Nhiều doanh nghiệp dừng lại ở NDA rồi cho là đủ, trong khi bên đối tác đang âm thầm xử lý dữ liệu cá nhân mà không có ràng buộc pháp lý nào kiểm soát.
Ba lớp này phục vụ ba việc khác nhau: SSO (đăng nhập một lần) kiểm soát ai được vào hệ thống, NDA (thỏa thuận bảo mật) ràng buộc giữ kín thông tin chiến lược, còn DPA (thỏa thuận xử lý dữ liệu) quy định bên đối tác được làm gì với dữ liệu cá nhân và bảo vệ ra sao. Cả ba nên được chốt ngay từ khâu ký hợp đồng, không để vá sau. Riêng DPA, khi đối tác chạm vào dữ liệu cá nhân của khách hoặc người dùng cuối thì cần pháp chế soát, vì ràng buộc pháp lý vượt ngoài phạm vi thiết kế hay vận hành thương hiệu.
Khi một đối tác bên ngoài, dù là studio thiết kế, agency nội dung hay nhà thầu kỹ thuật, bắt đầu tiếp cận hệ thống và tài liệu của doanh nghiệp, Anh/Chị cần ba lớp kiểm soát riêng biệt. Mỗi lớp bảo vệ một thứ khác nhau. Dùng lẫn lộn hoặc bỏ sót một lớp là để lại lỗ hổng mà chỉ phát hiện được khi sự việc đã xảy ra.
Sinh Vũ phân biệt ba lớp như sau:
Bên xử lý dữ liệu chỉ được xử lý dữ liệu cá nhân theo chỉ dẫn có ghi chép của bên kiểm soát, trừ trường hợp pháp luật yêu cầu khác.
GDPR Điều 28
Sinh Vũ xử lý các yêu cầu bảo mật này ở giai đoạn thiết lập, thường gắn với cổng thương hiệu (brand portal) có phân quyền theo vai. Đây là phần Sinh Vũ không tự quyết thay khách mà luôn đề nghị pháp chế của doanh nghiệp cùng soát trước khi ký.
Lý do đơn giản: ràng buộc về dữ liệu cá nhân có hậu quả pháp lý vượt ngoài phạm vi thiết kế hay vận hành thương hiệu. Làm chặt từ đầu thì phí tổn thấp. Vá sau khi đã có sự cố thì tốn kém và mất uy tín hơn nhiều.
Nguyên tắc Sinh Vũ dùng khi thiết lập phân quyền là quyền tối thiểu: mỗi người chỉ thấy và chạm đúng những gì cần thiết cho vai trò của họ, không hơn. SSO là công cụ thực thi nguyên tắc này ở cấp hệ thống. NDA và DPA là thực thi ở cấp pháp lý. Cả hai cần chạy song song, không cái nào thay được cái kia.
Chủ đề: Yêu cầu bảo mật SSO, NDA và DPA xử lý thế nào. Cẩm nang Sinh Vũ, sinhvu.com
Bấm chọn từng mục Anh / Chị thấy đúng, rồi bấm in hoặc lưu thành PDF để mang theo.
Nếu Anh / Chị đánh dấu phần lớn ở nhóm dấu hiệu trên, đây là lúc nên trao đổi kỹ hơn. Sinh Vũ có thể cùng Anh / Chị soi lại và đề xuất hướng đi.
GDPR Điều 28 (Data Processing Agreement); Termly, What Is a Data Processing Agreement; Hyperstart, DPA Complete Guide; Secure Privacy, DPAs for SaaS; Bynder, What is Digital Asset Management. Kinh nghiệm thực hành Sinh Vũ trong thiết lập cổng thương hiệu có phân quyền.
Có, nếu đối tác của Anh/Chị xử lý dữ liệu cá nhân, ví dụ danh sách khách hàng, thông tin người dùng, dữ liệu hành vi. NDA bảo vệ thông tin mật theo nghĩa rộng nhưng không quy định cụ thể ai được làm gì với dữ liệu cá nhân, dữ liệu được lưu ở đâu, và xóa ra sao khi kết thúc. DPA lấp đúng chỗ trống đó. Hai văn bản bổ sung cho nhau, không thay thế nhau.
Nếu chưa có SSO, Anh/Chị cần quản lý tài khoản riêng cho từng công cụ và theo dõi thủ công khi nhân sự thay đổi. Rủi ro nằm ở chỗ hay quên thu hồi quyền khi người nghỉ việc, đây là lỗ hổng thường gặp nhất. Giải pháp tạm thời là lập danh sách quyền truy cập theo tên người, xem lại định kỳ và thu hồi ngay khi có thay đổi nhân sự. Khi quy mô lớn hơn, đầu tư SSO sẽ tiết kiệm công quản trị đáng kể.
Mẫu trên mạng có thể dùng làm tham chiếu để hiểu cấu trúc, nhưng không nên dùng trực tiếp mà không qua pháp chế soát. Luật áp dụng khác nhau tùy quốc gia và loại dữ liệu, điều khoản về thuê lại thầu phụ và xóa dữ liệu cần khớp với thực tế hợp đồng của Anh/Chị. Sinh Vũ khuyên để pháp chế điều chỉnh mẫu theo đúng luật áp dụng thay vì tự ký một bản chưa được kiểm tra.