Wat is gegevensprivacy?

Gegevensprivacy is een vorm van gegevensbeveiliging die erop gericht is te garanderen dat gegevens alleen door bevoegde personen en voor het beoogde doel worden gebruikt.

Demo Risico
Dingen die je moet weten over gegevensprivacy
Inleiding tot gegevensprivacy Waarom is gegevensprivacy belangrijk? Wat zijn de voordelen van het naleven van wetten op het gebied van gegevensprivacy? Wat is privacy by design? Welke uitdagingen belemmeren gegevensprivacy? Wat zijn best practices voor gegevensprivacybeheer? Wat is belangrijke wet- en regelgeving op het gebied van gegevensprivacy? Gegevensprivacy beheren met ServiceNow
Alles uitvouwen Alles samenvouwen Inleiding tot gegevensprivacy

Ons vermogen om gegevens te maken, te verzamelen, te delen en te analyseren groeit exponentieel. Er wordt zelfs gesteld dat de mensheid elke dag maar liefst 2,5 quintiljoen bytes aan gegevens produceert. En elke minuut van de dag worden enorme hoeveelheden van die gegevens verzameld door organisaties voor inzicht in trends, kansen en een glimp van hoe hun klanten denken.

Helaas is het verzamelen van gegevens vaak een 'cast a wide net'-aanpak, waarbij, samen met de meer openbare gegevens, op illegale wijze vertrouwelijke gebruikersinformatie wordt vastgelegd waardoor problemen ontstaan voor zowel consumenten als bedrijven. Tegelijkertijd kunnen zelfs persoonlijke gegevens die vrijwillig door klanten worden gedeeld, grote problemen veroorzaken als deze niet zijn beveiligd tegen ongeoorloofde toegang. Als zodanig is de kwestie van gegevensprivacy een relevante zorg in alle markten en bedrijfstakken.

Waarom is gegevensprivacy belangrijk?

Dankzij verbeteringen in de omvang en effectiviteit van gegevensdigitalisering is het voor allerlei organisaties eenvoudig om persoonlijke profielen op te bouwen op basis van de vastgelegde gegevens van individuen. En dit gaat verder dan basisinformatie zoals naam, leeftijd en adres; tegenwoordig bestaan bijna alle vormen van persoonlijke informatie digitaal, van schijnbaar onschuldig (zoals interesses en hobby's, koopvoorkeuren, relaties, enz.) tot extreem privé (zoals burgerservicenummers, kredietinformatie, gezondheidsgegevens, locatie en verplaatsingen, enz.).

In veel gevallen wordt de informatie die we online delen, bewust of anderszins, door machines gebruikt om ze slimmer te maken; de foto van de puppy die we op sociale media plaatsen helpt semi-intelligente algoritmen te leren om een puppy te herkennen als ze er een zien. De zoekopdrachten die we online uitvoeren, leren machines hoe ze menselijke taal beter kunnen begrijpen en repliceren.

Ongeacht hoe de gegevens worden gebruikt, wordt het feit dat ze bestaan en beschikbaar zijn voor onbekende gebruikers een belangrijke reden tot ongerustheid. Klanten (om nog maar te zwijgen van wetgevers) over de hele wereld beginnen te eisen dat bedrijven de oorspronkelijke data-eigenaren het laatste woord geven over de manier waarop hun gegevens worden verzameld en gebruikt.

Organisaties die een gezond beleid voor gegevensprivacy opstellen en volgen kunnen dus meer vertrouwen opbouwen met hun klanten. Tegelijkertijd elimineren ze de juridische risico's die gepaard gaan met het schenden van nieuwe en toekomstige wetten, normen en voorschriften op het gebied van gegevensprivacy. De recente boete van de FTC van 5 miljard dollar voor Facebook is een voorbeeld van hoe hoog de straffen voor het overtreden van deze wetten kunnen oplopen.

Wat zijn de voordelen van het naleven van wetten op het gebied van gegevensprivacy?

De boete van 5 miljard dollar van Facebook is de hoogste boete die ooit aan een bedrijf is opgelegd voor schendingen van de privacy van consumenten, maar deze zal zeker niet de laatste in zijn soort zijn. Overheidswaakhonden in de Verenigde Staten, de Europese Unie, Zuid-Amerika en de rest van de wereld nemen een krachtig standpunt in tegen het ongeautoriseerd verzamelen en gebruiken van gegevens. Organisaties die hun beleid inzake gegevensprivacy niet bijwerken, lopen het risico meer te verliezen dan alleen het vertrouwen van hun klanten.

Aan de andere kant zijn er verschillende voordelen voor bedrijven die hun draaiboek voor gegevensbescherming actief moderniseren en daarbij gebruikmaken van geïntegreerde en geautomatiseerde technologie in realtime om ervoor te zorgen dat gegevens op ethische en legale wijze worden gebruikt en zonder de rechten van de eigenaars van de gegevens te schenden.

Deze voordelen omvatten het volgende:

Bescherming tegen boetes en andere straffen

Zoals eerder besproken, is het vermijden van boetes een van de meest relevante zakelijke voordelen van gegevensprivacy. De boete voor het niet naleven van privacywetten wordt steeds hoger, en dan hebben we het nog niet eens over herstelbetalingen aan getroffen klanten als hun gevoelige gegevens illegaal openbaar worden gemaakt.

Overheidsgroepen nemen hun mandaat om gebruikersgegevens te beschermen daarom heel serieus. Ze voeren nieuwe wetgeving in en zetten hun controleactiviteiten kracht bij om ervoor te zorgen dat bedrijven klantgegevens niet in gevaar brengen. Organisaties die een adequaat beleid voor gegevensprivacy opstellen en volgen, hoeven zich geen zorgen te maken over strafrechtelijke vervolging.

Verbeterd vertrouwen van klanten en stakeholders

De relatie tussen consument en bedrijf gaat veel verder dan aankooptransacties; wanneer een klant ervoor kiest zaken te doen met een organisatie, vertrouwt hij erop dat die organisatie de persoonlijke gegevens die tijdens het proces worden uitgewisseld, zal respecteren en beveiligen. En wanneer dat vertrouwen wordt beschaamd, is het moeilijk om het terug te winnen.

Privacyschendingen veroorzaken ernstige reputatieschade en merkschade. Klanten hebben tegenwoordig zoveel opties en in veel gevallen is één fout op het gebied van gegevensbeveiliging voldoende om ze in de armen van de concurrentie te drijven. Bedrijven die duidelijk laten zien dat ze zich inzetten voor gegevensprivacy, hun klanten volledige zeggenschap geven over hoe hun gegevens worden verzameld en gebruikt en transparant handelen in hun werkwijzen, zien daarentegen een grotere klantloyaliteit. Dit betekent een hogere merkwaarde en een langere levenslange waarde van de klant.

Betere bedrijfsprocessen (gegevensbeheer)

Beheer van gegevensprivacy dwingt organisaties om een nadere blik te werpen op hun gegevens en hoe deze in het hele bedrijf samenwerken. Beginnend met een gedetailleerde audit (gevolgd door regelmatige doorlopende audits) om te bepalen hoe gegevens worden verzameld en gebruikt, kunnen bedrijven inefficiënties in gegevensbeheer eenvoudig identificeren en oplossen. Dit creëert een meer gegevensgerichte cultuur en helpt bedrijfsprocessen te stroomlijnen, wat ten goede komt aan elke afdeling op elk niveau.

Privacy-initiatieven kunnen bedrijven ook aanmoedigen om hun gegevensplatforms te consolideren, waardoor alle relevante tools voor gegevens en gegevensbeheer op één centrale locatie worden ondergebracht. Dit vermindert de gevaren die gepaard gaan met het opslaan van gegevens in silo's en maakt een betere gegevensanalyse, een grotere gegevensintegriteit en meer inzichtelijke bedrijfsbeslissingen mogelijk.

Wat is privacy by design?

Om klanten beter van dienst te zijn, reputatieschade te voorkomen en nieuwe en bestaande wetgeving te blijven naleven, kiezen veel software-ontwikkelaars nu voor privacy by design (PbD).

PbD is een nieuwe, meer doordachte benadering van gegevensprivacy. PbD moedigt systeemingenieurs aan om privacycontroles en -oplossingen in alle producten, services, infrastructuren en bedrijfspraktijken op te nemen. Deze overwegingen moeten vanaf de vroegste ontwikkelingsfasen worden geïntegreerd en een continue focus blijven tijdens de productie en in de ondersteuning vóór en na de implementatie.

PbD zorgt ervoor dat gegevensbescherming gedurende de hele ontwikkelingscyclus bovenaan de agenda blijft staan, in plaats van als een bijkomstigheid vlak voor de lancering te worden opgenomen.

Welke uitdagingen belemmeren gegevensprivacy?

Helaas is effectieve gegevensprivacy niet zo eenvoudig als het nemen van de beslissing om klantgegevens op verantwoorde wijze te verwerken. Moderne bedrijven worden geconfronteerd met een reeks obstakels die moeten worden overwonnen of vermeden om tot een succesvol beheer van gegevensprivacy te komen:

Ethisch omgaan met gegevens

Dankzij de vooruitgang op het gebied van kunstmatige intelligentie (AI) kunnen organisaties grote hoeveelheden gebruikersgegevens eenvoudiger en nauwkeuriger analyseren. Maar deze nieuwe mogelijkheden brengen bepaalde ethische kwesties met zich mee die moeten worden aangepakt. Hoe ver moet gegevensanalyse kunnen gaan? AI heeft de mogelijkheid om uiterst persoonlijke, waardevolle en gevoelige informatie te extraheren op basis van anderszins onschadelijke gegevens. Bedrijven moeten zich volledig bewust zijn van de gevolgen van het verzamelen van dit soort gegevens voordat ze dergelijke werkwijzen toepassen.

Insider-dreigingen

Een groot deel van de verantwoordelijkheid voor gegevensprivacy ligt bij de werknemers die ermee werken. Slecht opgeleide werknemers kunnen gegevens gemakkelijk kwijtraken, openbaar maken of misbruiken, waardoor klanten in gevaar komen en bedrijven worden blootgesteld aan mogelijke represailles. Op dezelfde manier kunnen onbetrouwbare werknemers actief proberen gevoelige gegevens te stelen. Alle werknemers moeten volledig worden gescreend voordat ze toegang krijgen tot klantinformatie, en alle werknemers moeten worden getraind in het relevante beleid en de normen voor gegevensprivacy.

Ineffectieve verwijdering van gegevens

Veel bedrijven richten zich op het verzamelen en analyseren van gegevens, maar verzuimen compleet om hun verantwoordelijkheid voor die gegevens na afloop van de zakelijke relatie te nemen. Persoonlijke gegevens mogen alleen worden bewaard in overeenstemming met vastgestelde normen, en alleen zolang de klant (of werknemer) is geassocieerd met het bedrijf. Het langer houden van persoonlijke gegevens dan nodig kan leiden tot boetes en straffen en zorgt ervoor dat potentiële datalekken meer schade aanrichten.

Kwetsbaarheden in webtoepassingen

Web- en cloudgehoste software kan een onbeveiligde gegevenstoegang creëren in een nietsvermoedende organisatie. Gegevensbeveiliging vereist dat elke nieuwe applicatie volledig wordt geïnspecteerd en als zijnde veilig wordt goedgekeurd voordat deze kan worden geïmplementeerd voor gebruik binnen de organisatie.

Ineffectieve responsplanning

Gegevensbescherming is essentieel, maar als een gegevensbedreiging een manier vindt om beveiligingscontroles te passeren, of als een opkomende event de gegevensintegriteit bedreigt, hebben bedrijven een effectief incidentresponsplan nodig. Creëren, delen, verbeteren en trainen, zodat het plan bij het eerste teken van een datalek kan worden geïmplementeerd, helpt de potentiële schade die door een dergelijke dreiging wordt veroorzaakt, te beperken.

Overbodige gegevensverzameling

Nieuwe wetten verplichten klanten om organisaties expliciet toestemming te geven om hun gegevens te gebruiken, met de nadruk op de vrijheid om te kiezen welk soort gegevens wordt gedeeld. Bedrijven die hun werkwijzen voor gegevensverzameling niet beperken tot wat strikt noodzakelijk is voor de transactie, lopen het risico juridische problemen te ondervinden.

Onduidelijke privacyvoorwaarden

De dagen dat gewetenloze organisaties hun ware intentie konden verbergen achter juridisch jargon en gecompliceerde beleidsovereenkomsten zijn voorbij. Nu moeten de voorwaarden en bepalingen inzake gegevensprivacy worden gepresenteerd op een manier die elke klant of andere belanghebbende gemakkelijk kan begrijpen. Als de gebruiker kan aantonen dat het onduidelijk was waar hij mee akkoord ging, komt de fout bij het bedrijf te liggen.

Problemen met het aflopen van een sessie

Wanneer klanten online formulieren met persoonlijke gegevens niet correct afronden, kan dit ertoe
leiden dat andere gebruikers toegang krijgen tot die gegevens. Veiligheidsfuncties voor het verlopen van sessies zijn
ontworpen om toegang tot gevoelige formulieren en andere informatie te beperken als de gebruiker binnen een toegewezen tijd geen
specifieke actie op de site heeft ondernomen. Deze voorzorgsmaatregelen opnemen in alle
toepassingen en computersystemen kan gegevens verder beveiligen tegen blootstelling.

Onbeveiligde kanalen voor gegevensoverdracht

We denken dat digitale gegevens zich rechtstreeks van punt A naar punt B verplaatsen. Maar terwijl ze op
doorvoer zijn, kunnen die gegevens een onverwachte tussenstop maken, waardoor gevoelige informatie mogelijk wordt blootgesteld
aan onbevoegde gebruikers. Onbeveiligde kanalen vormen een belangrijk probleem binnen de gegevensprivacy. Daarom zouden bedrijven
alleen beveiligde kanalen (zoals SFTP of TLS) moeten gebruiken.

Wat zijn best practices voor gegevensprivacybeheer?

Het is duidelijk dat gegevensprivacy in het huidige zakelijke landschap een belangrijk probleem is. Maar hoe kunnen
organisaties de uitdagingen het hoofd bieden en een cultuur van gegevensprivacy creëren? Hier geven we een overzicht
van verschillende best practices om bedrijven te helpen aan de slag te gaan:

Kijk holistisch naar gegevensprivacy

Gegevensprivacy is een kwestie en verantwoordelijkheid die het hele bedrijf aangaat; het mag niet beperkt blijven tot de IT-afdeling. Hanteer een holistische benadering en betrek elk aspect van de organisatie bij het opstellen en volgen van beleid inzake gegevensprivacy.

Breng de gegevens in kaart

Voor een effectief dataprivacybeheer moeten organisaties een duidelijk beeld hebben van waar de gegevens zich bevinden, wat ze omvatten, wie er toegang toe heeft, en hoe actueel ze zijn. Door de gegevens in kaart te brengen ontstaat een gedetailleerd beeld van de huidige gegevenssituatie van een bedrijf.

Voer uit wat je belooft

Levensvatbare beleidsregels, bepalingen en voorwaarden opstellen vormt slechts de halve strijd. Een bedrijf dat dit beleid niet naleeft, beloften en verplichtingen niet nakomt, stelt de organisatie bloot aan wettelijke aansprakelijkheid en teleurstelling van klanten.

Werk het beleid voor het verzamelen van gegevens regelmatig bij

Gegevensverzameling is geen statisch proces; het soort gegevens dat organisaties relevant en nuttig vinden, kan van kwartaal tot kwartaal of zelfs vaker veranderen. Als deze organisaties echter besluiten hun methoden voor gegevensverzameling en -gebruik bij te werken, moeten ze ook hun beleid bijwerken en aanpassen aan deze wijzigingen.

Evalueer leveranciers

Geen enkel bedrijf is een eiland; externe verkopers en opdrachtnemers moeten mogelijk toegang krijgen tot gevoelige klantgegevens, dus het is van vitaal belang dat organisaties deze partners volledig doorlichten om er zeker van te zijn dat ze betrouwbare beveiligingspraktijken hanteren. Anders worden externe entiteiten een zwakke schakel waar gegevens kunnen lekken.

Wat is belangrijke wet- en regelgeving op het gebied van gegevensprivacy?

Elk jaar nemen overheden een krachtiger standpunt in tegen schendingen van gegevensprivacy. Hier is een lijst van recente wetgeving die gericht is op het versterken van de gegevensprivacy in verschillende gebieden over de hele wereld:

GDPR (Algemene verordening gegevensbescherming)

Europese Unie: biedt EU-burgers meer controle over hun persoonsgegevens, vereenvoudigt en stelt gegevensvoorschriften vast voor bedrijven, en regelt het verzamelen en doorgeven van persoonsgegevens buiten de EU en de EER-gebieden.

CCPA (California Consumer Privacy Act)

Californië: verbetert de rechten op de privacy van gegevens en de bescherming van consumenten voor Californische burgers, en regelt hoe bedrijven persoonsgegevens mogen verwerken en gebruiken.

CPRA (California Privacy Rights Act)

Californië: uitbreiding van CCPA, versterkt de gegevensrechten van inwoners van Californië, stelt strengere regels voor bedrijven vast, en breidt de vereisten voor toestemming uit om meer scenario's te dekken.

CDPA (Consumer Data Protection Act)

Virginia: geeft inwoners van Virginia meer privacycontrole over hun persoonlijke gegevens, waardoor ze persoonlijke informatie die door organisaties is verzameld, kunnen openen, wijzigen en verwijderen. Stelt ook normen en voorschriften voor gegevensverzameling vast voor bedrijven van elke omvang.

LGPD (LEI Geral de Proteção de Dados)

Brazilië: hanteert gelijksoortige bepalingen en voorschriften als de AVG van de EU. Stelt ook vast dat Braziliaanse bedrijven functionarissen voor gegevensbescherming moeten aanstellen om ervoor te zorgen dat het beleid correct wordt gevolgd.

Prijzen voor governance, risico's en compliance van ServiceNow Bekijk hier de prijzen voor governance, risico's en compliance van ServiceNow, dat in real time de bedrijfsrisico's beheert en prioriteert voor je digitale activiteiten. Bekijk prijzen
Gegevensprivacy beheren met ServiceNow

ServiceNow biedt privacybeheer met governance, risico's en compliance. Ondersteun privacy by design. Blijf in real time op de hoogte van risico's en compliance en bouw vertrouwen op met Privacy Management

Ga aan de slag met ServiceNow Governance, Risk, and Compliance Beheer risico en veerkracht in realtime met ServiceNow. Ontdek GRC Contact
Resources Artikelen Wat is ServiceNow? Wat is risicobeheer? Onderzoeksrapporten Forrester roept ServiceNow uit tot GRC-leider ServiceNow benoemd tot leider in Third-Party Risk Management EMA – Incidentrespons, -beheer en -preventie in de echte wereld Datasheets Governance, risico's en compliance Beheer van IT- en bedrijfsrisico's binnen ondernemingen Policy and Compliance Management E-books Waarom IT-risicobeheer belangrijk is voor digitale transformatie Een proactieve, risicobewuste verdediging maken in de huidige dynamische risico-omgeving Waarom digitale transformatie afhankelijk is van geïntegreerd risicobeheer Whitepapers Automatiseer governance, risico's en compliance Whitepaper OCEG Think Tank: Essentiële operationele veerkracht Totale bedrijfswaarde van geïntegreerde risicoproducten van ServiceNow