền của Chủ thể dữ liệu hay lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Lưu giữ thông tin dữ liệu cá nhân
Nghị định 13 quy định Chủ thể dữ liệu có quyền “xoá hoặc yêu cầu xoá dữ liệu cá nhân của mình” hay “yêu cầu hạn chế xử lý dữ liệu cá nhân của mình”. Một số doanh nghiệp trong các lĩnh vực đặc thù như hàng không, giao hàng, khách sạn cần được cung cấp thông tin cá nhân của khách hàng để hoạt động dịch vụ. Doanh nghiệp sẽ cần điều chỉnh hệ thống xử lý dữ liệu cá nhân rất nhiều để đảm bảo tuân thủ Nghị định 13.
Xem thêm: Bảo mật thông tin khách hàng
Giải pháp dành cho doanh nghiệp
Trong quá trình triển khai Nghị định 13, doanh nghiệp cần đảm bảo đi theo ba nhóm hoạt động: Xây dựng chính sách Bảo vệ dữ liệu, Triển khai hoạt động Bảo vệ dữ liệu và Giám sát và phản ứng trước nguy cơ Xâm phạm dữ liệu.
Trong đó, hoạt động Xây dựng chính sách Bảo vệ dữ liệu cần đảm bảo có các quy trình, quy định về việc thu thập, sử dụng, bảo vệ, và xử lý vi phạm dữ liệu với Chủ thể dữ liệu; hoặc giữa các Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu.
Đối với nhóm Triển khai hoạt động Bảo vệ dữ liệu, doanh nghiệp cần được đánh giá an ninh độc lập để đảm bảo dữ liệu được sử dụng đúng mục đích và không bị xâm phạm. Một số dịch vụ phổ biến có hiệu quả vượt trội và được nhiều doanh nghiệp tin tưởng ví dụ như Kiểm thử xâm nhập hay Chống thất thoát dữ liệu. Bên cạnh đó, việc sử dụng các phần mềm hỗ trợ như quản lý mật khẩu và quản lý thiết bị truy cập cũng sẽ góp phần tăng cường hàng rào bảo mật của doanh nghiệp ở mức tối đa.
Ngay cả khi doanh nghiệp đã trải qua những cuộc đánh giá bảo mật, việc duy trì Giám sát và phản ứng trước nguy cơ Xâm phạm dữ liệu để kịp thời xử lý và khắc phục khi dữ liệu có dấu hiệu bị xâm phạm cũng là điều vô cùng cần thiết. Không chỉ giúp doanh nghiệp ngăn chặn, cảnh báo và điều tra các sự cố an ninh mạng liên tục, hoạt động này còn bao gồm đào tạo kiến thức, kỹ năng cũng như nâng cao nhận thức cho đội ngũ nhân viên nội bộ.
Nếu doanh nghiệp chưa thể xác định được phương hướng rõ ràng, thì các giải pháp bảo mật hỗ trợ tuân thủ Nghị định 13 của CyStack sẽ giúp doanh nghiệp từ những bước đầu tiên, đặt nền móng cho sự phát triển vững chắc và vượt trội.
Kết luận
Trong bối cảnh thế giới kỹ thuật số ngày càng trở nên phức tạp, Nghị định 13 có ý nghĩa quan trọng những cũng là một thách thức lớn đối với tất cả doanh nghiệp. Đặc biệt, đối với các doanh nghiệp vừa và nhỏ, việc tuân thủ và triển khai Nghị định 13 có thể gặp nhiều khó khăn trong thời gian đầu. Tuy nhiên, thông qua sự nhận thức, đào tạo, và đầu tư đúng đắn, doanh nghiệp sẽ có một lớp bảo vệ bảo vệ dữ liệu cá nhân của khách hàng và người lao động vững chãi, thúc đẩy sự phát triển kinh doanh bền vững trong tương lai.
Tài liệu tham khảo
[1] CyberPolicy (2022), What Type of Organizations Do Hackers Target the Most?, https://www.cyberpolicy.com/cybersecurity-education/what-type-of-organizations-do-hackers-target-the-most
