Aan de slag

Wat is gegevensprivacy?

Gegevensprivacy is een vorm van gegevensbeveiliging die erop gericht is te garanderen dat gegevens alleen door bevoegde personen en voor het beoogde doel worden gebruikt.

Demo Risk Management

Ons vermogen om gegevens te creëren, verzamelen, delen en analyseren groeit exponentieel. In feite wordt gesuggereerd dat de mensheid elke dag maar liefst 2,5 quintiljoen bytes aan gegevens produceert. En elke minuut van de dag worden enorme hoeveelheden van die gegevens verzameld door organisaties, die ze gebruiken om inzicht te krijgen in trends, kansen en een glimp op te doen van hoe hun klanten denken.

Helaas is het verzamelen van gegevens vaak een ‘cast a wide net’-benadering, waarbij op illegale wijze vertrouwelijke gebruikersinformatie wordt verzameld, samen met de meer openbare gegevens, wat problemen oplevert voor zowel consumenten als bedrijven. Tegelijkertijd kunnen zelfs persoonlijke gegevens die vrijwillig worden gedeeld door klanten grote problemen veroorzaken als ze niet worden beveiligd tegen ongeoorloofde toegang. Als zodanig is de kwestie van de gegevensprivacy een relevante zorg in alle markten en sectoren.

Dankzij de verbeterde reikwijdte en doeltreffendheid van de digitalisering van gegevens is het voor allerlei organisaties een eenvoudige zaak geworden om persoonlijke profielen op te bouwen op basis van de vastgelegde gegevens van individuen. En dit gaat verder dan basisinformatie zoals naam, leeftijd en adres; tegenwoordig bestaan bijna alle vormen van persoonlijke informatie digitaal - van de schijnbaar onschuldige (zoals interesses en hobby's, koopvoorkeuren, relaties, enz.) tot de uiterst privacygevoelige (zoals sociale-zekerheidsnummers, kredietinformatie, gezondheidsgegevens, locatie en verplaatsingen, enz.).

In veel gevallen wordt de informatie die we online delen, bewust of anderszins, door machines gebruikt om ze slimmer te maken; de foto van de puppy die we op sociale media plaatsen helpt semi-intelligente algoritmen te leren om een puppy te herkennen als die er een ziet. De zoekopdrachten die we online uitvoeren leren machines hoe ze menselijke taal beter kunnen begrijpen en repliceren.

Maar hoe de gegevens ook worden gebruikt, het feit dat ze bestaan en beschikbaar zijn voor onbekende gebruikers is een grote bron van zorg aan het worden. Klanten (en niet te vergeten wetgevers) over de hele wereld beginnen te eisen dat bedrijven de oorspronkelijke eigenaars van de gegevens het laatste woord geven over de manier waarop hun gegevens worden verzameld en gebruikt.

Organisaties die een gezond beleid inzake gegevensprivacy opstellen en volgen, zijn dus beter in staat vertrouwen te wekken bij hun klanten. Tegelijkertijd elimineren zij de juridische risico's die verbonden zijn aan het schenden van nieuwe en toekomstige wetten, normen en voorschriften op het gebied van gegevensprivacy. De recente boete van 5 miljard dollar van Facebook door de FTC is een voorbeeld van hoe hoog de straffen voor het schenden van deze wetten kunnen oplopen.

De boete van 5 miljard dollar van Facebook is de grootste die ooit aan een bedrijf is opgelegd wegens schending van de privacy van consumenten, maar het zal zeker niet de laatste zijn in zijn soort. Overheidswaakhonden in de Verenigde Staten, de Europese Unie, Zuid-Amerika en in de rest van de wereld nemen krachtig stelling tegen het ongeoorloofd verzamelen en gebruiken van gegevens. Organisaties die hun beleid inzake gegevensbescherming niet bijwerken, lopen het risico meer dan alleen het vertrouwen van hun klanten te verliezen.

Aan de andere kant zijn er verschillende voordelen voor bedrijven die hun draaiboek voor gegevensbescherming actief moderniseren en daarbij gebruikmaken van geïntegreerde en geautomatiseerde technologie in realtime om ervoor te zorgen dat gegevens op ethische en legale wijze worden gebruikt en zonder de rechten van de eigenaars van de gegevens te schenden.

Deze voordelen omvatten het volgende:

Bescherming tegen boetes en andere straffen

Zoals eerder gezegd, is een van de belangrijkste zakelijke voordelen van gegevensprivacy het vermijden van sancties en boetes. De straffen voor het niet naleven van de privacywetgeving worden steeds strenger, en dan hebben we het nog niet eens over de schadevergoeding aan de getroffen klanten als hun gevoelige gegevens illegaal openbaar worden gemaakt.

Sterker nog, overheidsinstanties nemen hun mandaat om gebruikersgegevens te beschermen serieus door nieuwe wetgeving in te voeren en hun controleactiviteiten op te voeren om ervoor te zorgen dat bedrijven klantgegevens niet in gevaar brengen. Organisaties die een adequaat beleid inzake gegevensbescherming opstellen en volgen, hoeven zich geen zorgen te maken dat zij strafrechtelijk worden vervolgd.

Verbeterd vertrouwen van klanten en stakeholders

De relatie tussen consument en bedrijf gaat veel verder dan aankooptransacties; wanneer een klant ervoor kiest zaken te doen met een organisatie, vertrouwt hij erop dat die organisatie de persoonlijke gegevens die tijdens het proces worden uitgewisseld, zal respecteren en beveiligen. En wanneer dat vertrouwen wordt beschaamd, is het moeilijk om het terug te verdienen.

Inbreuken op de privacy veroorzaken ernstige schade aan de reputatie en het merk. Klanten hebben tegenwoordig zoveel keuzemogelijkheden, en in veel gevallen is één fout op het gebied van gegevensbeveiliging al genoeg om ze in de armen van concurrenten te drijven. Omgekeerd zien bedrijven die duidelijk laten zien dat ze belang hechten aan gegevensprivacy, hun klanten onbeperkte controle geven over de manier waarop hun gegevens worden verzameld en gebruikt, en transparant zijn in hun gegevenspraktijken, een grotere klantloyaliteit. Dit betekent een hogere merkwaarde en een langere klantwaarde.

Betere bedrijfsprocessen (gegevensbeheer)

Dataprivacymanagement dwingt organisaties om een meer gedetailleerde kijk te hebben op hun gegevens en hoe deze met elkaar in wisselwerking staan binnen het bedrijf. Door te beginnen met een gedetailleerde audit (en deze op te volgen met regelmatige doorlopende audits) om te bepalen hoe gegevens worden verzameld en gebruikt, kunnen bedrijven inefficiënt gegevensbeheer gemakkelijk identificeren en oplossen. Dit zorgt voor een meer datagerichte cultuur en helpt bij het stroomlijnen van bedrijfsprocessen, waarvan elke afdeling op elk niveau profiteert.

Initiatieven op het gebied van privacy kunnen bedrijven er ook toe aanzetten hun dataplatforms te consolideren, waarbij alle relevante gegevens en datamanagementtools op één centrale plaats worden samengebracht. Dit vermindert de risico's van silo's en maakt een betere gegevensanalyse, een grotere gegevensintegriteit en meer inzichtelijke zakelijke beslissingen mogelijk.

Om klanten beter van dienst te zijn, reputatieschade te voorkomen en nieuwe en bestaande wetgeving te blijven naleven, kiezen veel software-ontwikkelaars nu voor privacy by design (PbD).

PbD is een nieuwe, meer weloverwogen benadering van gegevensprivacy. PbD moedigt systeemingenieurs aan om privacycontroles en -oplossingen op te nemen in alle producten, services, infrastructuren en bedrijfspraktijken. Deze overwegingen moeten vanaf de vroegste ontwikkelingsstadia worden geïntegreerd en een permanent aandachtspunt blijven tijdens de productie en tijdens de uitrol en de ondersteuning na de uitrol.

PbD zorgt ervoor dat gegevensbescherming gedurende de hele ontwikkelingscyclus bovenaan de agenda blijft staan, in plaats van als een bijkomstigheid vlak voor de lancering te worden opgenomen.

Helaas is effectieve gegevensprivacy niet zo eenvoudig als het nemen van de beslissing om op verantwoorde wijze met klantgegevens om te gaan. Moderne bedrijven worden geconfronteerd met een reeks hindernissen die moeten worden overwonnen of vermeden om tot een succesvol dataprivacybeheer te komen:

Ethisch omgaan met gegevens

Vooruitgang op het gebied van kunstmatige intelligentie (AI) stelt organisaties in staat grote hoeveelheden gebruikersgegevens gemakkelijker en nauwkeuriger te analyseren. Maar deze nieuwe mogelijkheden gaan gepaard met bepaalde ethische kwesties die moeten worden aangepakt. Hoe ver mag de gegevensanalyse gaan? AI heeft het vermogen om uiterst persoonlijke, waardevolle en gevoelige informatie te extraheren op basis van anderszins onduidelijke gegevens. Bedrijven moeten zich volledig bewust zijn van de gevolgen van het verzamelen van dit soort gegevens voordat zij dergelijke tactieken toepassen.

Insider-dreigingen

Een groot deel van de verantwoordelijkheid voor de privacy van gegevens ligt bij de werknemers die ermee werken. Slecht opgeleide werknemers kunnen gemakkelijk gegevens verkeerd plaatsen, blootleggen of misbruiken, waardoor klanten in gevaar komen en bedrijven blootstaan aan mogelijke represailles. Ook kunnen onbetrouwbare werknemers actief proberen gevoelige gegevens te stelen. Alle werknemers moeten volledig worden doorgelicht voordat ze toegang krijgen tot klantgegevens, en alle werknemers moeten worden opgeleid in het relevante beleid en de relevante normen voor gegevensprivacy.

Ineffectieve verwijdering van gegevens

Veel bedrijven concentreren zich op het verzamelen en analyseren van gegevens, maar gaan volledig voorbij aan hun verantwoordelijkheid voor die gegevens zodra de zakelijke relatie eindigt. Persoonsgegevens mogen alleen worden bewaard in overeenstemming met vastgestelde normen, en alleen zolang de klant (of werknemer) verbonden is met het bedrijf. Persoonsgegevens langer bewaren dan nodig is, kan boetes en sancties tot gevolg hebben en potentiële gegevensinbreuken nog schadelijker maken.

Kwetsbaarheden in webtoepassingen

Door web- en cloud-gehoste software kan een onbeveiligd data access point in een nietsvermoedende organisatie creëren. Gegevensbeveiliging vereist dat elke nieuwe toepassing volledig wordt geïnspecteerd en goedgekeurd als veilig voordat deze kan worden geïmplementeerd voor gebruik binnen de organisatie.

Ineffectieve responsplanning

Gegevensbescherming is essentieel, maar als een gegevensdreiging een weg langs de beveiligingscontroles vindt, of als een onverwachte gebeurtenis de gegevensintegriteit bedreigt, hebben bedrijven een effectief incidentresponsplan nodig. Door een plan op te stellen, te delen, te verbeteren en te trainen, zodat het kan worden ingezet bij de eerste tekenen van een datalek, kan de potentiële schade van een dergelijke bedreiging worden beperkt.

Overbodige gegevensverzameling

Nieuwe wetgeving schrijft voor dat klanten organisaties expliciet toestemming moeten geven om hun gegevens te gebruiken, waarbij de nadruk ligt op de vrijheid om te kiezen welk soort gegevens wordt gedeeld. Bedrijven die hun gegevensverzameling niet verder beperken dan wat strikt noodzakelijk is voor de transactie, lopen het risico met juridische problemen te worden geconfronteerd.

Onduidelijke privacyvoorwaarden

Voorbij zijn de dagen dat gewetenloze organisaties hun ware bedoelingen konden verbergen achter juridisch jargon en ingewikkelde beleidsovereenkomsten. Nu moeten de privacyvoorwaarden zo worden gepresenteerd dat elke klant of andere belanghebbende ze gemakkelijk kan begrijpen. Als de gebruiker kan aantonen dat het onduidelijk was waarmee hij instemde, is het de onderneming die in gebreke blijft.

Problemen met het aflopen van een sessie

Wanneer klanten online formulieren met persoonlijke informatie verlaten, kunnen andere gebruikers
toegang krijgen tot die gegevens. Veiligheidsvoorzieningen voor het aflopen van sessies zijn
ontworpen om de toegang tot gevoelige formulieren en andere informatie te beperken als de gebruiker niet
binnen een bepaalde tijd een specifieke actie op de site heeft ondernomen. Het opnemen van deze beveiligingen op alle
toepassingen en computersystemen kan gegevens verder beveiligen tegen blootstelling.

Onbeveiligde kanalen voor gegevensoverdracht

We denken dat digitale gegevens rechtstreeks van punt A naar punt B gaan, maar terwijl ze
onderweg zijn, kunnen ze een onverwachte tussenstop maken, waardoor gevoelige informatie
mogelijk wordt blootgesteld aan onbevoegde gebruikers. Onbeveiligde kanalen vormen een belangrijk probleem op het gebied van de gegevensprivacy; bedrijven
mogen alleen beveiligde kanalen gebruiken (zoals SFTP of TLS).

Het is duidelijk dat in het huidige bedrijfsleven gegevensprivacy een belangrijk thema is. Maar hoe
kunnen organisaties de uitdagingen overwinnen en een cultuur van gegevensprivacy creëren? Hier beschrijven we
verschillende best practices om bedrijven op weg te helpen:

Kijk holistisch naar gegevensprivacy

Dataprivacy is een kwestie en een verantwoordelijkheid die het hele bedrijf aangaat; het mag niet beperkt blijven tot de IT-afdeling. Kies voor een holistische aanpak en betrek elk aspect van de organisatie bij het vaststellen en volgen van het beleid inzake gegevensprivacy.

Breng de gegevens in kaart

Voor een effectief dataprivacybeheer moeten organisaties een duidelijk beeld hebben van waar de gegevens zich bevinden, wat ze omvatten, wie er toegang toe heeft, en hoe actueel ze zijn. Door de gegevens in kaart te brengen ontstaat een gedetailleerd beeld van de huidige gegevenssituatie van een bedrijf.

Voer uit wat je belooft

Een goed beleid en goede voorwaarden zijn slechts het halve werk. Een bedrijf dat er niet in slaagt zich aan dit beleid te houden, waardoor beloften en verplichtingen niet worden nagekomen, stelt de organisatie bloot aan wettelijke aansprakelijkheid en teleurgestelde klanten.

Werk het beleid voor het verzamelen van gegevens regelmatig bij

Gegevensverzameling is geen statisch proces; het soort gegevens dat organisaties relevant en nuttig vinden, kan van kwartaal tot kwartaal of zelfs vaker veranderen. Maar dat betekent ook dat als deze organisaties besluiten hun gegevensverzameling en -gebruik bij te werken, zij ook hun beleid moeten bijwerken om deze veranderingen weer te geven.

Evalueer leveranciers

Geen enkel bedrijf is een eiland; externe verkopers en opdrachtnemers moeten mogelijk toegang krijgen tot gevoelige klantgegevens, dus het is van vitaal belang dat organisaties deze partners volledig doorlichten om er zeker van te zijn dat ze betrouwbare beveiligingspraktijken hanteren. Anders worden externe entiteiten een zwakke schakel waar gegevens kunnen lekken.

Elk jaar nemen overheden een krachtiger standpunt in tegen schendingen van de gegevensprivacy. Hier is een lijst van verschillende recente wetten die gericht zijn op het versterken van de privacy van gegevens in verschillende gebieden over de hele wereld:

GDPR (Algemene verordening gegevensbescherming)

Europese Unie: biedt EU-burgers meer controle over hun persoonsgegevens, vereenvoudigt en stelt gegevensvoorschriften vast voor bedrijven, en regelt het verzamelen en doorgeven van persoonsgegevens buiten de EU en de EER-gebieden.

CCPA (California Consumer Privacy Act)

Californië: Verbetert de rechten op de privacy van gegevens en de bescherming van consumenten voor Californische burgers, en regelt hoe bedrijven persoonsgegevens mogen verwerken en gebruiken.

CPRA (California Privacy Rights Act)

Californië: Uitbreiding van CCPA, versterkt de gegevensrechten van inwoners van Californië, stelt strengere regels voor bedrijven vast, en breidt de vereisten voor toestemming uit om meer scenario's te dekken.

CDPA (Consumer Data Protection Act)

Virginia: Geeft inwoners van Virginia meer controle over hun persoonlijke gegevens, zodat zij de door organisaties verzamelde persoonlijke informatie kunnen inzien, wijzigen en verwijderen. Stelt ook normen en voorschriften vast voor het verzamelen van gegevens door bedrijven, ongeacht hun omvang.

LGPD (LEI Geral de Proteção de Dados)

Brazilië: Bevat soortgelijke bepalingen en regels als de GDPR van de EU. Bepaalt bovendien dat Braziliaanse bedrijven functionarissen voor gegevensbescherming moeten benoemen om ervoor te zorgen dat het beleid correct wordt gevolgd.

ServiceNow biedt privacybeheer met Governance, Risk en Compliance. Ondersteun privacy by design. Blijf in realtime op de hoogte van risico's en compliance en bouw vertrouwen op met Privacy Management

Ontdek procesoptimalisatie

Privacyrisico's identificeren en beheren in het kader van een holistisch risicoprogramma in de gehele onderneming. Blijf voldoen aan de veranderende wereldwijde privacyvoorschriften.

Ontdek meer
Contact

Resources

Webinars

Risico's aan de raad rapporteren: Het hoeft geen uitdaging te zijn

Intelligente privacyautomatisering: De toekomst van gegevensprivacy

Now on Now: naleving van internationale privacywetgeving en GRC

Whitepapers
Automatisering van gegevensprivacy
E-books

Privacy Management heeft een nieuw playbook nodig

Oplossingsoverzichten

Leveranciersbeheer

Contact
Demo