Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Privé PII en PHI

Startpagina Woordenlijst Persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI)

Wat zijn PII en PHI?

Persoonlijk identificeerbare informatie (PII) is alle data die mogelijk een specifiek individu kan identificeren. Dit omvat informatie zoals voor- en achternaam, adressen, burgerservicenummers, rijbewijsnummers, geboortedata, telefoonnummers, e-mailadressen, bankrekeninggegevens, creditcardnummers en -scores, en paspoortinformatie.

PHI, of beschermde gezondheidsinformatie, is een subset van PII die specifiek betrekking heeft op de medische geschiedenis en/of status van een individu. Dit omvat zaken als medische dossiers en verzekeringsclaims.

Hieronder volgt een analyse van zowel PII als PHI en een overzicht van de wetgeving en regelgeving op het gebied van gegevensbescherming die bestaan in de VS en enkele andere geselecteerde landen.

Persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI)

Wetgeving gegevensbescherming ter bescherming van PII

Er zijn tal van wetten op het gebied van gegevensbescherming van kracht om de PII van een individu te beschermen. Meer dan 80 landen hebben momenteel een vorm van privacywetgeving die betrekking heeft op PII en/of PHI. Typen PII zijn onder andere:

  • Naam
  • Adres
  • E-mail
  • Telefoonnummer
  • Geboortedatum
  • Paspoort-, rijbewijs- of andere door de overheid uitgegeven ID-nummers
  • Burgerservicenummer of gelijkwaardig overheidsidentificatienummer
  • Vingerafdrukken of andere biometrische gegevens
  • Creditcard- of debetkaartnummer

PII Data Privacy Compliance-regelgeving in de VS

In de VS is er geen enkele wet of regelgeving die PII reguleert. Er is sprake van een lappendeken van federale en staatswetten, sectorspecifieke compliance-regelgeving en andere wetten en standaarden die het verzamelen, gebruiken, verwerken en openbaar maken van PII reguleren.

De Gramm-Leach-Bliley Act en PII

De Gramm-Leach-Bliley Act (GLBA) is een federale wet die regelt hoe PII verzameld, gebruikt en gedeeld mag worden. GLBA werd ingevoerd als reactie op de groeiende bezorgdheid over de bedreiging van de privacy van consumenten door het toenemende gebruik van elektronische media en data.

GLBA bestaat uit drie onderdelen: 1) de Financial Privacy Rule, die het verzamelen en openbaar maken van financiële informatie regelt, 2) de Safeguards Rule, die financiële instellingen verplicht beveiligingsprotocollen te implementeren ter bescherming van verzamelde informatie, en 3) de Pretexting Provisions, die betrekking hebben op pogingen om op oneigenlijke wijze toegang te krijgen tot gevoelige informatie.

GLBA verplicht financiële instellingen om klanten jaarlijks op de hoogte te stellen van hun privacybeleid. Klanten hebben ook het recht om zich af te melden voor het delen van hun PII met derden.

California Consumer Privacy Act en PII

De California Consumer Privacy Act (CCPA) is op 1 januari 2020 in werking getreden en biedt consumenten nieuwe rechten om te weten welke persoonlijke informatie over hen wordt verzameld, het recht om die informatie te laten verwijderen en het recht om de verkoop van hun persoonlijke informatie te weigeren.

De CCPA legt ook nieuwe verplichtingen op aan bedrijven die onder de wet vallen, waaronder het openbaar maken van de categorieën persoonlijke informatie die ze verzamelen en het bieden van een mogelijkheid voor consumenten om verwijdering van hun gegevens aan te vragen. De CCPA is ingevoerd om het toenemende aantal datalekken in de technologie-, media-, entertainment- en telecommunicatiesectoren aan te pakken.

Fair Credit Reporting Act en PII

De Fair Credit Reporting Act (FCRA) helpt ervoor te zorgen dat kredietbeoordelingsbureaus nauwkeurige en eerlijke informatie gebruiken bij het nemen van beslissingen over iemands kredietwaardigheid. Dit is belangrijk omdat onjuiste informatie kan leiden tot een onterechte weigering van krediet of andere kansen. De wet beschrijft ook hoe deze informatie wordt gebruikt, gedeeld en geraadpleegd om onwettige praktijken te beperken.

Consumer Data Protection Act in Virginia en PII

Op 2 maart 2021 heeft Virginia haar eigen versie van de CCPA aangenomen in de vorm van de Consumer Data Protection Act (CDPA). Deze wet stelt een kader vast voor het beheren en verwerken van PII in de staat en is van toepassing op iedereen die zaken doet in Virginia en 1) de PII van minstens 100.000 consumenten beheert of verwerkt, of 2) meer dan 50% van de bruto-omzet haalt uit de verkoop van persoonlijke data en de PII van minstens 25.000 consumenten beheert of verwerkt.

De wet geeft consumenten het recht op toegang tot, correctie, verwijdering en het verkrijgen van een kopie van hun PII, en het recht om zich af te melden voor verwerking van PII voor gerichte reclame, verkoop van PII of profilering van de consument. De CDPA treedt in werking op 1 januari 2023.

PII Data Privacy Compliance-regelgeving in EMEA, Canada en APJ

De bekendste privacywet is de General Data Protection Regulation (GDPR) in de Europese Unie. Maar ook in andere regio’s bestaan compliance-regels rond gegevensbescherming, zoals Canada’s Personal Information Protection and Electronic Documents Act (PIPEDA) en de Britse Data Protection Act 2018 (DPA 2018).

GDPR en PII

De GDPR is een verordening van de Europese Unie (EU) die op 25 mei 2018 in werking is getreden. Deze wet versterkt de EU-regels voor gegevensbescherming door individuen meer controle te geven over hun persoonlijke data, waaronder het recht om hun data te laten wissen en het recht bezwaar te maken tegen het gebruik ervan. Volgens de GDPR moeten organisaties maatregelen nemen om gebruikersdata te beschermen tegen onbedoelde of ongeautoriseerde toegang, vernietiging, wijziging of ongeoorloofd gebruik.

De GDPR stelt strikte regels voor het verzamelen, gebruiken en beschermen van persoonlijke data door organisaties die actief zijn in de EU. Deze regelgeving heeft de manier waarop bedrijven met persoonlijke data omgaan volledig veranderd.

Deze verordening is van toepassing op elk bedrijf dat data verwerkt of van plan is te verwerken van personen die in de EU wonen, ongeacht of dat bedrijf binnen of buiten Europa is gevestigd.

PIPEDA en PII

Sinds de inwerkingtreding in 2001 reguleert de Personal Information Protection and Electronic Documents Act (PIPEDA) hoe organisaties de persoonlijke informatie van Canadezen verzamelen, gebruiken en openbaar maken. PIPEDA is van toepassing op elke organisatie die persoonlijke informatie verzamelt, gebruikt of openbaar maakt in het kader van commerciële activiteiten—oftewel vrijwel elk bedrijf dat actief is in Canada.

In 2018 is PIPEDA bijgewerkt om de persoonlijke informatie van Canadezen beter te beschermen.

Hoewel PIPEDA geldt voor alle organisaties met een commerciële aanwezigheid in Canada, geldt het niet voor bepaalde soorten bedrijven, zoals die onder provinciale of territoriale wetgeving vallen die gezondheidsinformatie reguleert.

DPA 2018 en PII

De Britse Data Protection Act 2018 (DPA 2018) stelt regels vast voor hoe persoonlijke data verzameld, verwerkt en opgeslagen moet worden door organisaties. De wet is van toepassing op elke organisatie die data verwerkt of van plan is te verwerken van inwoners van het VK, ongeacht of de organisatie in het VK is gevestigd of niet.

Het beoordelen van de impact van PII-datalekken

PII-data blijft zeer aantrekkelijk voor kwaadwillenden omdat ze deze kunnen gebruiken voor identiteitsdiefstal en fraude. Honderden miljoenen mensen worden jaarlijks getroffen door datalekken van PII. Bedrijven lijden omzetverlies, reputatieschade en krijgen boetes van toezichthouders wanneer ze slachtoffer worden van een aanval.

Wat is PHI

Opdat gezondheidsdata als beschermde gezondheidsinformatie (PHI) wordt beschouwd en onder de Health Insurance Portability and Accountability Act (HIPAA) valt, moet deze 1) persoonlijk identificeerbaar zijn voor de patiënt en 2) gebruikt of gedeeld worden met een gedekte entiteit tijdens de zorgverlening. Hoewel PHI lijkt op PII en een subset is, is het niet precies hetzelfde.

HIPAA-standaarden voor het beschermen van PHI

Als het gaat om PHI, werd HIPAA in 1996 aangenomen met als doel strikte standaarden vast te stellen voor de bescherming van PHI. HIPAA-compliance beschrijft 18 verschillende informatie-identificatoren voor PHI die gebruikt kunnen worden om een persoon te identificeren, te contacteren of te lokaliseren. Deze zijn:

  • Naam
  • Adres (alles kleiner dan een staat)
  • Datums (behalve jaartallen) gerelateerd aan individuen, zoals geboortedatum, opnamedatum, enz.
  • Telefoonnummer
  • Faxnummer
  • E-mailadres
  • Burgerservicenummer
  • Medisch dossiernummer
  • Nummer van de zorgverzekering
  • Rekeningnummer
  • Certificaat- of licentienummer
  • Voertuigidentificatie, zoals kentekennummers en serienummers
  • Apparaatidentificatie
  • Web-URL
  • Internet Protocol (IP)-adressen
  • Biometrische ID’s zoals vingerafdrukken of stemafdrukken
  • Foto’s van het volledige gezicht en andere foto’s van identificerende kenmerken
  • Elke andere unieke kwalificerende eigenschap

Het ongeautoriseerd vrijgeven van PHI is een ernstige schending van HIPAA, daarom is het belangrijk dat gedekte entiteiten (CE’s) stappen ondernemen om gevoelige patiëntgegevens te beveiligen.

Alle bedrijven die met PHI werken moeten HIPAA naleven. Dit houdt in dat patiëntgegevens vertrouwelijk moeten blijven en dat alleen geautoriseerde personen toegang hebben. Gedekte entiteiten moeten beveiligingsmaatregelen treffen om PHI te beschermen. Gedekte entiteiten zijn onder andere:

  • Huisartsenpraktijken, tandartspraktijken, klinieken, psychologen
  • Verpleeghuizen, apotheken, ziekenhuizen of thuiszorgorganisaties
  • Zorgverzekeringen, verzekeringsmaatschappijen en zorgorganisaties (HMO’s)
  • Overheidsprogramma’s die zorgkosten betalen
  • Zorgverwerkende instanties

Beveiligingsmaatregelen die deze organisaties moeten nemen om patiëntgegevens te beschermen zijn onder andere encryptie, fysieke beveiliging en toegangscontrolesystemen.

HITECH ter bescherming van PHI

In 2009 werd de Health Information Technology for Economic and Clinical Health (HITECH) Act aangenomen als onderdeel van de American Recovery and Reinvestment Act. Het belangrijkste doel van HITECH was het stimuleren van de adoptie van gezondheids-IT en gegevensuitwisseling om de kwaliteit en efficiëntie van de zorg te verbeteren.

Een van de manieren waarop dit gebeurt is door eisen te stellen aan de privacy en beveiliging van elektronische gezondheidsinformatie. Deze vereisten zijn bedoeld om PHI van patiënten te beschermen tegen ongeautoriseerde toegang, gebruik of openbaarmaking.

Relatie tussen HIPAA en HITECH

Hoewel de HIPAA Privacy Rule alleen geldt voor “gedekte entiteiten” (zorgverzekeringen, zorgverwerkende instanties en zorgverleners die gezondheidsinformatie elektronisch verzenden) en hun zakenpartners, verplicht de HITECH Act het Department of Health and Human Services om nieuwe sets regelgeving aan te nemen.

Een gevolg hiervan is de Breach Notification Rule, die vereist dat gedekte entiteiten en hun zakenpartners betrokken individuen en de Secretaris van HHS op de hoogte stellen bij een datalek met elektronische beschermde gezondheidsinformatie (ePHI). De melding moet zonder vertraging en uiterlijk 60 dagen na ontdekking van het datalek worden gedaan. Zowel HITECH als HIPAA vereisen ook dat PHI wordt versleuteld tijdens verzending en wanneer deze wordt opgeslagen op apparaten en andere media.

Het beoordelen van de impact van datalekken van PHI en PII

De zorgsector blijft al 12 jaar de meest getroffen sector door datalekken. De financiële, reputatie- en regelgevende impact van een datalek loopt in de miljoenen dollars en kan langdurige gevolgen hebben voor de getroffen organisatie—om nog maar te zwijgen van de individuen van wie de PHI is gelekt.

Datalekken van PII en PHI zijn een groot probleem voor organisaties. De impact van slechts één datalek kan oplopen tot miljoenen dollars. Voor 2022 vonden IBM en het Ponemon Institute in hun laatste “Cost of a Data Breach Report” dat de gemiddelde kosten van een datalek $4,35 miljoen bedragen. Dit is exclusief de negatieve impact op een merk wanneer het datalek openbaar wordt gemaakt.

De dreiging die cybercriminelen en vijandige staten vormen voor de zorg en andere instellingen is aanzienlijk, en beleidsmakers en de zorgsector blijven compliance-standaarden ontwikkelen om beveiligingsprotocollen en -mogelijkheden te versterken ter bescherming tegen kwaadwillende aanvallen. Dit geldt zeker voor PHI. PHI-dossiers leveren vaak de hoogste prijs op het dark web op.

Organisaties die hun cyberrisico’s met betrekking tot PII en PHI willen beheersen, kunnen diverse cyberbeveiligingsprincipes implementeren om het risico te beperken. Deze moeten onderdeel zijn van de cyberrisicobeheerstrategie van een organisatie.

Breng in kaart welke PII en PHI uw organisatie verzamelt en opslaat

Als u eigenaar bent van of een bedrijf runt, is het belangrijk om te begrijpen wat PII en PHI zijn en hoe u deze kunt beschermen. Dit vereist een uitgebreide aanpak van dataclassificatie. Als uw bedrijf PII en PHI verzamelt en opslaat, is het risico op een datalek enorm als u niet de juiste beveiligings- en governancecontroles en tracking heeft ingericht.

Om in kaart te brengen welke PII en PHI uw organisatie verzamelt en opslaat, kijkt u naar het soort informatie dat u verzamelt van klanten, partners, medewerkers en andere individuen. Zie hierboven voor een lijst met PII en PHI.

Zorg voor sterke beveiligingsmaatregelen ter bescherming van PII en PHI

Hier zijn enkele praktische stappen die u kunt nemen om PII en PHI te beschermen en de kans op een datalek te verkleinen:

  • Gebruik een defense-in-depth aanpak
  • Gebruik encryptie voor alle data in beweging en in rust
  • Beveilig PII en PHI zonder gebruikers te hinderen
  • Definieer rolgebaseerde rechten voor interne en externe (derde partij) gebruikers
  • Pas granulaire beleidscontroles toe om dataprivacy te beschermen
  • Pas contentrisicobeleid consistent toe over alle communicatiekanalen

Breng gevoelige communicatie samen op één platform

De aanbevolen beveiligingsaanpak om PII en PHI te beschermen is een platform dat governance en bescherming van alle data in beweging en in rust centraliseert en verenigt. Nu de meeste bedrijven met meerdere derde partijen werken, zorgt één platform voor consistente beleidsregels en controles bij elke transactie en over gescheiden communicatiekanalen zoals e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s).

Leid medewerkers op in beste practices voor omgaan met PII en PHI

Alle bedrijven beschikken over PII die beschermd moet worden, en de meeste hebben ook PHI. Training van medewerkers is de sleutel tot het veilig houden van deze informatie en het waarborgen van compliance. Aanbevolen praktijken zijn onder andere:

  • Verzamel alleen de minimale hoeveelheid PII en PHI die nodig is voor zakelijke doeleinden.
  • Houd PII en PHI veilig door ze op te slaan in een met wachtwoord beveiligde en versleutelde database.
  • Gebruik multi-factor authentication (MFA) voor toegang tot PII en PHI, ook voor de systemen die worden gebruikt om deze te verzenden, delen, ontvangen en opslaan.
  • Deel nooit PII of PHI zonder expliciete toestemming van de betrokken persoon.
  • Zorg dat medewerkers weten hoe ze phishingpogingen en andere cyberdreigingen kunnen herkennen door middel van grondige en voortdurende security awareness-training.

Beperk de hoeveelheid verzamelde PII tot het strikt noodzakelijke

Hoewel het essentieel is dat bedrijven bepaalde PII verzamelen om diensten of goederen te kunnen leveren, is het belangrijk om de hoeveelheid verzamelde PII te beperken tot wat absoluut noodzakelijk is.

Beoordeel waarom uw organisatie bepaalde soorten PII nodig heeft en of er alternatieven zijn waarmee u uw doelen kunt bereiken zonder gevoelige informatie te verzamelen.

Bescherm opgeslagen PII met fysieke, technologische en organisatorische beveiligingsmaatregelen

Voor de bescherming van opgeslagen PII moeten organisaties een gelaagde aanpak hanteren. Dit betekent dat fysieke, technologische en organisatorische beveiligingsmaatregelen allemaal aanwezig moeten zijn om een robuuste verdediging tegen datalekken te creëren.

PII moet zowel in beweging als in rust versleuteld zijn. Encryptie moet gelden vanaf de digitale uitwisseling van PII intern en extern tot aan de opslag op het systeem van de ontvanger (bijv. e-mail, bestandssysteem, enz.).

Vernietig of de-identificeer PII wanneer deze niet meer nodig is

Een manier om het cyberrisico van PII te verkleinen is door deze te vernietigen of te de-identificeren zodra de PII niet meer nodig is. Dit zorgt ervoor dat de PII niet kan worden gebruikt voor identiteitsdiefstal, fraude of afpersing. Daarnaast moeten bedrijven een beleid voor gegevensbewaring hebben waarin staat hoe lang PII bewaard mag worden. Door deze voorzorgsmaatregelen te nemen, kunnen bedrijven ervoor zorgen dat PII veilig blijft.

Gebruik van een Private Content Network om PII en PHI te beschermen

Het Kiteworks Private Content Network brengt gevoelige communicatie, waaronder PII en PHI, samen op één platform. Gecentraliseerd beheer en beveiliging stellen u in staat om contentrisicobeleid op te stellen waarmee u kunt bijhouden en bepalen wie toegang heeft tot PII en PHI, wie de inhoud mag wijzigen en naar wie deze verzonden mag worden. End-to-end encryptie, geautomatiseerde controles en een defense-in-depth beveiligingsaanpak stroomlijnen de digitale uitwisseling van privé-informatie, waaronder PII en PHI.

Plan een op maat gemaakte demo van het Kiteworks Private Content Network om te zien hoe het PII en PHI privé houdt en uw organisatie compliant maakt met regelgeving op het gebied van gegevensbescherming.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks