GDPR และความปลอดภัยทางไซเบอร์: หลักการทำงานของการคุ้มครองข้อมูลในเชิงปฏิบัติ

องค์กรหลายแห่งยังคงมอง GDPR เป็นเพียงข้อกำหนดทางกฎหมายหรือการปฏิบัติตามกฎระเบียบเท่านั้น แต่ในความเป็นจริงแล้ว GDPR ได้พัฒนาไปเป็นหนึ่งในกรอบการรักษาความปลอดภัยทางไซเบอร์ที่มีอิทธิพลมากที่สุดในเชิงปฏิบัติ ปัจจุบัน เทคโนโลยีนี้มีอิทธิพลต่อวิธีการที่ธุรกิจต่างๆ ปกป้องข้อมูลส่วนบุคคล จัดการความเสี่ยงทางไซเบอร์ และสร้างความยืดหยุ่นในการดำเนินงานทั่วทั้งระบบเทคโนโลยีของตน

ในปัจจุบัน องค์กรต่างๆ ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่ซับซ้อนมากขึ้นอย่างต่อเนื่อง ซึ่งรวมถึงแรนซัมแวร์ ฟิชชิ่ง การขโมยข้อมูลประจำตัว ภัยคุกคามจากบุคคลภายใน และการโจมตีห่วงโซ่อุปทาน เนื่องจากหน่วยงานกำกับดูแลเพิ่มกิจกรรมการบังคับใช้กฎหมายในภาคส่วนต่างๆ รวมถึงการเงิน การดูแลสุขภาพ การค้าปลีก การผลิต และพลังงาน ธุรกิจต่างๆ จึงอยู่ภายใต้แรงกดดันที่เพิ่มขึ้นในการแสดงให้เห็นถึงการกำกับดูแลด้านความปลอดภัยทางไซเบอร์และแนวปฏิบัติด้านการปกป้องข้อมูลที่แข็งแกร่ง

GDPR กำหนดให้องค์กรต้องนำมาตรการทางเทคนิคและองค์กรที่เหมาะสมมาใช้เพื่อปกป้องข้อมูลส่วนบุคคล ในเชิงปฏิบัติ มาตรการเหล่านี้รวมถึงการเข้ารหัส การควบคุมการเข้าถึง การตรวจสอบ การฟื้นตัว การทดสอบ การจัดเก็บข้อมูลอย่างปลอดภัย การวางแผนรับมือเหตุการณ์ และการประเมินความเสี่ยงอย่างต่อเนื่อง มาตรการเหล่านี้ไม่ได้ถือเป็นแนวทางปฏิบัติที่ดีที่สุดด้านไอทีที่เป็นทางเลือกอีกต่อไปแล้ว แต่เป็นข้อกำหนดทางกฎหมายที่บังคับใช้

บทความนี้อธิบายถึงข้อกำหนดด้านความปลอดภัยที่สำคัญของ GDPR:

• GDPR มีความหมายอย่างไรต่อทีมรักษาความปลอดภัยทางไซเบอร์
• มาตรา 32 ส่งผลกระทบต่อการปฏิบัติงานด้านความปลอดภัยในชีวิตประจำวันอย่างไร
• วิธีที่ธุรกิจสามารถเสริมสร้างความยืดหยุ่นทางไซเบอร์และลดความเสี่ยงด้านกฎระเบียบ

GDPR คืออะไร และครอบคลุมอะไรบ้าง

ระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลทั่วไป (GDPR) คือกรอบการทำงานของสหภาพยุโรปในการคุ้มครองข้อมูลส่วนบุคคล กฎนี้ใช้บังคับกับองค์กรใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป (EU) หรือสหราชอาณาจักร (UK) โดยไม่คำนึงถึงว่าองค์กรนั้นตั้งอยู่ที่ใด และได้ถูกรวมเข้าไว้ในกฎหมายของสหราชอาณาจักรในฐานะ GDPR ของสหราชอาณาจักร

ข้อมูลส่วนบุคคลนั้นครอบคลุมมากกว่าแค่ชื่อและที่อยู่อีเมล ภายใต้มาตรา 4 แห่ง GDPR ข้อมูลต่างๆ เช่น ที่อยู่ IP, ตัวระบุอุปกรณ์, บันทึกข้อมูลพนักงานฝ่ายทรัพยากรบุคคล, ข้อมูลทางการเงิน, ข้อมูลสุขภาพ, ข้อมูลตำแหน่งที่ตั้ง, พฤติกรรมการท่องเว็บ และข้อมูลชีวมาตร อาจถือเป็นข้อมูลส่วนบุคคลได้ หากสามารถเชื่อมโยงกับบุคคลที่ระบุตัวตนได้

ข้อมูลบางประเภทถือว่ามีความอ่อนไหวเป็นพิเศษและต้องได้รับการคุ้มครองอย่างเข้มงวดมากขึ้น (มาตรา 9) ซึ่งรวมถึงข้อมูลด้านสุขภาพ ข้อมูลชีวมาตรที่ใช้ในการระบุตัวตน ความคิดเห็นทางการเมืองและศาสนา และข้อมูลส่วนบุคคลที่ละเอียดอ่อนรูปแบบอื่นๆ GDPR กำหนดวิธีการเก็บรวบรวม จัดเก็บ ใช้ แบ่งปัน และลบข้อมูลส่วนบุคคล นอกจากนี้ กฎหมายยังให้สิทธิเฉพาะแก่บุคคลในการควบคุมข้อมูลของตน ซึ่งรวมถึงสิทธิในการเข้าถึง แก้ไข และลบข้อมูลของตน (ซึ่งมักเรียกว่า “สิทธิที่จะถูกลืม”) ตลอดจนสิทธิเพิ่มเติม เช่น สิทธิในการโอนย้ายข้อมูล และสิทธิในการจำกัดการประมวลผลข้อมูล

สำหรับทีม IT และทีมรักษาความปลอดภัยทางไซเบอร์ GDPR มีความสำคัญอย่างยิ่ง เนื่องจากว่ามันเชื่อมโยงการปกป้องข้อมูลเข้ากับความปลอดภัยในการดำเนินงานโดยตรง องค์กรต้องสามารถแสดงให้เห็นว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองจาก:

• การเข้าถึงโดยไม่ได้รับอนุญาต
• การเปิดเผยข้อมูลโดยไม่ได้ตั้งใจ
• การโจรกรรม
• การทุจริต
• การทำลาย
• การสูญเสียความพร้อมใช้งาน

สิ่งนี้ได้เปลี่ยนประเด็นด้านความปลอดภัยทางไซเบอร์จากปัญหาทางเทคนิคล้วนๆ ไปสู่ความเสี่ยงทางธุรกิจในระดับคณะกรรมการบริหาร ซึ่งส่วนหนึ่งเกิดจากศักยภาพในการถูกปรับทางกฎหมายจำนวนมากและความเสียหายต่อชื่อเสียง

GDPR และกฎระเบียบด้านความปลอดภัยทางไซเบอร์อื่นๆ ของสหภาพยุโรป

GDPR ไม่ได้มาแทนที่กฎระเบียบด้านความปลอดภัยทางไซเบอร์เฉพาะด้าน แต่เป็นส่วนหนึ่งของกรอบกฎระเบียบที่กว้างขึ้น กรอบการทำงานอื่นๆ เช่น NIS2 Directive และกฎหมายว่าด้วยความยืดหยุ่นในการดำเนินงานด้านดิจิทัล (Digital Operational Resilience Act: DORA) กล่าวถึงแง่มุมต่างๆ ของความเสี่ยงทางไซเบอร์ ซึ่งรวมถึงการปกป้องบริการที่สำคัญและความยืดหยุ่นในการดำเนินงานภายในภาคส่วนเฉพาะต่างๆ

