voor organisaties die gegevens verzamelen of beheren—en personen die er eigenaar van zijn—moeten privégegevens en de veiligheid van die gegevens niet licht worden opgevat. Ze zijn primaire zorgen bij het uitvoeren van het proces van de bescherming van fundamenteel gevoelige informatie, zoals identiteiten, financiën, en medische dossiers. Zonder hen zouden cybercriminelen en andere kwaadaardige actoren toegang hebben tot duizelingwekkende hoeveelheden potentieel schadelijke gegevens. Echter, niet iedereen herkent of begrijpt het verschil tussen privacy en beveiliging van gegevens. Als gevolg daarvan worden de termen vaak verkeerd gebruikt of verward als hetzelfde.wat zijn privacy en beveiliging van gegevens?
Privacy vs. veiligheid
het verschil tussen privacy en veiligheid komt neer op welke gegevens worden beschermd, hoe het wordt beschermd, tegen wie het wordt beschermd en wie verantwoordelijk is voor die bescherming. Beveiliging gaat over het beschermen van gegevens tegen kwaadaardige bedreigingen, terwijl privacy gaat over het verantwoord gebruiken van gegevens.
gegevensbeveiliging houdt zich uiteraard bezig met het beveiligen van gevoelige gegevens. Waar dataprivacy en-beveiliging beginnen te verschillen, is in wie of waarvoor ze gegevens beschermen. Gegevensbeveiliging is in de eerste plaats gericht op het voorkomen van onbevoegde toegang tot gegevens, via inbreuken of lekken, ongeacht wie de onbevoegde partij is. Om dit te bereiken gebruiken organisaties tools en technologie zoals firewalls, gebruikersauthenticatie, netwerkbeperkingen en interne beveiligingspraktijken om dergelijke toegang af te schrikken. Dit omvat ook beveiligingstechnologieën zoals tokenisatie en encryptie om gegevens verder te beschermen door het onleesbaar te maken—wat, in het geval dat een inbreuk optreedt, cybercriminelen kan dwarsbomen van potentieel enorme hoeveelheden gevoelige gegevens bloot te stellen.
Privacy is er echter op gericht ervoor te zorgen dat de gevoelige gegevens die een organisatie verwerkt, opslaat of verzendt, conform EN met toestemming van de eigenaar van die gevoelige gegevens worden opgenomen. Dit betekent individuen vooraf informeren over welke soorten gegevens zullen worden verzameld, met welk doel en met wie deze zullen worden gedeeld. Zodra deze transparantie is verstrekt, moet een individu dan akkoord gaan met de Gebruiksvoorwaarden, zodat de organisatie die gegevens opneemt deze kan gebruiken in overeenstemming met de vermelde doeleinden.
privacy gaat dus minder over het beschermen van gegevens tegen kwaadaardige bedreigingen dan over het verantwoord gebruiken ervan, en in overeenstemming met de wensen van klanten en gebruikers, om te voorkomen dat deze gegevens in verkeerde handen vallen. Maar dat betekent niet dat het niet ook beveiligingsmaatregelen kan omvatten om ervoor te zorgen dat de privacy wordt beschermd. Andere gemeenschappelijke privacybepalingen zijn bijvoorbeeld inspanningen om te voorkomen dat gevoelige gegevens aan de betrokkene of natuurlijke persoon worden gekoppeld—zoals het niet identificeren van persoonsgegevens, het verduisteren ervan of het opslaan ervan op verschillende plaatsen om de kans op heridentificatie te verkleinen.
te vaak worden de termen veiligheid en privacy door elkaar gebruikt, maar je kunt zien dat ze in feite verschillend zijn—hoewel soms moeilijk te onderscheiden. Terwijl aan beveiligingscontroles kan worden voldaan zonder ook aan privacyoverwegingen te voldoen, zijn privacybezwaren onmogelijk aan te pakken zonder eerst effectieve beveiligingspraktijken toe te passen. Met andere woorden, privacy beperkt de toegang, terwijl veiligheid het proces of de toepassing is om die toegang te beperken. Met andere woorden: beveiliging beschermt gegevens en privacy beschermt identiteit.
Privacy en beveiliging in de praktijk
laten we eens kijken naar een hypothetisch voorbeeld van deze concepten. Wanneer u een mobiele applicatie op uw smartphone downloadt, wordt u waarschijnlijk gevraagd om een privacyovereenkomst waarmee u moet instemmen voordat de installatie begint. Vanaf daar, de app kan ook vragen om toegang tot bepaalde informatie die is opgeslagen op uw telefoon, zoals uw contacten, locatiegegevens, of foto ‘ s. Zodra u hebt besloten om de app Deze machtigingen te verlenen, is het dan verantwoordelijk voor het beveiligen van uw gegevens en het beschermen van de privacy van die gegevens—wat niet altijd gebeurt.
als bijvoorbeeld de ontwikkelaar van die app zich omdraaide en de informatie die u gaf zonder uw toestemming aan een derde partij of marketingbedrijf verkocht, zou dat een schending van uw privacy zijn. Als de app maker zou lijden aan een inbreuk, het blootstellen van uw informatie aan cybercriminelen, dat zou een andere schending van uw privacy, maar het zou ook een beveiligingsfout. In beide gevallen, de ontwikkelaar niet in geslaagd om uw privacy te beschermen.
Privacy en beveiliging van gegevens vs. Compliance
Nu u een basiskennis hebt van het verschil tussen gegevensprivacy en beveiliging, laten we eens kijken naar een paar gemeenschappelijke regels die zijn ontworpen om richtlijnen te bieden voor het onderhouden van elk en hoe ze het gegevensbeschermingslandschap vormen.
De Payment Card Industry Data Security Standard (PCI DSS) is een reeks regels voor het beschermen van gevoelige betaalkaartinformatie en kaarthoudergegevens. Hoewel het voornamelijk gaat om het standaardiseren van de beveiligingscontroles voor de verwerking, opslag en overdracht van betalingsgegevens, omvat het ook maatregelen voor persoonlijke informatie die vaak verband houdt met betalingen, zoals namen en adressen. Het is van toepassing op banken, handelaren, derden en alle andere entiteiten die kaarthoudergegevens van de belangrijkste betaalkaartmerken verwerken.
de Algemene Verordening Gegevensbescherming van de Europese Unie (GDPR) is een internationale standaard voor de bescherming van de privacy van EU-burgers. Deze wet stelt belangrijke termen en definities vast voor welke gegevens moeten worden beschermd( betrokkenen), welke soorten gegevens dat inhoudt (persoonsgegevens) en hoe die gegevens moeten worden beheerd en beveiligd. Elke entiteit die gegevens van EU-burgers verzamelt, is onderworpen aan deze verordening.
De California Consumer Privacy Act (CCPA) is de Amerikaanse norm die bepaalt hoe organisaties de gegevens van Californische burgers en hun huishoudens mogen verwerken. Net als de GDPR documenteert het welke gegevens worden beschermd en beschrijft het de vereisten voor de bescherming van die gegevens. Alle organisaties die gegevens van Californiërs verwerken, moeten zich aan dit statuut houden.
De Health Insurance Portability and Accountability Act (HIPAA) houdt zich bezig met de bescherming van gevoelige gezondheidsinformatie van patiënten in de VS.Deze verordening is bijzonder complex vanwege de enorme hoeveelheid en verscheidenheid aan beschikbare gezondheidsgegevens—alles van de geboortedatum van een patiënt tot de voorgeschreven medicatie en röntgenfoto ‘ s. Het bestaat ook in zowel fysieke als digitale vormen die anders moeten worden beschermd, wat het beveiligen van persoonlijke gezondheidsinformatie onmogelijk maakt met een “one size fits all” – benadering.
hoewel het belangrijk is om te voldoen aan de vereisten van elke regelgeving die relevant is voor uw organisatie om boetes en andere dure boetes te voorkomen, is het ook vermeldenswaard dat het voldoen aan minimale compliance verplichtingen niet altijd resulteert in adequate beveiligings-of privacymaatregelen. Door prioriteit te geven aan de implementatie van effectieve dataprivacy—en beveiligingscontroles—in plaats van simpelweg te voldoen aan minimale wettelijke vereisten-zullen organisaties vaak dezelfde verplichtingen overschrijden, terwijl ze ook hun veiligheidsstatus verbeteren en zich beter positioneren om te anticiperen op toekomstige regelgeving. Tokenization biedt een effectieve methode om dat te doen.
Tokenization voor gegevensprivacy en beveiliging
een van de unieke dingen van tokenization—en een van de grootste sterke punten—is het potentieel om te voldoen aan zowel de privacy en beveiliging van gegevens. Door zijn vermogen om informatie te pseudonimiseren, kan tokenization fungeren als een beveiliging failsafe om gevoelige gegevens te beschermen in het geval van een inbreuk, waardoor de gegevens die zijn opgeslagen in het geschonden systeem onleesbaar voor cybercriminelen. In feite desensibiliseert pseudonimisering gegevens door het te deidentificeren en te voorkomen dat het wordt teruggestuurd naar zijn oorspronkelijke, gevoelige vorm.
omdat tokenization gevoelige gegevens uit interne systemen verwijdert, kan het het risico op gegevensdiefstal vrijwel elimineren, waardoor het een bijzonder nuttig instrument is voor risicovermindering en compliance in termen van zowel gegevensprivacy als veiligheidsoverwegingen. Dus zelfs als de beveiligingssystemen die zijn opgezet om de privacy van gegevens te beschermen in het gedrang komen, de privacy van die gevoelige informatie niet.
voor meer informatie over tokenization en hoe het voldoet aan zowel de veiligheid en privacy zorgen, check out onze “Hoe kies je een Tokenization oplossing” ebook hieronder.