Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archief Gegevensbescherming

    Voldoen aan de volgende golf van VS-regelgeving inzake gegevensbescherming

    Volgend jaar worden op het niveau van de staten verschillende privacywetten van kracht, die wellicht zullen worden aangevuld met een nationale privacywet. Nu is het tijd voor bedrijven om de gegevensbescherming te versterken.

    by Emily Wojcik
    gettyimages-1302475655.png

    Hoofdpunten

    • Amerikaanse bedrijven worden geconfronteerd met een toenemend aantal voorschriften inzake gegevensbescherming - mogelijk met inbegrip van een nationale wet inzake gegevensbescherming.
    • Belangrijke onmiddellijke stappen om de naleving te garanderen, zijn onder meer het verbeteren van de opsporing van persoonsgegevens en het verduidelijken wie toezicht houdt.
    • Op lange termijn hebben organisaties de instrumenten en beleidsmaatregelen nodig die iedereen in staat stellen gegevensbescherming serieuzer te nemen.

    Een wetsontwerp dat al tientallen jaren in de maak is, zou een nationale norm voor de regulering van de gegevensbescherming in de Verenigde Staten vaststellen. Het wetsvoorstel zou het verzamelen en delen van persoonsgegevens aan banden leggen, aangezien het ook voorziet in minimumnormen voor de beveiliging en bescherming van gegevens, beperkingen inzake het bewaren en verwijderen van informatie, en opleidingsverplichtingen.[1]

    Tot dusver hebben de Verenigde Staten een lappendeken van wetten inzake gegevensprivacy gehad. De Privacy Act van 1974 stelt eisen aan federale agentschappen die persoonlijke informatie verzamelen en verspreiden,[2] terwijl verschillende bedrijfstakken aan hun eigen regelgeving zijn onderworpen. De Federal Trade Commission heeft in mei 2000 voor het eerst een basiswetgeving inzake privacy aanbevolen, maar het Congres heeft niets ondernomen.[3] Intussen heeft Californië zijn eigen Consumer Privacy Act (CCPA) aangenomen, terwijl vier andere staten wetten hebben die in 2023 van kracht worden en bijna drie dozijn andere staten een of andere wet inzake gegevensprivacy hebben ingediend.[4]

    Aanpak van een lappendeken van gegevensbeschermingsvoorschriften

    Als gevolg daarvan zijn organisaties eraan gewend geraakt om tegelijkertijd aan verschillende reeksen regels te voldoen. Volgens een recente whitepaper van Osterman Research, Privacy Compliance in the United States: Status and Progress in 2022 , is tweederde van de Amerikaanse bedrijven onderworpen aan drie of meer privacyvoorschriften.

    Zelfs met een alomvattende nationale wet zal deze complexiteit waarschijnlijk niet verdwijnen. Amerikaanse organisaties met buitenlandse klanten zullen nog steeds onderworpen zijn aan internationale wetten, zoals de Algemene verordening gegevensbescherming (GDPR) van Europa en de Canadese Personal Information Protection and Electronic Documents Act (PIPEDA). Ondertussen meldt Politico dat bestaande wetten van staten, met name de CCPA, niet zouden worden vrijgesteld door een nieuwe federale wet. Bovendien zullen sectorspecifieke voorschriften zoals de Health Insurance Portability and Accountability Act (HIPAA) en de Gramm-Leach-Bliley Act (GLBA) voor financiële instellingen ook van kracht blijven.

    Het Osterman Research-rapport, gesponsord door Mimecast, suggereert dat organisaties het gevaar lopen achterop te raken. Slechts 47% leeft de bestaande regelgeving inzake gegevensprivacy volledig na, en slechts 38% beschouwt zijn aanpak van de regelgeving die in 2023 van kracht wordt als "volwassen" of "volledig volwassen" (deze regelgeving omvat de California Privacy Rights Act (CPRA) en soortgelijke wetten in Colorado, Connecticut, Virginia en Utah). Het helpt niet dat de details van regels zoals CPRA nog moeten worden afgerond.

    Dit gebrek aan rijpheid benadrukt de noodzaak voor organisaties om een dataprivacykader te ontwikkelen dat hen in staat stelt te voldoen aan bestaande en toekomstige vereisten, terwijl beste praktijken voor dataprivacy worden ingebouwd in de zakelijke besluitvorming. Terwijl bedrijven hun aanpak van dataprivacy versterken, biedt het Osterman Research-rapport vijf to-dos voor de korte termijn en identificeert het vijf strategieën voor het verbeteren van governance, gegevensbeheer en algemene bedrijfspraktijken.