โดยรวมแล้ว กฎระเบียบเหล่านี้ทำงานในระดับที่แตกต่างกัน โดย GDPR มุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคล ในขณะที่กฎระเบียบอื่นๆ มุ่งเป้าไปที่ความยืดหยุ่นของระบบ ความปลอดภัยของโครงสร้างพื้นฐาน และความเสี่ยงเฉพาะภาคส่วน สำหรับองค์กรหลายแห่ง สิ่งนี้หมายถึงการปรับการปกป้องข้อมูลให้สอดคล้องกับความปลอดภัยทางไซเบอร์และข้อกำหนดด้านกฎระเบียบที่กว้างขึ้น แทนที่จะมองว่าการปฏิบัติตามกฎระเบียบเป็นกิจกรรมที่แยกต่างหาก

มาตรา 32 แห่ง GDPR: คำอธิบายเกี่ยวกับความปลอดภัยของการประมวลผล

มาตรา 32 เป็นข้อกำหนดหลักด้านความปลอดภัยทางไซเบอร์ภายใน GDPR ข้อกำหนดนี้บังคับให้องค์กรต้องนำ “มาตรการทางเทคนิคและองค์กรที่เหมาะสม” มาใช้เพื่อให้มั่นใจได้ถึงระดับความปลอดภัยที่เหมาะสมกับความเสี่ยง

โดยหลักแล้ว มาตรา 32 กำหนดแนวทางการรักษาความปลอดภัยบนพื้นฐานของการประเมินความเสี่ยง แทนที่จะกำหนดชุดควบคุมที่ตายตัว แนวทางนี้กำหนดให้องค์กรต้องประเมินระดับความละเอียดอ่อนของข้อมูลที่ตนประมวลผล ขอบเขตการดำเนินงาน และผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลต่อบุคคล ดังนั้น มาตรการรักษาความปลอดภัยจึงต้องได้รับการออกแบบและบำรุงรักษาให้สอดคล้องกับความเสี่ยงเหล่านั้น

นั่นหมายความว่า GDPR ไม่ได้กำหนดรายการตรวจสอบการปฏิบัติตามที่ตายตัว ผู้ให้บริการด้านการดูแลสุขภาพระดับโลกที่จัดการข้อมูลผู้ป่วยที่มีความละเอียดอ่อน จะต้องมีมาตรการควบคุมที่เข้มงวดกว่าองค์กรขนาดเล็กที่ประมวลผลข้อมูลติดต่อพื้นฐาน ทั้งนี้สะท้อนให้เห็นถึงทั้งลักษณะของข้อมูลและทั้งผลกระทบที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูล

“มาตรการทางเทคนิคและองค์กรที่เหมาะสม” มีความหมายอย่างไร

ในเชิงปฏิบัติ มาตรการที่ “เหมาะสม” นั้นรวมถึงการผสมผสานระหว่างการควบคุมทางเทคนิคและกระบวนการขององค์กร เช่น การเข้ารหัส การตรวจสอบสิทธิ์แบบหลายปัจจัย การจัดการการเข้าถึง การสำรองและการกู้คืนข้อมูล การจัดการช่องโหว่ การตรวจสอบความปลอดภัย การตอบสนองต่อเหตุการณ์ การวางแผนความยืดหยุ่น และการฝึกอบรมบุคลากรให้ตระหนักรู้ ซึ่งนำไปปฏิบัติในลักษณะที่สะท้อนถึงลักษณะความเสี่ยงเฉพาะขององค์กร

เรื่องนี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงในวงกว้างของ GDPR ที่เปลี่ยนจากการปฏิบัติตามกฎระเบียบเพียงครั้งเดียวไปสู่ความรับผิดชอบอย่างต่อเนื่อง โดยที่องค์กรต่างๆ ต้องแสดงให้เห็นไม่เพียงแต่ว่ามีมาตรการรักษาความปลอดภัยอยู่เท่านั้น แต่ยังต้องมีการบำรุงรักษาและปรับปรุงมาตรการเหล่านั้นอย่างสม่ำเสมอด้วย อย่างไรก็ตาม สิ่งที่คาดหวังสำคัญไม่ใช่แค่การมีระบบควบคุมเท่านั้น แต่ยังต้องสามารถแสดงให้เห็นได้ว่าระบบควบคุมเหล่านั้นมีประสิทธิภาพ เหมาะสม และถูกนำไปใช้อย่างสม่ำเสมอด้วย

