Gegevensbescherming

Privacy, in de ruimste zin van het woord, is het recht van individuen, groepen of organisaties om te controleren wie toegang heeft tot iets dat zij bezitten, zoals hun lichamen, eigendommen, ideeën, gegevens of informatie, en dat kan waarnemen of gebruiken.

controle wordt tot stand gebracht door middel van fysieke, sociale of informatieve grenzen die ongewenste toegang, observatie of gebruik helpen voorkomen. Bijvoorbeeld:

  • een fysieke begrenzing, zoals een gesloten voordeur, voorkomt dat anderen zonder uitdrukkelijke toestemming een gebouw binnenkomen in de vorm van een sleutel om de deur te openen of een persoon binnen die de deur opent.
  • een sociale grens, zoals een club met alleen leden, staat alleen leden toe toegang te krijgen tot clubbronnen en deze te gebruiken.
  • een informatiegrens, zoals een geheimhoudingsovereenkomst, beperkt welke informatie aan anderen kan worden verstrekt.

de exponentiële groei van een mondiale informatie-economie, gedreven door nieuwe technologieën en disruptieve bedrijfsmodellen, betekent dat een steeds grotere hoeveelheid persoonsgegevens wordt verzameld, gebruikt, uitgewisseld, geanalyseerd, bewaard en soms gebruikt voor commerciële doeleinden. Het betekent ook dat er een steeds groter aantal toevallige of opzettelijke datalekken, onjuiste of verloren gegevensrecords en gevallen van misbruik van gegevens is.

als gevolg daarvan is de vraag naar gegevensbescherming — het recht om te controleren hoe persoonsgegevens worden verzameld, met wie ze worden gedeeld en hoe ze worden gebruikt, bewaard of verwijderd — toegenomen, evenals de vraag naar gegevensbeveiliging.

een evenwicht vinden tussen het recht van een individu op gegevensbescherming en de wens van een organisatie om persoonsgegevens voor haar eigen doeleinden te gebruiken, is een uitdaging, maar niet onmogelijk. Het vereist de ontwikkeling van een kader voor gegevensbescherming.

het ontwikkelen van een kader voor gegevensbescherming

hoewel er geen “one-size-fits-all template” voor een raamwerk bestaat, zijn er verschillende universele processen die u kunnen helpen er een te ontwikkelen die relevant is voor uw bedrijf:

het ontdekken en classificeren van persoonsgegevens-bepalen welke soorten gegevens worden verzameld (bijv. medische, financiële of persoonlijk identificeerbare gegevens zoals sofinummers), waar en hoe de gegevens worden verzameld, waar de gegevens worden opgeslagen, wie toegang heeft tot de gegevens en waar deze zich fysiek bevinden, gegevensstromen binnen en tussen een business unit en gegevensoverdrachten binnen en tussen landen.

uitvoeren van een Privacyeffectbeoordeling (Pia) – bepalen hoe en waar gegevens worden opgeslagen, geback-upt en verwijderd, welke maatregelen voor gegevensbeveiliging momenteel worden toegepast en waar systemen kwetsbaar kunnen zijn voor een inbreuk op de privacy. Voorbeelden van maatregelen voor gegevensbeveiliging zijn::

  • Change management-monitoren, logboeken en rapporten over wijzigingen in de gegevensstructuur. Toont compliance auditors dat wijzigingen in de database kunnen worden herleid tot geaccepteerde change tickets.
  • preventie van gegevensverlies-bewaakt en beschermt gegevens in beweging op netwerken, in rust in gegevensopslag of in gebruik op endpointapparaten. Blokkeert aanvallen, misbruik van privileges, ongeautoriseerde toegang, kwaadaardige webverzoeken en ongebruikelijke activiteiten om diefstal van gegevens te voorkomen.
  • gegevens maskeren-anonimiseert gegevens via versleuteling/hashing, generalisatie, verstoring, enz. Pseudonimiseert gegevens door gevoelige gegevens te vervangen door realistische fictieve gegevens die operationele en statistische nauwkeurigheid behouden.
  • gegevensbescherming-zorgt voor gegevensintegriteit en vertrouwelijkheid door afstemming van de controle op Wijzigingen, grensoverschrijdende controles, whitelisting van de zoekopdracht, enz.
  • Ethical walls-handhaaft een strikte scheiding tussen bedrijfsgroepen om te voldoen aan M&a-vereisten, goedkeuring door de overheid, enz.
  • monitoring van bevoorrechte gebruikers-controleert toegang tot en activiteiten van bevoorrechte gebruikersdatabases. Blokkeert de toegang of activiteit, indien nodig.
  • Secure audit trail archiving-beveiligt het audit trail tegen manipulatie, wijziging of verwijdering, en biedt forensische zichtbaarheid.
  • controle van toegang tot gevoelige gegevens-controleert de toegang tot en wijzigingen van gegevens die worden beschermd door wet-en regelgeving en contractuele overeenkomsten. Activeert alarmen voor ongeautoriseerde toegang of wijzigingen. Creëert een auditspoor voor forensisch onderzoek.
  • gebruikersrechtenbeheer-identificeert buitensporige, ongepaste en ongebruikte privileges.
  • Gebruikerstracking-koppelt de eindgebruiker van de webtoepassing aan de gebruiker van de gedeelde toepassing/database en vervolgens aan de uiteindelijke gegevens waartoe toegang is verkregen.
  • VIP-gegevensprivacy-handhaaft een strikte toegangscontrole op zeer gevoelige gegevens, waaronder gegevens die zijn opgeslagen in multi-tier enterprise applicaties zoals SAP en PeopleSoft.

marketingkwesties begrijpen-grensoverschrijdende marketingkwesties bepalen — bijv., of producten of diensten rechtstreeks worden verkocht aan inwoners van andere landen, de taal die op een website wordt gebruikt of de inzet van mobiele applicaties), en marketingkwesties van derden (bijvoorbeeld het delen van informatie voor marketingdoeleinden).

het analyseren van compliance requirements-het bepalen van toepasselijke compliance requirements, op basis van de resultaten die zijn verzameld bij het begrijpen van de persoonsgegevens en het uitvoeren van een PIA.

  • wettelijke voorschriften-wetten van de staat, het land of de overheidsinstantie die de verzameling, het gebruik, de opslag, het vervoer en de bescherming van persoonsgegevens regelen. Voorbeelden hiervan zijn de General Data Protection Regulation (GDPR — Europese Unie), Personal Information Protection and Electronic Documents Act (PIPEDA — Canada), Information Technology Act 2000 (Ita — India), Privacy Act 1993 (Nieuw-Zeeland).
  • sectorspecifieke regelgeving-wetten of mandaten die bepalen hoe een specifieke sector, soort bedrijf of overheidsinstantie persoonsgegevens zal behandelen en beveiligen. Voorbeelden hiervan zijn Health Information Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
  • verplichtingen van derden-overeenkomsten tussen zakenpartners die bepalen hoe een contractant, verkoper of andere externe instantie persoonsgegevens die door de moederorganisatie zijn verzameld, zal behandelen en beveiligen. Een in India gevestigd agentschap dat creditcarddiensten levert voor een in de VS gevestigde leverancier moet zich bijvoorbeeld houden aan PCI DSS-vereisten voor gegevensbescherming.

ontwikkelen van privacybeleid en interne controles-creëren van externe privacyverklaringen (bijvoorbeeld website, mobiele app en offline Privacybeleid); intern en extern Privacybeleid en-procedures met betrekking tot gegevensbeheer, inbreuken op de privacy en beveiliging; en training inzake gegevensbescherming.

ontdek hoe Imperva-oplossingen voor gegevensbeveiliging en-maskering u kunnen helpen bij het ontwikkelen van uw kader voor gegevensbescherming.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Previous post Principles of Economics/Allocation
Next post Tom Hanks’ Ex-vrouw Samantha Lewes Was een actrice en leed aan botkanker voor haar dood op 50