Si vous décidez de ne pas créer de groupes spéciaux pour accéder aux données personnelles, envisagez le scénario suivant. Si vous prenez un groupe existant et que vous le placez sur l'ACL pour les données personnelles, vous pouvez supposer que le groupe est déjà utilisé à un autre endroit. Ainsi, si les exigences pour l'autre utilisation changent et que plus d'utilisateurs doivent être ajoutés au groupe, vous avez immédiatement une violation de GDPR sur les bras.
Toutefois, si vous créez des groupes dédiés à l'accès des données personnelles et que vous les nommez en conséquence (avec une certaine référence à GDPR, par exemple), vous pourrez suivre ces groupes séparément des groupes qui accèdent aux données non personnelles. Avec cette séparation des groupes qui accèdent aux données personnelles des autres groupes, vous pourrez facilement configurer quels groupes sont surveillés. De plus, vous pourrez plus facilement surveiller les ACL relatifs aux données personnelles.
Si vous envisagez de conserver vos groupes existants et de travailler avec eux pour accéder aux données personnelles, je vous suggère fortement de tester ceci avant de prendre une décision finale. Ce que vous constaterez probablement, c'est que l'adhésion à un groupe change beaucoup trop souvent pour pouvoir utiliser les groupes existants. Pour que vous puissiez suivre ces changements de groupes, vous devez activer l'audit et disposer d'un outil qui peut vous aider à passer au crible les événements générés, tels que ADAudit Plus.
Alors que les organisations continuent de se préparer pour le GDPR, nous découvrons tous que le respect de ce règlement de conformité exigera beaucoup plus de travail que prévu. Se préparer maintenant est la meilleure chose que vous puissiez faire.