Vaak worden persoonsgegevens niet op de juiste manier verwerkt en beheerd, met name wat betreft de beveiliging ervan. Er bestaan ernstige zorgen over de fundamentele beveiliging van verschillende vormen van gevoelige persoonsgegevens, zoals financiële gegevens, gezondheidsgegevens, enz. Zonder de juiste beveiligingsmaatregelen en -processen zouden kwaadwillenden of cybercriminelen toegang hebben tot enorme hoeveelheden gevoelige persoonsgegevens, wat zou leiden tot complete chaos in het gegevensbeheer. Om deze kritieke en enorme hoeveelheid gegevens te kunnen verwerken, moeten we de dunne lijn tussen gegevensbeveiliging en gegevensprivacy begrijpen, twee begrippen die vaak door elkaar worden gebruikt.
Vandaag bespreken we de onderscheidende factor tussen gegevensbeveiliging en gegevensprivacy en de verschillende factoren zoals encryptie, tokenization, & maskeren die beiden beïnvloedt.
Gegevensbeveiliging versus gegevensprivacy
Het werkelijke verschil tussen dataprivacy en databeveiliging zit in welke gegevens worden beschermd en hoe ze worden beschermd. Databeveiliging gaat over het beschermen van gegevens tegen kwaadaardige bedreigingen en kwaadwillenden, terwijl dataprivacy gaat over het verantwoord gebruiken van gegevens.
Databeveiliging heeft betrekking op het beveiligen van gevoelige en kritieke gegevens. Databeveiliging is primair gericht op het afschrikken van ongeautoriseerde en onrechtmatige toegang tot gegevens via compromittering, inbreuken of lekken, ongeacht wie de ongeautoriseerde partij is. Bedrijven gebruiken IT-tools en -technologie zoals firewalls, toegangscontrole, gebruikersauthenticatie en -identificatie, netwerktoegangscontrole en interne beveiligingsmaatregelen om dergelijke toegang te voorkomen. Dit omvat ook de nieuwste beveiligingstechnologieën zoals encryptie, tokenisatie en maskering om de gegevensbescherming verder te verbeteren door deze onleesbaar te maken. Dit kan cybercriminelen in geval van een inbreuk verhinderen de enorme hoeveelheid gevoelige gegevens bloot te stellen.
Dataprivacy daarentegen gaat over hoe gevoelige persoonsgegevens worden gebruikt, opgenomen, verzonden of verwerkt in overeenstemming met de toestemming van de data-eigenaar. Dataprivacy gaat altijd over het vooraf informeren van personen over welke gegevens voor welk doel worden verzameld en met wie deze onder specifieke omstandigheden worden gedeeld. Zodra de organisatie deze disclaimers heeft opgesteld, moet de gebruiker akkoord gaan met de gebruiksvoorwaarden, waardoor de organisatie de gegevens mag gebruiken volgens de nalevingsnormen voor het aangegeven doel.
Dataprivacy gaat meer over het verantwoord gebruik van data met specifieke disclaimers om misbruik te voorkomen, en minder over het beschermen van data zelf tegen kwaadwillenden. De toepassing van dataprivacy verschilt enigszins van databeveiliging; privacy wordt echter aangevuld met databeveiligingsmaatregelen zoals anonimisering van persoonsgegevens (het koppelen van persoonsgegevens aan de oorspronkelijke betrokkene), verduistering en nog veel meer.
Het komt vaak voor dat de woorden “gegevensbeveiliging” en “gegevensprivacy” als synoniemen worden gebruikt, hoewel ze in hun toepassing heel verschillend zijn.
Het komt vaak voor dat termen als databeveiliging en dataprivacy synoniem worden gebruikt, hoewel ze in hun toepassing sterk verschillen. Databeveiliging kan op zichzelf worden geïmplementeerd, terwijl dataprivacy beveiliging als een pijler op zichzelf nodig heeft. Simpel gezegd: dataprivacy maakt beperkte toegang mogelijk, terwijl databeveiliging verschillende processen of methoden gebruikt om die beperkte toegang te bieden.
Gegevensbeveiliging en gegevensprivacy versus naleving
Nu we meer weten over gegevensbeveiliging en gegevensprivacy, moeten we dieper ingaan op de manier waarop de verschillende branchevoorschriften organisaties helpen hun gegevensbeschermingslandschap te transformeren.
- PCI DSS
Het Betaalkaart Industrie Gegevensbeveiligingsstandaard (PCI DSS) Biedt een kader voor de bescherming van betaalkaartgegevens en kaarthoudergegevens. PCI DSS is fundamenteel gekoppeld aan standaarden voor de beveiligingsmaatregelen met betrekking tot de opslag, verwerking en verzending van betalingsgegevens, waaronder persoonsgegevens zoals naam, adres, enz. Deze standaard is van toepassing op handelaren, banken, alle betrokken derden en alle andere entiteiten die kaarthoudergegevens verwerken.
- CCPA
De California Consumer Privacy Act (CCPA) heeft als doel dat consumenten het eigendom, de zeggenschap en de veiligheid van hun persoonlijke gegevens behouden als ze staatsburger zijn van de staat Californië. Dit wordt bereikt door belangrijke rechten voor consumenten vast te leggen, zoals:
- Het recht om te weten welke persoonlijke informatie over hen wordt verzameld, verkocht en bekendgemaakt en waar dat gebeurt.
- De mogelijkheid om de verkoop van persoonlijke informatie te weigeren.
- Het recht op gelijke service en prijs als iemand besluit zijn/haar recht op privacy uit te oefenen.
- Het recht om uw persoonlijke gegevens te laten verwijderen.
- HIPAA
Het Zorgverzekeringsportabiliteit en verantwoordingsplicht (HIPAA) Biedt een reeks normen om de gevoelige gegevens van patiënten in de VS te beschermen. Deze regelgeving is complex, omdat deze een enorme hoeveelheid medische gegevens van Amerikaanse burgers omvat. Bedrijven die omgaan met beschermde gezondheidsinformatie (PHI) moeten administratieve, fysieke en technische beveiligingsmaatregelen treffen om te voldoen aan HIPAA. Er zijn entiteiten die onder de regelgeving vallen die behandelingen verlenen, betalingen accepteren, actief zijn in de gezondheidszorg, of zakenpartners, waaronder iedereen die patiëntgegevens heeft en ondersteuning biedt bij behandelingen, betalingen of operaties. De algemene beveiligingsregels vereisen dat entiteiten die onder de regelgeving vallen redelijke en passende administratieve, technische en fysieke beveiligingsmaatregelen treffen ter bescherming van PHI.
- Zorgt voor de vertrouwelijkheid, integriteit en beschikbaarheid van alle PHI die entiteiten creëren, ontvangen, onderhouden of verzenden.
- Identificeer en bescherm uzelf tegen redelijkerwijs te verwachten bedreigingen voor de beveiliging of integriteit van de informatie.
- Bescherming tegen redelijkerwijs te verwachten, ontoelaatbaar gebruik of openbaarmaking.
- Zorg ervoor dat het personeel van de betrokken entiteiten zich aan de regels houdt.
- GDPR
Het Algemene Gegevensbeschermingsverordening (GDPR) is een digitale standaard voor gegevensprivacy voor EU-burgers. De AVG bevat de algemene richtlijnen voor persoonsgegevens, zoals welke gegevens beschermd moeten worden, het soort persoonsgegevens en hoe de gegevens beheerd en beschermd moeten worden. De AVG is van toepassing op alle bedrijven die gegevens van EU-ingezetenen verzamelen en verwerken. Bedrijven buiten de EU moeten een AVG-vertegenwoordiger aanstellen en zijn aansprakelijk voor alle boetes en sancties.
- NYDFS
De cybersecurityregelgeving van het New York Department of Financial Services (NYDFS) omvat een reeks regels die van toepassing zijn op de betrokken financiële instellingen. NYDFS is van toepassing op alle financiële instellingen die opereren onder een DFS-licentie, -registratie of -charter, of die door DFS gereguleerd worden. De NYDFS Cybersecurityregelgeving bevat strikte richtlijnen voor cybersecurityregels en een gedetailleerd cybersecurityplan opgesteld door de CISO, implementatie van cybersecuritybeleid en een continu onderhouds- en rapportagesysteem voor cybersecurityincidenten.
- HITECH
De Health Information Technology for Economic and Clinical Health Act (HITECH) is bedoeld om het doelbewuste gebruik van elektronische patiëntendossiers (EPD's) door Amerikaanse zorgverleners en hun zakenpartners te ondersteunen. HITECH betekent dat zorgverleners moeten aantonen dat ze gecertificeerde EPD-technologie gebruiken om datalekken in niet-versleutelde EPD's te voorkomen.
De HITECH Act stimuleerde ook de strengere handhaving van de privacy- en beveiligingsregels van HIPAA door beveiligingsaudits van alle zorgverleners verplicht te stellen. Deze audits worden uitgevoerd om te onderzoeken en te bepalen of zorgverleners voldoen aan de minimaal gespecificeerde normen, of om te bepalen of ze voldoen aan de privacy- en beveiligingsregels van HIPAA.
Laten we bespreken hoe gegevensbeveiliging en gegevensprivacy kunnen worden bereikt met behulp van de volgende beveiligingstechnologieën:
- Encryptie
- tokenization
- Maskeren
- Versleuteling voor gegevensbeveiliging en gegevensprivacy:
Versleuteling biedt gegevensbeveiliging voor diverse vormen van vertrouwelijke gegevens, zoals kaarthoudergegevens, PHI, persoonlijk identificeerbare informatie (PII), enz., door te versleutelen/ontsleutelen met een wiskundig afgeleide sleutel die in het bezit is van een geautoriseerde partij. Gegevensbeveiliging is cruciaal in de huidige omgeving, waar kwaadwillenden overal op internet aanwezig zijn. Veel versleutelingstoepassingen beschermen persoonlijke gegevens tijdens data-at-rest en data-in-transit; ze laten echter gevoelige gegevens onbewaakt achter in plaintext tijdens de verwerking.
Hoewel encryptie de facto de standaard is geworden voor alle data-in-transit en data-in-rust toepassingen, biedt encryptie op zichzelf nog steeds geen volledige oplossing voor de privacy van gevoelige gegevens gedurende de gehele levensduur ervan.
- Tokenisatie voor gegevensbeveiliging en gegevensprivacy:
Tokenisatie speelt een belangrijke en essentiële rol bij het bieden van gegevensbeveiliging en gegevensprivacy, omdat het aan beide vereisten voldoet. Omdat tokenisatie de functionaliteit van pseudonimisering biedt, kan het worden beschouwd als een redundant beveiligingsmechanisme in geval van een inbreuk op de beveiliging. Met behulp van deze technologie is het, zelfs als de gegevens in het systeem van de organisatie zijn gecompromitteerd, niet erg nuttig voor kwaadwillenden, omdat pseudonimisering de gegevens ongevoelig maakt door ze te anonimiseren en onbruikbaar te maken voor cybercriminelen.
Doordat de gegevens in het systeem van de organisatie ongevoelig worden gemaakt, wordt het risico op dataprivacy tegengegaan. Het is dus duidelijk dat met behulp van tokenisatie onze databeveiliging de nodige sterkte krijgt, en dat tegelijkertijd de dataprivacy robuust wordt dankzij de ongevoeligheid van persoonsgegevens.
- Maskering voor gegevensbeveiliging en gegevensprivacy:
Gegevensmaskering speelt een belangrijke rol bij de privacy van gegevens door vertrouwelijke informatie, zoals creditcardgegevens, PHI, PII, enz., te beschermen door de werkelijke gegevens te vervangen door functionele fictieve gegevens die kunnen worden gebruikt in scenario's waarin de werkelijke gegevens niet nodig zijn. Gartner beschrijft het als een technologie die "gevoelige gegevens dynamisch of statistisch kan beschermen door ze te vervangen door fictieve gegevens die er realistisch uitzien, om gegevensverlies in verschillende gebruikssituaties te voorkomen." Datamaskering maakt gebruik van verschillende mechanismen om de gegevens te wijzigen met behulp van teken- of cijfervervanging, het herschikken van tekens of encryptie-algoritmen. Datamaskering, ook wel bekend als dataverduistering of datapseudonimisering, helpt dus in hoge mate bij het oplossen van problemen met de privacy van persoonsgegevens.
Conclusie
Gegevensbeveiliging en gegevensprivacy zijn twee verschillende benaderingen voor de verwerking van vertrouwelijke persoonsgegevens van individuen; ze worden echter vaak door elkaar gehaald. Het is duidelijk dat datamaskering en tokenisatie zich sterk richten op het bieden van maatregelen voor gegevensprivacy, terwijl encryptie zich vooral richt op gegevensbeveiliging. Gezien de feiten van alle drie de beveiligingstechnologieën kunnen we stellen dat geen enkele technologie persoonsgegevens volledig kan beveiligen. Ze moeten allemaal samenwerken om gevoelige persoonsgegevens in verschillende fasen van hun levenscyclus tegen diefstal te beschermen.