องค์กรต่างๆ มีหน้าที่ต้องประเมินความเสี่ยง บันทึกการตัดสินใจ และทบทวนระบบควบคุมอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าระบบควบคุมเหล่านั้นสอดคล้องกับภัยคุกคามที่เปลี่ยนแปลงไป ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ไม่ได้หยุดนิ่ง และมาตรการควบคุมที่เคยถือว่าเพียงพอเมื่อไม่กี่ปีที่ผ่านมา อาจไม่สามารถตอบสนองความคาดหวังด้านกฎระเบียบในปัจจุบันได้อีกต่อไป เนื่องจากหน่วยงานกำกับดูแลให้ความสำคัญกับการปรับปรุงอย่างต่อเนื่องและความรับผิดชอบมากกว่าการปฏิบัติตามกฎระเบียบเพียงครั้งเดียว

การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน

ข้อกำหนดด้านความปลอดภัยของ GDPR ถูกสร้างขึ้นจากหลักการสำคัญสามประการ ได้แก่ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน โดยรวมแล้ว สิ่งเหล่านี้กำหนดวิธีการปกป้องข้อมูลส่วนบุคคลในเชิงปฏิบัติ

การรักษาความลับช่วยให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะสามารถเข้าถึงได้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น โดยทั่วไปองค์กรต่างๆ จะบรรลุเป้าหมายนี้ผ่านมาตรการต่างๆ เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การควบคุมการเข้าถึงตามบทบาท การเข้ารหัส และการแบ่งส่วนเครือข่าย โดยได้รับการสนับสนุนจากการเข้าถึงที่มีสิทธิ์น้อยที่สุดและแนวทางการกำหนดค่าที่ปลอดภัย

ความสมบูรณ์มุ่งเน้นไปที่การปกป้องข้อมูลจากการเปลี่ยนแปลงหรือการเสียหายโดยไม่ได้รับอนุญาต โดยทั่วไปแล้ว สิ่งนี้เกี่ยวข้องกับการบันทึกการตรวจสอบ การเปลี่ยนแปลงกระบวนการจัดการ และการตรวจสอบความสมบูรณ์ของไฟล์ เช่นเดียวกันกับการควบคุมที่ป้องกันการแก้ไขข้อมูลโดยไม่ตั้งใจ

ความพร้อมใช้งานช่วยให้มั่นใจได้ว่าข้อมูลและระบบจะยังคงสามารถเข้าถึงได้เมื่อจำเป็น สิ่งนี้ต้องการโครงสร้างพื้นฐานที่ยืดหยุ่น กลยุทธ์การสำรองข้อมูล การวางแผนการกู้คืนจากภัยพิบัติ และกระบวนการกู้คืนจากภัยพิบัติที่มีประสิทธิภาพ

ในบรรดาปัจจัยเหล่านี้ ความพร้อมใช้งานมักถูกประเมินต่ำเกินไป ภายใต้ GDPR การโจมตีแรนซัมแวร์ที่ทำให้ข้อมูลส่วนบุคคลไม่สามารถใช้งานได้ยังคงถือเป็นการละเมิดข้อมูลส่วนบุคคลที่ต้องรายงาน แม้ว่าจะไม่มีข้อมูลถูกขโมยก็ตาม เนื่องจากการสูญเสียความพร้อมใช้งานเพียงอย่างเดียวก็ถือเป็นการละเมิดภายใต้มาตรา 4 (12)

การเข้ารหัส การใช้นามแฝง และการปกป้องข้อมูล

การเข้ารหัสได้รับการกล่าวถึงโดยเฉพาะในมาตรา 32 เนื่องจากเป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาต ข้อมูลที่ส่งผ่านเครือข่ายควรได้รับการปกป้องโดยใช้โปรโตคอลการเข้ารหัสที่ทันสมัย ในขณะที่ข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์ แล็ปท็อป ไดรฟ์แบบถอดได้ เซิร์ฟเวอร์ ข้อมูลสำรอง และสภาพแวดล้อมคลาวด์ ก็ควรได้รับการเข้ารหัสด้วยโซลูชั่นที่แข็งแกร่ง (อุปกรณ์เข้ารหัสฮาร์ดแวร์) เพื่อให้มั่นใจได้ว่าการปกป้องนั้นมีประสิทธิภาพ

เรื่องนี้มีความสำคัญอย่างยิ่งสำหรับพนักงานที่ทำงานทางไกลและต้องเดินทางไปทำงานนอกสถานที่ เนื่องจากอุปกรณ์สูญหายหรือถูกขโมยยังคงเป็นแหล่งที่มาของการรั่วไหลของข้อมูลอยู่บ่อยครั้ง เนื่องจากองค์กรต่างๆ ดำเนินงานในสภาพแวดล้อมแบบไฮบริดและคลาวด์มากขึ้นอย่างต่อเนื่อง การปฏิบัติตาม GDPR จึงจำเป็นต้องรักษาความปลอดภัยของอุปกรณ์ปลายทางระยะไกล แพลตฟอร์มการทำงานร่วมกัน สภาพแวดล้อมการจัดเก็บข้อมูลบนคลาวด์ และแอปพลิเคชั่น SaaS ของบุคคลที่สาม ซึ่งรวมถึงการใช้การเข้ารหัสฮาร์ดแวร์เพื่อลดความเสี่ยงที่เกี่ยวข้องกับการจัดการข้อมูลภายนอกเครือข่ายองค์กรที่ปลอดภัย

อุปกรณ์จัดเก็บข้อมูลที่เข้ารหัสด้วยฮาร์ดแวร์สามารถให้การปกป้องเพิ่มเติมสำหรับข้อมูลที่ละเอียดอ่อนซึ่งใช้ภายนอกขอบเขตขององค์กร โดยเฉพาะอย่างยิ่งสำหรับพนักงานที่ทำงานทางไกล ทีมงานภาคสนาม และองค์กรที่จัดการข้อมูลที่อยู่ภายใต้การกำกับดูแลในสภาพแวดล้อมแบบกระจาย ซึ่งความปลอดภัยของอุปกรณ์ทางกายภาพยังคงเป็นปัจจัยเสี่ยงที่สำคัญ

อย่างไรก็ตาม การเข้ารหัสเพียงอย่างเดียวนั้นไม่เพียงพอ การปฏิบัติตาม GDPR ขึ้นอยู่กับระบบรักษาความปลอดภัยหลายชั้น องค์กรต่างๆ ยังต้องการระบบการจัดการการเข้าถึงที่มีประสิทธิภาพอย่างแข็งแกร่ง การตรวจสอบ การตอบสนองต่อเหตุการณ์ การฝึกอบรมบุคลากร และกระบวนการทดสอบอย่างต่อเนื่อง เพื่อให้มั่นใจว่าการควบคุมยังคงมีประสิทธิภาพในการรับมือกับภัยคุกคามที่เปลี่ยนแปลงไป

การใช้นามแฝงเป็นอีกเทคนิคที่สำคัญ ซึ่งเกี่ยวข้องกับการแทนที่ การลบ หรือการเปลี่ยนแปลงข้อมูลระบุตัวตน เพื่อไม่ให้สามารถเชื่อมโยงข้อมูลส่วนบุคคลกับบุคคลใดบุคคลหนึ่งได้โดยปราศจากข้อมูลเพิ่มเติม ข้อมูลเพิ่มเติมเหล่านั้นจะถูกจัดเก็บแยกต่างหากและได้รับการปกป้องด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสม

การทดสอบ การติดตาม และการประเมินผลอย่างต่อเนื่อง

มาตรา 32 กำหนดให้องค์กรต้องทดสอบและประเมินมาตรการรักษาความปลอดภัยของตนอย่างสม่ำเสมอ เพื่อตรวจสอบว่าข้อมูลถูกรวบรวม รักษาความปลอดภัย และจัดเก็บอย่างไร ในเชิงปฏิบัติ สิ่งนี้รวมถึงการสแกนหาช่องโหว่ การทดสอบการเจาะระบบ การตรวจสอบอย่างต่อเนื่อง การตรวจสอบด้านความปลอดภัย การฝึกซ้อมรับมือเหตุการณ์ และการทดสอบการกู้คืนข้อมูลสำรอง โดยทั้งหมดนี้มีจุดมุ่งหมายเพื่อตรวจสอบว่ามาตรการควบคุมยังคงมีประสิทธิภาพอยู่เสมอ

สิ่งนี้สำคัญเพราะองค์กรจะไม่สามารถรายงานหรือควบคุมเหตุการณ์ได้หากตรวจจับไม่ได้ การเฝ้าระวังและการมองเห็นที่มีประสิทธิภาพเป็นสิ่งสำคัญอย่างยิ่งในการระบุความเคลื่อนไหวที่น่าสงสัยตั้งแต่เนิ่นๆ ลดผลกระทบต่อการดำเนินการดำเนินงาน และสนับสนุนข้อผูกพันด้านการรายงานตามกฎระเบียบ โดยเฉพาะอย่างยิ่งในกรณีที่จำเป็นต้องแจ้งการละเมิดอย่างรวดเร็ว

ปัจจุบันองค์กรหลายแห่งได้ปรับโปรแกรม GDPR ของตนให้สอดคล้องกับกรอบการทำงานที่เป็นที่ยอมรับ เช่น ISO/IEC 27001 ISO/IEC 27701 กรอบการทำงานด้านความปลอดภัยทางไซเบอร์ของ NIST หรือ Cyber Essentials กรอบการทำงานเหล่านี้ช่วยให้องค์กรสร้างกระบวนการกำกับดูแลด้านความปลอดภัยที่มีโครงสร้างและทำซ้ำได้ แม้ว่าจะต้องปรับแต่งให้เหมาะสมกับโปรไฟล์ความเสี่ยง GDPR เฉพาะขององค์กรนั้นๆ ก็ตาม

GDPR ส่งผลกระทบต่อกลยุทธ์ด้านความปลอดภัยทางไซเบอร์อย่างไร

GDPR ได้เปลี่ยนแปลงวิธีการที่องค์กรต่างๆ ใช้ในการจัดการด้านความปลอดภัยทางไซเบอร์ไปอย่างสิ้นเชิง และหนึ่งในความเปลี่ยนแปลงที่สำคัญที่สุดคือเรื่องความรับผิดชอบ ปัจจุบันองค์กรต่างๆ ต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบ แทนที่จะเพียงแค่กล่าวอ้างเท่านั้น ซึ่งรวมถึงการจัดทำและบำรุงรักษาการประเมินความเสี่ยง เอกสารด้านความปลอดภัย บันทึกการประมวลผล ขั้นตอนการตอบสนองต่อเหตุการณ์ และกระบวนการกำกับดูแลผู้ขาย โดยมีหลักฐานที่ชัดเจนว่าการตัดสินใจด้านความปลอดภัยเกิดขึ้นและมีการตรวจสอบอย่างไร

GDPR ยังเน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยบนพื้นฐานของความเสี่ยงอีกด้วย การลงทุนด้านความปลอดภัยควรสะท้อนถึงความเสี่ยงที่องค์กรเผชิญ จุดอ่อน และความละเอียดอ่อนของข้อมูลที่องค์กรประมวลผล เพื่อให้มั่นใจว่ามาตรการควบคุมมีความเหมาะสมกับความเสี่ยงที่ระบุไว้

การจัดการความเสี่ยงจากบุคคลที่สามมีความสำคัญไม่แพ้กัน หากผู้ขายหรือผู้ให้บริการประมวลผลข้อมูลส่วนบุคคลในนามของท่าน องค์กรของท่านยังคงต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่ามีมาตรการป้องกันที่เหมาะสมอยู่แล้ว ด้วยเหตุนี้ การตรวจสอบสถานะผู้ขายและการกำกับดูแลสัญญาจึงกลายเป็นส่วนสำคัญของโปรแกรมการปฏิบัติตาม GDPR จำนวนมาก ควบคู่ไปกับการตรวจสอบประสิทธิภาพและสถานะความปลอดภัยของผู้ประมวลผลอย่างต่อเนื่อง