    5 snelle successen voor de naleving van gegevensbescherming

    Op korte termijn adviseert Osterman Research bedrijven om de volgende stappen te nemen:

    • Bepaal uw motivatie. De gevolgen van het niet beschermen van persoonsgegevens lopen sterk uiteen. Een door de regelgever opgelegde boete kost geld, maar de reputatie schaden of het vertrouwen van klanten verliezen kan nog schadelijker zijn, omdat tientallen jaren van hard werk in een kort moment worden uitgewist.
    • Zoek gevoelige persoonlijke gegevens. Slechts 55% van de organisaties heeft een gegevensaudit uitgevoerd en weet waar gevoelige persoonsgegevens zich bevinden. Dit is een cruciale stap, vooral omdat bij werk op afstand de kans toeneemt dat gegevens worden opgeslagen in niet-goedgekeurde clouddiensten, mobiele apps of zelfs persoonlijke apparaten. En vergeet niet dat e-mailsystemen schatkamers van persoonlijke gegevens bevatten die moeten worden beschermd.
    • Verbeter de ontdekking van persoonlijke gegevens. Nog een stap verder: minder dan 40% van de organisaties kan persoonlijke gegevens ontdekken die zijn opgeslagen in chatprogramma's, pc's of spreadsheets. Minder dan 25% kan persoonlijke gegevens ontdekken in cloud-apps. Dit maakt organisaties bijzonder kwetsbaar.
    • Classificeer bedrijfsgegevens. Classificatie helpt organisaties te bepalen welke gegevensbronnen onder de privacyregels vallen en dus extra bescherming behoeven. Helaas heeft slechts 16% van de organisaties 100% van hun gegevens geclassificeerd, terwijl de helft 76% van de gegevens heeft geclassificeerd.
    • Toezicht op de naleving van de privacyregels. Voor te veel organisaties is het onduidelijk wie verantwoordelijk is voor de naleving van de gegevensbescherming. Bij 18% van de organisaties is niemand officieel met deze verantwoordelijkheid belast. Anderzijds vertrouwt 47% van de organisaties op twee of meer toezichthoudende groepen, wat tot onzekerheid kan leiden en vooruitgang in de kiem kan smoren.

    5 strategieën om de naleving van de gegevensprivacywetgeving op lange termijn te verbeteren

    Voor de langere termijn is dit wat organisaties wordt aangeraden te doen:

    Invoeren van controles op de toegang tot gegevens in de hele organisatie. Meer dan 50% van de organisaties heeft geen vertrouwen in hun vermogen om bij te houden en te controleren wie toegang heeft tot persoonsgegevens. Het onvermogen om dit te doen betekent dat zelfs het krachtigste beleid inzake gegevensbeheer en toegang grotendeels ondoeltreffend is, aangezien er geen manier is om na te gaan of de persoon die zijn toegangsrechten uitoefent ook werkelijk de persoon is die deze rechten heeft.

    Om dit probleem aan te pakken moeten in de hele organisatie identiteits- en toegangsbeheercontroles worden ingevoerd. Praktijken zoals multifactorauthenticatie, scheiding van taken en rolgebaseerde toegang helpen ervoor te zorgen dat alleen de personen die voor hun werk toegang tot persoonlijke informatie nodig hebben, toegang hebben tot de toepassingen of databanken met die informatie.

    Maak gebruik van real-time gegevensbeschermingscontroles. Er zijn drie technologiegestuurde controles ter bescherming van gevoelige persoonsgegevens:

    • Ontdekking van gegevensassets op het punt van creatie.
    • Voortdurend toezicht op en beheer van privacyrisico's.
    • Real-time of bijna real-time in kaart brengen van gegevensassets.

    Met deze mogelijkheden zijn organisaties beter in staat om privacyrisico's met gegevens te identificeren en te beperken voordat het grootschalige problemen worden. De meeste organisaties maken nog geen gebruik van deze instrumenten en vertrouwen in plaats daarvan op handmatige processen die slechts gedeeltelijke en retrospectieve inzichten verschaffen vanwege de tijd en moeite die ermee gemoeid zijn.

    Meer bedrijfseenheden betrekken bij nalevingsinspanningen. Traditioneel leiden medewerkers en leidinggevenden van vijf kernbedrijfseenheden de inspanningen op het gebied van naleving: Informatiebeveiliging, privacy en veiligheid, IT, compliance en risicobeheer. Naarmate de regelgeving inzake gegevensprivacy meer onderdelen van het bedrijf raakt, is het voor organisaties van belang ook andere groepen bij de zaak te betrekken. Dit zijn slechts enkele voorbeelden:

    • Auditors moeten hun praktijken voor nalevingsbeoordeling bijwerken.
    • Personeelszaken kan deskundigheid op het gebied van gegevensprivacy willen laten meewegen bij beslissingen over aanwerving en promotie.
    • Aanbestedende diensten moeten dienstencontracten met derden nauwkeurig onderzoeken op privacyoverwegingen.
    • Marketingteams moeten alles opnieuw bekijken, van gegevensverzamelingspraktijken tot opt-out- en unsubscribe-taal in uitgaande e-mails.

    Versterking van de bescherming tegen inbreuken op gegevens. Bedrijven hebben geen vertrouwen in hun vermogen om inbreuken op gegevens te identificeren en ervoor te zorgen dat persoonlijke informatie in veilige handen blijft.

    • Slechts 36% van de organisaties kon een datalek in real time opsporen en voorkomen.
    • Slechts 38% kon een inbreuk identificeren zodra deze succesvol was. Alles bij elkaar kon minder dan twee derde van hen een inbreuk binnen een week identificeren.
    • Slechts 32% van de organisaties zei dat geschonden gegevens onleesbaar zouden zijn voor de aanvaller die er toegang toe had gehad.

    Dit vraagt om een aanzienlijk betere bescherming tegen inbreuken op gegevens. Realtime inbraakdetectie in combinatie met training van werknemers kan bijvoorbeeld een poging tot gegevensinbraak tijdens de vlucht stoppen - en een organisatie de tijd, energie en moeite besparen die nodig is om regelgevende instanties en klanten te informeren dat er een inbreuk heeft plaatsgevonden. Ondertussen beschermen technieken voor het afschermen van gegevens, zoals encryptie, tokenisering en pseudonimisering, persoonsgegevens in systemen en toepassingen tijdens de doorvoer, in rust en tijdens het gebruik.

    Inzetten van een reeks oplossingen voor privacy compliance. Aanvallers vormen een groot aantal bedreigingen, dus moeten bedrijven zo veel mogelijk stappen ondernemen om persoonsgegevens te beschermen en de naleving van de gegevensprivacyregels te waarborgen. Belangrijke oplossingen zijn onder meer privacy- en security awareness training, governance, risk and compliance (GRC) strategieën, data discovery, en data management.

    Samen helpen deze oplossingen organisaties te begrijpen waar persoonsgegevens worden gecreëerd en opgeslagen. Hoe gemakkelijker dit inzicht beschikbaar is, hoe robuuster het beleid van een organisatie voor informatiegovernance, dataretentie, en rolgebaseerde toegang. Slechts de helft van de organisaties beschikt over deze volledige set hulpmiddelen, waardoor het moeilijk en tijdrovend is om fundamentele gegevensprivacytaken uit te voeren.

    De kern van de zaak

    Alles bij elkaar schat Gartner dat bijna tweederde van de wereldbevolking tegen het einde van 2023 onder de regelgeving inzake gegevensprivacy zal vallen.[5] Een reeks wetten van staten - en mogelijk een nieuwe federale wet - zal tegen het einde van volgend jaar ook van toepassing zijn op in de Verenigde Staten gevestigde organisaties. Het is daarom absoluut noodzakelijk dat organisaties de privacy van persoonsgegevens serieus blijven nemen en kritieke lacunes in hun gegevensbeschermingsstrategieën en -toolkits opvullen. De Mimecast-productsuite omvat een reeks oplossingen die organisaties helpen hun gegevens, hun medewerkers en hun merken te beschermen tegen aanvallen die gericht zijn op persoonlijke gegevens.


    [1] Tweeledig wetsontwerp doorbreekt impasse in federale onderhandelingen over gegevensprivacy, Politico

    [2] "Privacy Act of 1974," U.S. Department of Justice

    [3] Na 20 jaar debat is het tijd voor het Congres om eindelijk een basiswetgeving inzake privacy aan te nemen, Brookings

    [4] 2022 Consumer Privacy Legislation, National Conference of State Legislatures

    [5] Gartner zegt dat tegen 2023 65% van de wereldbevolking persoonlijke gegevens zal hebben die onder moderne privacyregels vallen, Gartner

     

    28BLOG_1.jpg
    Up Next
    Archief Gegevensbescherming |
    Bedrijven lopen steeds meer risico op rechtszaken over gegevensprivacy

    Verwante Artikelen

    Archief Gegevensbescherming
    What Is Data Backup and Backup Storage?
    Archief Gegevensbescherming
    Best Practices for Secure Backups and Archives   
    Archief Gegevensbescherming
    Limiting the Blast Radius of a Data Breach  

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven