Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archief Gegevensbescherming

    Top 9 redenen waarom u een Data Privacy Framework nodig hebt

    Gegevensprivacy is een bedrijfs-, technologie- en regelgevingskwestie die er elke dag meer toe doet. Hier leest u hoe een privacykader uw bedrijf kan helpen hiermee om te gaan.

    by Karen Lynch
    gettyimages-1300319507.png

    Hoofdpunten

    • Nieuwe voorschriften, technologieën en bedrijfsregelingen leggen de lat voor de bescherming van de persoonlijke levenssfeer steeds hoger.
    • Een kader voor gegevensprivacy kan uw bedrijf helpen om te voldoen aan de eisen van vandaag en om te schakelen naar die van morgen.
    • Bedrijven kunnen putten uit het privacyraamwerk van NIST, leveranciers van privacytechnologie, leveranciers van clouddiensten en andere bronnen om hun eigen raamwerk te implementeren.

    Gegevensprivacy is een bewegend doelwit, en uw regelgevers, klanten, werknemers en partners verwachten dat uw bedrijf gelijke tred houdt. Een privacykader is een instrument dat u kan helpen deze uitdaging aan te gaan met een combinatie van discipline en flexibiliteit door het privacybeleid en de privacyprocedures vast te leggen die uw bedrijf volgt.

    Waarom zijn privacykaders van belang?

    Politieke, zakelijke en technologische ontwikkelingen blijven druk uitoefenen op de manier waarop bedrijven omgaan met gegevensprivacy, waardoor ze privacykaders omarmen die onmiddellijke zorgen kunnen wegnemen en hen kunnen helpen zich aan te passen aan veranderingen. Dit is wat er gebeurt:

    1. Beleid in de VS: De vooruitzichten voor een alomvattend nationaal privacybeleid worden steeds beter,[1] zelfs nu afzonderlijke staten hun eigen regels blijven uitvaardigen en overheidsinstanties een lappendeken van oudere regels in de boeken handhaven.
    2. Internationaal beleid: Met de Europese Algemene Verordening Gegevensbescherming (GDPR) is een wereldwijde norm vastgesteld die door veel andere landen en plaatsen is overgenomen. In het kader van de handhaving zijn aan honderden bedrijven boetes opgelegd. Maar nu de GDPR vijf jaar oud is, vragen sommige beleidsmakers om een heroverweging.[2]
    3. Business: De huidige regelingen van bedrijven voor werken op afstand zijn een test voor de privacyregels en de naleving daarvan door werknemers en leveranciers van clouddiensten.
    4. Consumenten: De druk van de consument neemt toe: uit een recente enquête blijkt dat bijna 80% van de mensen zich zorgen maakt over de privacy van hun gegevens.[3]
    5. Technologie: Innovaties zoals kunstmatige intelligentie en gezichtsherkenning brengen belangrijke nieuwe privacyproblemen met zich mee.
    6. Beveiliging: Inbreuken op gegevens vormen een van de grootste bedreigingen voor de dataprivacy, aangezien bij 80% van deze incidenten persoonlijk identificeerbare informatie (PII) wordt gestolen.[4] De dreiging neemt toe: in 2020 zullen bij inbreuken veel meer records worden blootgelegd dan ooit tevoren.[5]

    Redenen waarom uw organisatie een Data Privacy Framework nodig heeft

    Een dataprivacyraamwerk is een levend document met richtlijnen die kunnen worden aangepast naarmate de gebeurtenissen zich ontvouwen, zodat het uw bedrijf kan klaarstomen voor succes in deze turbulente omgeving. Het National Institute of Standards and Technology (NIST), de Amerikaanse normalisatie-instelling, geeft drie tactische redenen waarom uw bedrijf een dataprivacyraamwerk nodig heeft:

    1. Besluitvorming: Een kader kan ethische besluitvorming ondersteunen bij productontwikkeling en operaties - waarbij het gebruik van gegevens wordt geoptimaliseerd en de nadelige gevolgen voor de privacy van individuen tot een minimum worden beperkt.
    2. Compliance: Het kan helpen om aan de huidige regelgeving te voldoen en tegelijkertijd toekomstbestendig te zijn tegen veranderende regels en technologieën.
    3. Communicatie en samenwerking: Als u de richtlijnen van uw bedrijf op schrift hebt staan, kunt u uw privacypraktijken beter communiceren binnen uw organisatie en daarbuiten, naar klanten, partners en regelgevende instanties.

    Wat is het NIST-privacykader?

    Het privacyraamwerk van NIST is iets meer dan een jaar oud en nog steeds in ontwikkeling, en veel bedrijven hebben het overgenomen als basis voor hun eigen raamwerken. [6] De vrijwillige richtlijnen van NIST worden op grote schaal gevolgd, aangezien van overheidsaannemers vaak wordt verwacht dat zij deze naleven voor overheidsopdrachten, wat ook een domino-effect heeft op overheidsopdrachten in de particuliere sector in de VS en daarbuiten. Het privacykader van het instituut is ontworpen om samen te werken met het cyberbeveiligingskader.

    Het privacykader van NIST is gestructureerd rond zakelijke drijfveren, organisatorische rollen en verantwoordelijkheden, en privacybeschermingsactiviteiten. [7] Het ziet er als volgt uit:

    • Functies: Welke overwegingen met betrekking tot het beheer van privacyrisico's op hoog niveau worden gebruikt om gevoelige gegevens te identificeren, te beheren, te controleren, mee te delen en te beschermen? Zo zouden beslissingen inzake beheer bijvoorbeeld wettelijke vereisten erkennen en bedrijfsbeleid vaststellen om de inspanningen te prioriteren. Controlekwesties kunnen richting geven aan gegevensbeheer en -governance. Beslissingen over bescherming hebben betrekking op privacygebeurtenissen in verband met cyberbeveiliging, zoals inbreuken op gegevens.
    • Profielen: Hoe goed vervult uw bedrijf momenteel elk van deze functies? Wat is uw gewenste prestatieniveau?
    • Implementatie: Wat zijn de processen en middelen die nodig zijn om uw beoogde profiel te bereiken? Hier wordt de lijst van NIST vrij lang en gedetailleerd, met inbegrip van risicobeoordelingen, inventarissen, bewustmakingsprogramma's, controlemechanismen en meer.

    Bedrijven kunnen ervoor kiezen hun privacykaders te baseren op het model van NIST of op andere modellen. De Internationale Organisatie voor Normalisatie (ISO) heeft bijvoorbeeld een ander algemeen kader gepubliceerd. [8] In de gezondheidszorg is een "Draft Consumer Privacy Framework for Health Data" gepubliceerd door een tweetal belangengroepen die leemten willen opvullen in de gegevensbescherming die wordt geboden door de Health Insurance Portability and Accountability Act (HIPAA). [9]

    Wat uw keuze ook is, uw bedrijf kan zijn privacykader niet beschouwen als een "one and done"-oefening, maar moet het regelmatig herzien, bijstellen, communiceren en zijn werknemers opleiden om gelijke tred te houden met nieuwe ontwikkelingen.

    Tenuitvoerlegging van kaders voor gegevensprivacy

    Op technisch niveau impliceert de tenuitvoerlegging van kaders voor gegevensprivacy processen die een van de volgende kunnen omvatten:

    • Identificeer en prioriteer vertrouwelijke informatie, zoals creditcardnummers van klanten of socialezekerheidsnummers van werknemers.
    • Breng in kaart hoe vertrouwelijke informatie in uw bedrijf stroomt en wie daarbij betrokken is.
    • Beperkingen stellen aan het verzamelen, bewaren, raadplegen, gebruiken en delen van informatie.
    • Verkrijg de toestemming van de betrokkenen.
    • Persoonsgegevens coderen, de-identificeren en anonimiseren.
    • Monsterneming, herziening, analyse en routebepaling van gemarkeerde gegevens.
    • Zoek en verwijder klantinformatie op verzoek, binnen de reglementaire tijdlijnen.
    • Bewaken en controleren van interne en externe gegevensgovernance.
    • Inbreuken met PII in bijna-realtime aan de regelgevers melden.

    "CIO's spelen een belangrijke rol bij het vaststellen van basiscapaciteiten voor een duurzaam privacyprogramma", meldt CIO Dive. "Als die lagen er eenmaal zijn, hebben bedrijven de vrijheid om naar behoefte te evolueren zonder extra veranderingen in de rest van de organisatie te introduceren." [10]

    Sommige bedrijven merken dat ze hun privacyprocedures moeten aanpassen in de huidige omgeving van telewerken. "Bij het omgaan met persoonsgegevens tijdens het thuiswerken worden gebruikers alleen gelaten met talrijke wettelijke verplichtingen die moeilijk te begrijpen zijn en kunnen zij onbewust in overtreding van de wet raken," zegt Europees Parlementslid Alex Voss. [11]

    Automatisering van kaders voor gegevensprivacy

    Bedrijven kunnen de privacybescherming zelf automatiseren en met consultants op hun bestaande systemen werken, of ze kunnen zich wenden tot een groeiende "privacy tech"-industrie voor meer gespecialiseerde hulpmiddelen om hun gegevensprivacykaders uit te voeren.

    Veel organisaties met grote hoeveelheden informatie in hun bezit zijn erachter gekomen dat ze hun compliance-taken niet langer kunnen uitvoeren zonder hulp van privacytechnologieën, volgens het "2021 Privacy Tech Vendor Report" van de International Association of Privacy Professionals (IAPP). [12] Productcategorieën in het rapport zijn onder meer assessment management tools die compliance lacunes kunnen lokaliseren; consent management tools die de toestemming van gebruikers voor tracking en andere doeleinden beheren; incident response oplossingen die bedrijven helpen relevante stakeholders te informeren dat hun informatie bij een inbreuk is gecompromitteerd; en andere.

    Aanbieders van clouddiensten verbinden zich er ook toe de naleving van de privacyregels door hun klanten te ondersteunen, zoals Mimecast doet voor zijn e-mail-, opslag- en archiveringsoplossingen . Dit omvat vaak contractuele garanties dat de dienstverlener zich zelf aan de privacyregels houdt. Bovendien kunnen dienstverleners de systeembeheerders van hun klanten uitrusten met beheerconsoles voor compliance-processen zoals het doorzoeken van archieven, e-discovery en review.

    De kern van de zaak

    Bedrijven kunnen beter werk leveren op het gebied van gegevensprivacy als ze privacykaders opzetten waarin het beleid en de procedures voor de bescherming van de persoonlijke informatie van hun klanten en werknemers zijn vastgelegd. Raamwerken kunnen hen helpen te voldoen aan de eisen van vandaag en zich aan te passen aan die van morgen in een steeds veranderende zakelijke, technologische en regelgevende omgeving.

     

    [1] " The Battle of the Bills Begins: Voorgestelde federale wetgeving inzake gegevensprivacy beoogt een einde te maken aan het patchworkprobleem, maar vergroot de handhaving ," National Law Review

    [2] " How to Bring GDPR into the Digital Age ," Politico

    [3] " Gegevens van Entrust onthullen tegenstrijdigheden in het consumentenvertrouwen ten aanzien van gegevensbescherming en -beveiliging in 2021 ," Entrust

    [4] " Global Cost of Data Breach Study 2020 ," Ponemon Institute

    [5] " Nieuw onderzoek: Aantal blootgestelde records gestegen met 141% in 2020 ," Risk Based Security

    [6] " Voordelen, eigenschappen en gewoonten van rijpe privacy- en gegevensbeschermingsprogramma's ," International Association of Privacy Professionals

    [7] " NIST-privacykader ," Nationaal Instituut voor normen en technologie

    [8] " Uitbreiding van ISO/IEC 27001 en ISO/IEC 27002 voor privacyinformatiebeheer ," Internationale Organisatie voor Normalisatie

    [9] " Privacy en cyberveiligheid ," eHealth Initiative & Stichting en Centrum voor Democratie en Technologie

    [10] " De ware rol van de CIO in gegevensbescherming ," CIO Dive

    [11] " How to Bring GDPR into the Digital Age ," Politico

    [12] " 2021 Privacy Tech Vendor Report ," International Association of Privacy Professionals

    gettyimages-1209883999.png
    Up Next
    Archief Gegevensbescherming |
    Alles wat u moet weten over IT-rampherstel

    Verwante Artikelen

    Archief Gegevensbescherming
    Bedrijven lopen steeds meer risico op rechtszaken over gegevensprivacy
    Archief Gegevensbescherming
    Voldoen aan de volgende golf van VS-regelgeving inzake gegevensbescherming
    Archief Gegevensbescherming
    Radicati Recognizes Mimecast for Information Archiving

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven