Gegevensprivacy is niet alleen een zakelijk probleem; het raakt elke gebruiker, werknemer of klant die erop vertrouwt dat jij hun privé-informatie beheert of opslaat.

Beste practices voor gegevensprivacy, -bescherming en -beveiliging

Wat is gegevensprivacy? Gegevensprivacy is onderdeel van gegevensbescherming en vereist dat gevoelige gegevens, zoals persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie, op de juiste manier worden beschermd en behandeld. Gegevensprivacy is belangrijk omdat het aantoont dat jouw organisatie te vertrouwen is met gevoelige informatie.

Hoe werkt gegevensprivacy?

Gegevensprivacy verwijst naar hoe informatie wordt beschermd tegen ongeoorloofde openbaarmaking op basis van de waargenomen belangrijkheid ervan. Diverse vormen van informatie vereisen vaak verschillende niveaus van beveiliging en bescherming, en gebruiken verschillende contexten om te bepalen welk technisch, fysiek en administratief beschermingsniveau nodig is om die informatie privé en vertrouwelijk te houden.

De drie belangrijkste elementen van gegevensprivacy zijn als volgt:

  1. Individuen hebben het recht om met rust gelaten te worden en controle te houden over hun informatie.
  2. Organisaties hebben de verantwoordelijkheid om procedures te ontwikkelen voor het correct verwerken, behandelen, verzamelen en delen van persoonlijke informatie.
  3. Organisaties moeten ook voldoen aan relevante beschermingswetten.

Een van de meest voorkomende vormen van beschermde informatie is persoonlijk identificeerbare informatie. PII is informatie die kan leiden tot de identificatie van een individu, direct of indirect. Deze informatie kan de volgende zaken omvatten:

  • Voor- en achternaam
  • Adressen
  • Burgerservicenummers
  • Telefoonnummers
  • E-mailadressen
  • Rijbewijsnummers
  • Bankrekeningnummers
  • Creditcard- of debetkaartnummers
  • Paspoortinformatie

Privacy is een essentieel aandachtspunt geworden binnen IT- en bedrijfsinfrastructuren, maar ook een ethische kwestie in het digitale tijdperk van verbonden, altijd-aan systemen. Als PII wordt gestolen of openbaar gemaakt, kan dat rampzalig zijn—financieel, fysiek of qua reputatie—voor zowel het individu als het bedrijf. De meeste compliance-raamwerken bevatten een vorm van expliciete gegevensbescherming.

Gegevensprivacy omvat verschillende lagen van bescherming en beste practices:

  • Encryptie en cryptografie: Beschermde gegevens moeten onleesbaar worden gemaakt voor derden, en het versleutelen van gegevens in rust op servers of tijdens overdracht is een belangrijk onderdeel van privacy. 
  • Fysieke beveiligingsmaatregelen: Zelfs in een digitale wereld worden gegevens opgeslagen en beheerd op fysieke locaties. Het is aan organisaties die deze informatie beheren om fysieke beveiligingsmaatregelen te treffen ter bescherming van datacenters, werkplekken en mobiele apparaten.
  • Administratieve maatregelen: Complexe privacy- en beschermingswetten vereisen beleid en beheer. Organisaties moeten medewerkers trainen om blootstelling van gegevens te voorkomen, beleid voor informatiebeheer ontwikkelen om informatie te beschermen, en praktijken creëren die helpen bij het bestrijden van uitdagingen zoals bedreigingen van binnenuit.
  • Risicogebaseerde beveiliging: Ad-hoc beveiliging is niet voldoende om complexe systemen daadwerkelijk te beveiligen, maar risicobeoordelingen en compliance helpen organisaties om uitgebreide governance- en privacybeleidsmaatregelen te ontwikkelen die gebruikersinformatie beschermen in lijn met regelgeving en het belang van klanten.

Compliance and Certification Table

Kiteworks heeft een lange lijst van behaalde compliance- en certificeringsprestaties.

Welke wetten regelen gegevensprivacy?

Hoewel er enkele kerngedachten zijn rondom privacy, hebben de meeste sectoren hun eigen set aan regelgeving en praktijken die inspelen op hun unieke uitdagingen. Verschillende soorten gegevens vereisen verschillende vormen van bescherming, en diverse compliance-wetten zijn van toepassing op diverse sectoren.

Enkele van de belangrijkste wetten die wereldwijd privacy reguleren zijn onder andere:

HIPAA

De Health Insurance Portability and Accountability Act (HIPAA) regelt de zorgsector en patiëntinformatie. Gezondheidsinformatie wordt vaak beschouwd als een van de belangrijkste vormen van gegevens—het vereist strenge privacy- en beveiligingsmaatregelen.

Volgens HIPAA wordt patiëntinformatie gedefinieerd als “beschermde gezondheidsinformatie” en omvat het alle informatie die verwijst naar de zorg van een patiënt of de betaling daarvan. Dit omvat doktersrapporten, patiëntreacties op interne documenten en betalingsinformatie die wordt verstrekt als onderdeel van geleverde zorgdiensten, onder andere.

Alle beveiligingsmaatregelen (waaronder encryptie, IT-controles, risicobeheer, fysieke bescherming en administratief beleid) zijn gericht op het waarborgen dat PHI niet wordt blootgesteld buiten de toestemming van de patiënt.

HIPAA is van toepassing op zogenaamde “Covered Entities”, waaronder ziekenhuizen, artsen en zorgverzekeraars. HIPAA geldt ook voor “Business Associates”, oftewel leveranciers die diensten verlenen aan Covered Entities. Volgens HIPAA zijn Business Associates die PHI verwerken even verantwoordelijk voor de privacy van patiënten als hun Covered Entity-partners.

De straffen voor ongeoorloofde openbaarmaking onder HIPAA zijn streng, met de mogelijkheid tot miljoenen dollars aan boetes per jaar voor overtredingen van compliance, en mogelijk gevangenisstraf voor individuen afhankelijk van het type blootstelling. In geval van datalekken moeten organisaties gedetailleerde, vaak zeer openbare, meldingen doen over de datalekken via websites, lokale nieuwsberichten en meldingen aan het Department of Health and Human Services.

FISMA

De Federal Information Security Modernization Act vereist dat federale instanties controles implementeren om PII te beschermen die wordt gebruikt als onderdeel van overheidsactiviteiten. Op basis van de richtlijnen van het National Institute of Standards and Technology vereist FISMA dat deze instanties basisprincipes van beveiliging implementeren volgens belangrijke specificaties, waaronder de National Institute of Standards & Technology (NIST) Special Publication 800-53, SP 800-171, Federal Information Processing Standards (FIPS) 199 en FIPS 200.

ISO 27000-serie

De International Organization for Standardization biedt specificaties en gestandaardiseerde beste practices op een aantal technische en professionele onderwerpen om publieke en private organisaties te helpen technologie beter te benutten. Een van deze standaardenseries staat bekend als de ISO 27000-serie, een reeks documenten die beste practices beschrijven voor het beschermen van informatie via technische en administratieve controles.

De bekendste uit deze serie is wellicht ISO 27001, een internationale standaard die beschrijft hoe organisaties informatieveiligheidsbeheersystemen kunnen implementeren. Deze systemen brengen beveiligingsmaatregelen, bedrijfsbeleid en logistieke processen samen om privacy en beveiliging centraal te stellen in complexe IT-infrastructuren.

ISO 27001 is doorgaans niet verplicht voor organisaties, aangezien de ISO een private organisatie is. Veel private bedrijven en publieke instanties kiezen ervoor om ISO 27001-audits te ondergaan om hun klant- of bedrijfsgegevens beter te beveiligen.

GDPR

De General Data Protection Regulation is een set regels die rechtsbevoegdheid heeft over de lidstaten van de Europese Unie. Misschien wel een van de meest uitgebreide en gedetailleerde wetten op het gebied van privacy: GDPR zorgt ervoor dat consumenten (aangeduid als “datasubjecten”) zoveel mogelijk eigenaarschap over hun gegevens hebben, dat wetten deze informatie beschermen tegen ongeoorloofde openbaarmaking waar deze ook in gevaar kan komen, en dat bedrijven deze gegevens niet mogen gebruiken zonder toestemming van het subject.

De GDPR-wet geeft subjects het recht om volledige inzage te eisen in hun gegevens en hoe bedrijven deze gebruiken. Op elk moment kan een subject een volledig overzicht opvragen van hun PII die bij een bedrijf bekend is en hoe deze wordt gebruikt. Daarnaast moet een subject expliciete toestemming geven voor elk gebruik van de gegevens (of het nu gaat om bedrijfsprocessen, marketing of andere diensten). Het bedrijf moet alle gegevens verwijderen op verzoek van de consument.

Amerikaanse bedrijven zoals Google, Apple en Microsoft hebben aanzienlijke juridische verliezen geleden in de EU wegens niet-naleving. Onder de GDPR kunnen boetes oplopen van miljoenen euro’s tot maximaal 4% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van welk bedrag hoger is.

SOX

De Sarbanes-Oxley Act is een unieke wet. Na een reeks grote fraudezaken bij grote ondernemingen in de Verenigde Staten (waaronder de bekende zaken van WorldCom en Enron) heeft het Congres SOX aangenomen om te eisen dat ondernemingen hun technische systemen en financiële informatie rapporteren. De wet vereist dat de bedrijfsleiders van een onderneming hun handtekening zetten onder financiële overzichten en technische rapporten die jaarlijks aan de overheid worden verstrekt, met juridische gevolgen bij frauduleuze verklaringen.

Een onderdeel van SOX-rapportage vereist melding en documentatie van gegevensbeveiligingsbeleid, inclusief maatregelen voor privacy met betrekking tot de financiële informatie van zakelijke klanten of consumenten.

CCPA

De California Consumer Privacy Act lijkt op de GDPR doordat het meer verantwoordelijkheid legt bij bedrijven voor rapportage, bescherming en toestemming. Daarnaast stelt het duidelijker de rechten van consumenten vast met betrekking tot hun gegevens, waaronder het recht om te weten welke gegevens worden opgeslagen en waarvoor deze worden gebruikt, het recht om gegevens te laten verwijderen en het recht om af te zien van elk zakelijk of marketinggebruik van hun informatie. Deze wet is alleen van toepassing op bedrijven die in Californië actief zijn en inwoners van Californië.

Zorg voor gegevensprivacy met veilige, conforme tools

Een van de beste manieren om privacy te waarborgen is het gebruik van technologie die privacy ondersteunt. Encryptie, data management en zichtbaarheid, geautomatiseerde controles en technische implementaties van governance-, risico- en compliancebeleid kunnen veel bijdragen aan deze inspanningen. Bedrijven moeten zowel hun wettelijke verplichtingen als hun ethische positie begrijpen als het gaat om het beschermen van de privacy van gebruikersgegevens.

Wil je weten hoe het Kiteworks-platform gegevensprivacy waarborgt bij communicatie van gevoelige inhoud? Plan vandaag nog een demo in.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks