Gegevensprivacy is een vorm van gegevensbeveiliging die erop gericht is te garanderen dat gegevens alleen door bevoegde personen en voor het beoogde doel worden gebruikt.
Ons vermogen om gegevens te maken, te verzamelen, te delen en te analyseren groeit exponentieel. Er wordt zelfs gesteld dat de mensheid elke dag maar liefst 2,5 quintiljoen bytes aan gegevens produceert. En elke minuut van de dag worden enorme hoeveelheden van die gegevens verzameld door organisaties voor inzicht in trends, kansen en een glimp van hoe hun klanten denken.
Helaas is het verzamelen van gegevens vaak een 'cast a wide net'-aanpak, waarbij, samen met de meer openbare gegevens, op illegale wijze vertrouwelijke gebruikersinformatie wordt vastgelegd waardoor problemen ontstaan voor zowel consumenten als bedrijven. Tegelijkertijd kunnen zelfs persoonlijke gegevens die vrijwillig door klanten worden gedeeld, grote problemen veroorzaken als deze niet zijn beveiligd tegen ongeoorloofde toegang. Als zodanig is de kwestie van gegevensprivacy een relevante zorg in alle markten en bedrijfstakken.
Dankzij verbeteringen in de omvang en effectiviteit van gegevensdigitalisering is het voor allerlei organisaties eenvoudig om persoonlijke profielen op te bouwen op basis van de vastgelegde gegevens van individuen. En dit gaat verder dan basisinformatie zoals naam, leeftijd en adres; tegenwoordig bestaan bijna alle vormen van persoonlijke informatie digitaal, van schijnbaar onschuldig (zoals interesses en hobby's, koopvoorkeuren, relaties, enz.) tot extreem privé (zoals burgerservicenummers, kredietinformatie, gezondheidsgegevens, locatie en verplaatsingen, enz.).
In veel gevallen wordt de informatie die we online delen, bewust of anderszins, door machines gebruikt om ze slimmer te maken; de foto van de puppy die we op sociale media plaatsen helpt semi-intelligente algoritmen te leren om een puppy te herkennen als ze er een zien. De zoekopdrachten die we online uitvoeren, leren machines hoe ze menselijke taal beter kunnen begrijpen en repliceren.
Ongeacht hoe de gegevens worden gebruikt, wordt het feit dat ze bestaan en beschikbaar zijn voor onbekende gebruikers een belangrijke reden tot ongerustheid. Klanten (om nog maar te zwijgen van wetgevers) over de hele wereld beginnen te eisen dat bedrijven de oorspronkelijke data-eigenaren het laatste woord geven over de manier waarop hun gegevens worden verzameld en gebruikt.
Organisaties die een gezond beleid voor gegevensprivacy opstellen en volgen kunnen dus meer vertrouwen opbouwen met hun klanten. Tegelijkertijd elimineren ze de juridische risico's die gepaard gaan met het schenden van nieuwe en toekomstige wetten, normen en voorschriften op het gebied van gegevensprivacy. De recente boete van de FTC van 5 miljard dollar voor Facebook is een voorbeeld van hoe hoog de straffen voor het overtreden van deze wetten kunnen oplopen.
De boete van 5 miljard dollar van Facebook is de hoogste boete die ooit aan een bedrijf is opgelegd voor schendingen van de privacy van consumenten, maar deze zal zeker niet de laatste in zijn soort zijn. Overheidswaakhonden in de Verenigde Staten, de Europese Unie, Zuid-Amerika en de rest van de wereld nemen een krachtig standpunt in tegen het ongeautoriseerd verzamelen en gebruiken van gegevens. Organisaties die hun beleid inzake gegevensprivacy niet bijwerken, lopen het risico meer te verliezen dan alleen het vertrouwen van hun klanten.
Aan de andere kant zijn er verschillende voordelen voor bedrijven die hun draaiboek voor gegevensbescherming actief moderniseren en daarbij gebruikmaken van geïntegreerde en geautomatiseerde technologie in realtime om ervoor te zorgen dat gegevens op ethische en legale wijze worden gebruikt en zonder de rechten van de eigenaars van de gegevens te schenden.
Deze voordelen omvatten het volgende:
Zoals eerder besproken, is het vermijden van boetes een van de meest relevante zakelijke voordelen van gegevensprivacy. De boete voor het niet naleven van privacywetten wordt steeds hoger, en dan hebben we het nog niet eens over herstelbetalingen aan getroffen klanten als hun gevoelige gegevens illegaal openbaar worden gemaakt.
Overheidsgroepen nemen hun mandaat om gebruikersgegevens te beschermen daarom heel serieus. Ze voeren nieuwe wetgeving in en zetten hun controleactiviteiten kracht bij om ervoor te zorgen dat bedrijven klantgegevens niet in gevaar brengen. Organisaties die een adequaat beleid voor gegevensprivacy opstellen en volgen, hoeven zich geen zorgen te maken over strafrechtelijke vervolging.
De relatie tussen consument en bedrijf gaat veel verder dan aankooptransacties; wanneer een klant ervoor kiest zaken te doen met een organisatie, vertrouwt hij erop dat die organisatie de persoonlijke gegevens die tijdens het proces worden uitgewisseld, zal respecteren en beveiligen. En wanneer dat vertrouwen wordt beschaamd, is het moeilijk om het terug te winnen.
Privacyschendingen veroorzaken ernstige reputatieschade en merkschade. Klanten hebben tegenwoordig zoveel opties en in veel gevallen is één fout op het gebied van gegevensbeveiliging voldoende om ze in de armen van de concurrentie te drijven. Bedrijven die duidelijk laten zien dat ze zich inzetten voor gegevensprivacy, hun klanten volledige zeggenschap geven over hoe hun gegevens worden verzameld en gebruikt en transparant handelen in hun werkwijzen, zien daarentegen een grotere klantloyaliteit. Dit betekent een hogere merkwaarde en een langere levenslange waarde van de klant.
Beheer van gegevensprivacy dwingt organisaties om een nadere blik te werpen op hun gegevens en hoe deze in het hele bedrijf samenwerken. Beginnend met een gedetailleerde audit (gevolgd door regelmatige doorlopende audits) om te bepalen hoe gegevens worden verzameld en gebruikt, kunnen bedrijven inefficiënties in gegevensbeheer eenvoudig identificeren en oplossen. Dit creëert een meer gegevensgerichte cultuur en helpt bedrijfsprocessen te stroomlijnen, wat ten goede komt aan elke afdeling op elk niveau.
Privacy-initiatieven kunnen bedrijven ook aanmoedigen om hun gegevensplatforms te consolideren, waardoor alle relevante tools voor gegevens en gegevensbeheer op één centrale locatie worden ondergebracht. Dit vermindert de gevaren die gepaard gaan met het opslaan van gegevens in silo's en maakt een betere gegevensanalyse, een grotere gegevensintegriteit en meer inzichtelijke bedrijfsbeslissingen mogelijk.
Om klanten beter van dienst te zijn, reputatieschade te voorkomen en nieuwe en bestaande wetgeving te blijven naleven, kiezen veel software-ontwikkelaars nu voor privacy by design (PbD).
PbD is een nieuwe, meer doordachte benadering van gegevensprivacy. PbD moedigt systeemingenieurs aan om privacycontroles en -oplossingen in alle producten, services, infrastructuren en bedrijfspraktijken op te nemen. Deze overwegingen moeten vanaf de vroegste ontwikkelingsfasen worden geïntegreerd en een continue focus blijven tijdens de productie en in de ondersteuning vóór en na de implementatie.
PbD zorgt ervoor dat gegevensbescherming gedurende de hele ontwikkelingscyclus bovenaan de agenda blijft staan, in plaats van als een bijkomstigheid vlak voor de lancering te worden opgenomen.
Helaas is effectieve gegevensprivacy niet zo eenvoudig als het nemen van de beslissing om klantgegevens op verantwoorde wijze te verwerken. Moderne bedrijven worden geconfronteerd met een reeks obstakels die moeten worden overwonnen of vermeden om tot een succesvol beheer van gegevensprivacy te komen:
Dankzij de vooruitgang op het gebied van kunstmatige intelligentie (AI) kunnen organisaties grote hoeveelheden gebruikersgegevens eenvoudiger en nauwkeuriger analyseren. Maar deze nieuwe mogelijkheden brengen bepaalde ethische kwesties met zich mee die moeten worden aangepakt. Hoe ver moet gegevensanalyse kunnen gaan? AI heeft de mogelijkheid om uiterst persoonlijke, waardevolle en gevoelige informatie te extraheren op basis van anderszins onschadelijke gegevens. Bedrijven moeten zich volledig bewust zijn van de gevolgen van het verzamelen van dit soort gegevens voordat ze dergelijke werkwijzen toepassen.
Een groot deel van de verantwoordelijkheid voor gegevensprivacy ligt bij de werknemers die ermee werken. Slecht opgeleide werknemers kunnen gegevens gemakkelijk kwijtraken, openbaar maken of misbruiken, waardoor klanten in gevaar komen en bedrijven worden blootgesteld aan mogelijke represailles. Op dezelfde manier kunnen onbetrouwbare werknemers actief proberen gevoelige gegevens te stelen. Alle werknemers moeten volledig worden gescreend voordat ze toegang krijgen tot klantinformatie, en alle werknemers moeten worden getraind in het relevante beleid en de normen voor gegevensprivacy.
Veel bedrijven richten zich op het verzamelen en analyseren van gegevens, maar verzuimen compleet om hun verantwoordelijkheid voor die gegevens na afloop van de zakelijke relatie te nemen. Persoonlijke gegevens mogen alleen worden bewaard in overeenstemming met vastgestelde normen, en alleen zolang de klant (of werknemer) is geassocieerd met het bedrijf. Het langer houden van persoonlijke gegevens dan nodig kan leiden tot boetes en straffen en zorgt ervoor dat potentiële datalekken meer schade aanrichten.
Web- en cloudgehoste software kan een onbeveiligde gegevenstoegang creëren in een nietsvermoedende organisatie. Gegevensbeveiliging vereist dat elke nieuwe applicatie volledig wordt geïnspecteerd en als zijnde veilig wordt goedgekeurd voordat deze kan worden geïmplementeerd voor gebruik binnen de organisatie.
Gegevensbescherming is essentieel, maar als een gegevensbedreiging een manier vindt om beveiligingscontroles te passeren, of als een opkomende event de gegevensintegriteit bedreigt, hebben bedrijven een effectief incidentresponsplan nodig. Creëren, delen, verbeteren en trainen, zodat het plan bij het eerste teken van een datalek kan worden geïmplementeerd, helpt de potentiële schade die door een dergelijke dreiging wordt veroorzaakt, te beperken.
Nieuwe wetten verplichten klanten om organisaties expliciet toestemming te geven om hun gegevens te gebruiken, met de nadruk op de vrijheid om te kiezen welk soort gegevens wordt gedeeld. Bedrijven die hun werkwijzen voor gegevensverzameling niet beperken tot wat strikt noodzakelijk is voor de transactie, lopen het risico juridische problemen te ondervinden.
De dagen dat gewetenloze organisaties hun ware intentie konden verbergen achter juridisch jargon en gecompliceerde beleidsovereenkomsten zijn voorbij. Nu moeten de voorwaarden en bepalingen inzake gegevensprivacy worden gepresenteerd op een manier die elke klant of andere belanghebbende gemakkelijk kan begrijpen. Als de gebruiker kan aantonen dat het onduidelijk was waar hij mee akkoord ging, komt de fout bij het bedrijf te liggen.
Wanneer klanten online formulieren met persoonlijke gegevens niet correct afronden, kan dit ertoe
leiden dat andere gebruikers toegang krijgen tot die gegevens. Veiligheidsfuncties voor het verlopen van sessies zijn
ontworpen om toegang tot gevoelige formulieren en andere informatie te beperken als de gebruiker binnen een toegewezen tijd geen
specifieke actie op de site heeft ondernomen. Deze voorzorgsmaatregelen opnemen in alle
toepassingen en computersystemen kan gegevens verder beveiligen tegen blootstelling.
We denken dat digitale gegevens zich rechtstreeks van punt A naar punt B verplaatsen. Maar terwijl ze op
doorvoer zijn, kunnen die gegevens een onverwachte tussenstop maken, waardoor gevoelige informatie mogelijk wordt blootgesteld
aan onbevoegde gebruikers. Onbeveiligde kanalen vormen een belangrijk probleem binnen de gegevensprivacy. Daarom zouden bedrijven
alleen beveiligde kanalen (zoals SFTP of TLS) moeten gebruiken.
Het is duidelijk dat gegevensprivacy in het huidige zakelijke landschap een belangrijk probleem is. Maar hoe kunnen
organisaties de uitdagingen het hoofd bieden en een cultuur van gegevensprivacy creëren? Hier geven we een overzicht
van verschillende best practices om bedrijven te helpen aan de slag te gaan:
Gegevensprivacy is een kwestie en verantwoordelijkheid die het hele bedrijf aangaat; het mag niet beperkt blijven tot de IT-afdeling. Hanteer een holistische benadering en betrek elk aspect van de organisatie bij het opstellen en volgen van beleid inzake gegevensprivacy.
Voor een effectief dataprivacybeheer moeten organisaties een duidelijk beeld hebben van waar de gegevens zich bevinden, wat ze omvatten, wie er toegang toe heeft, en hoe actueel ze zijn. Door de gegevens in kaart te brengen ontstaat een gedetailleerd beeld van de huidige gegevenssituatie van een bedrijf.
Levensvatbare beleidsregels, bepalingen en voorwaarden opstellen vormt slechts de halve strijd. Een bedrijf dat dit beleid niet naleeft, beloften en verplichtingen niet nakomt, stelt de organisatie bloot aan wettelijke aansprakelijkheid en teleurstelling van klanten.
Gegevensverzameling is geen statisch proces; het soort gegevens dat organisaties relevant en nuttig vinden, kan van kwartaal tot kwartaal of zelfs vaker veranderen. Als deze organisaties echter besluiten hun methoden voor gegevensverzameling en -gebruik bij te werken, moeten ze ook hun beleid bijwerken en aanpassen aan deze wijzigingen.
Geen enkel bedrijf is een eiland; externe verkopers en opdrachtnemers moeten mogelijk toegang krijgen tot gevoelige klantgegevens, dus het is van vitaal belang dat organisaties deze partners volledig doorlichten om er zeker van te zijn dat ze betrouwbare beveiligingspraktijken hanteren. Anders worden externe entiteiten een zwakke schakel waar gegevens kunnen lekken.
Elk jaar nemen overheden een krachtiger standpunt in tegen schendingen van gegevensprivacy. Hier is een lijst van recente wetgeving die gericht is op het versterken van de gegevensprivacy in verschillende gebieden over de hele wereld:
Europese Unie: biedt EU-burgers meer controle over hun persoonsgegevens, vereenvoudigt en stelt gegevensvoorschriften vast voor bedrijven, en regelt het verzamelen en doorgeven van persoonsgegevens buiten de EU en de EER-gebieden.
Californië: verbetert de rechten op de privacy van gegevens en de bescherming van consumenten voor Californische burgers, en regelt hoe bedrijven persoonsgegevens mogen verwerken en gebruiken.
Californië: uitbreiding van CCPA, versterkt de gegevensrechten van inwoners van Californië, stelt strengere regels voor bedrijven vast, en breidt de vereisten voor toestemming uit om meer scenario's te dekken.
Virginia: geeft inwoners van Virginia meer privacycontrole over hun persoonlijke gegevens, waardoor ze persoonlijke informatie die door organisaties is verzameld, kunnen openen, wijzigen en verwijderen. Stelt ook normen en voorschriften voor gegevensverzameling vast voor bedrijven van elke omvang.
Brazilië: hanteert gelijksoortige bepalingen en voorschriften als de AVG van de EU. Stelt ook vast dat Braziliaanse bedrijven functionarissen voor gegevensbescherming moeten aanstellen om ervoor te zorgen dat het beleid correct wordt gevolgd.
ServiceNow biedt privacybeheer met governance, risico's en compliance. Ondersteun privacy by design. Blijf in real time op de hoogte van risico's en compliance en bouw vertrouwen op met Privacy Management