Gegevensbescherming beschermt de privacy, beschikbaarheid en integriteit van uw gegevens door verschillende strategieën en processen voor gegevensbescherming toe te passen.
Privacy is van cruciaal belang voor het tot stand brengen van een goede verstandhouding tussen mensen en organisaties, maar het gaat in werkelijkheid om het waarborgen van fundamentele rechten. Een goede strategie kan gegevensverlies, diefstal of corruptie helpen voorkomen en de schade minimaliseren als zich een inbreuk of ramp voordoet. Een organisatie die gevoelige gegevens verwerkt, opslaat of verzamelt, moet een strategie voor gegevensbescherming ontwikkelen.
Gegevensbescherming moet in de ontwerpfase van elk systeem, dienst, product of proces en gedurende de hele levensduur ervan in overweging worden genomen.
Persoonlijke informatie kan worden onderverdeeld in verschillende categorieën, die allemaal aanleiding kunnen geven tot privacyproblemen. Dit zijn:
In principe helpen de principes van gegevensbescherming organisaties gegevens te beschermen en deze onder alle omstandigheden gemakkelijk beschikbaar te maken voor het individu. Gegevensbescherming heeft betrekking op zowel gegevensback-upbewerkingen als bedrijfscontinuïteit/rampherstel (BCDR), zoals:
Onder persoonsgegevens wordt verstaan alle informatie die betrekking kan hebben op een identificeerbaar of geïdentificeerd levend individu. Een persoon kan worden geïdentificeerd door verschillende stukjes informatie samen te voegen, die, wanneer ze samen worden verzameld, persoonlijke gegevens vormen.
Enkele voorbeelden van persoonlijke gegevens zijn onder meer; voor- en achternaam, adressen, een identificeerbaar e-mailadres (dit kan voornaam.achternaam@bedrijf.com zijn), locatiegegevens en IP (internet Protocol) adres.
Organisaties zijn voor hun dagelijkse activiteiten doorgaans afhankelijk van persoonsgegevens.
De ICO stelt dat:
“Op zichzelf is de naam John Smith niet altijd een persoonsgegeven, omdat er veel individuen zijn met die naam. Wanneer de naam echter wordt gecombineerd met andere informatie (zoals een adres, een werkplek of een telefoonnummer), zal dit doorgaans voldoende zijn om één persoon duidelijk te identificeren.”
De ICO maakt ook het punt dat namen niet noodzakelijkerwijs de enige informatie zijn die nodig is om een individu te identificeren:
“Het feit dat je de naam van een persoon niet kent, betekent niet dat je [hem] niet kunt identificeren. Velen van ons kennen niet de namen van al onze buren, maar we kunnen ze nog steeds identificeren.”
Gegevensprivacy verwijst naar de manier waarop gevoelige en belangrijke gegevens moeten worden verzameld of verwerkt. Persoonlijke gezondheidsinformatie (PHI) en Persoonlijk Identificeerbare Informatie (PII) zijn twee voorbeelden van gegevens die onderworpen zijn aan de wetgeving inzake gegevensprivacy. Deze categorie omvat financiële informatie, medische dossiers, burgerservicenummers of ID-nummers, namen, geboortedata en contactgegevens.
Gevoelige gegevens mogen alleen toegankelijk zijn voor geautoriseerde partijen. Gegevensprivacy helpt ervoor te zorgen dat criminelen gegevens niet kwaadwillig kunnen gebruiken en zorgt ervoor dat organisaties aan de wettelijke vereisten voldoen.
De meerderheid van de onlinegebruikers wil bepaalde soorten verzameling van persoonlijke gegevens controleren of voorkomen, net zoals iemand mensen zou willen uitsluiten van een privégesprek.
Bedrijven moeten van gegevensprivacy een topprioriteit maken. Het niet naleven van de regelgeving inzake gegevensprivacy kan tot aanzienlijke verliezen leiden. Denk aan rechtszaken, aanzienlijke financiële boetes en merkschade.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Alles wat u met gegevens doet, wordt beschouwd als verwerking; onder andere verzamelen, bewaren, vastleggen, analyseren, combineren, openbaar maken of verwijderen.
Elke bewerking met gegevens wordt gegevensverwerking genoemd. Omdat onbewerkte gegevens nog niet klaar zijn voor analyse, business intelligence, rapportage of machinaal leren, moeten ze worden samengevoegd, gewijzigd, verrijkt, gefilterd en opgeschoond.
Organisaties moeten gegevens verwerken om te kunnen creëren betere bedrijfsstrategieën en het verbeteren van hun concurrentievoordeel.
Het ‘waarom’ en ‘hoe’ persoonsgegevens worden verwerkt, wordt bepaald door de gegevensbeheerder. Uiteindelijk zijn de gegevensbeheerders de belangrijkste besluitvormers bij het bepalen van de reden en het doel van gegevensverzameling en de methode en middelen voor eventuele gegevensverwerking.
Gegevensbeheerders kunnen zijn:
Een gegevensverwerker is een persoon, overheidsinstantie, agentschap of ander orgaan dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
A data Processor handelt namens de verwerkingsverantwoordelijke en onder diens gezag. Door dit te doen dienen zij de belangen van de verwerkingsverantwoordelijke en niet hun eigen belangen.
In bepaalde situaties kan een entiteit een gegevensbeheerder, een gegevensverwerker of beide zijn.
Machines die gegevens verwerken, zoals rekenmachines of computers, worden beschouwd als gegevensverwerkers. Cloudserviceproviders worden nu ook gecategoriseerd als gegevensverwerkers. Een externe gegevensverwerker is geen eigenaar van of controle over de gegevens die zij verwerken. De gegevens kunnen niet worden gewijzigd waardoor het doel waarvoor ze worden gebruikt, verandert. Als u persoonsgegevens verwerkt, bent u een gegevensverwerker.
Een persoon die het onderwerp is van bepaalde persoonsgegevens, wordt een betrokkene of betrokkenen genoemd.
Er is geen Eén oplossing die voor elk bedrijf werkt. Regelgeving voor gegevensbescherming kent niet veel strikte regels; in plaats daarvan hanteren ze een risicogebaseerde aanpak, waarbij ze zich houden aan enkele belangrijke principes. Het is veelzijdig en kan in verschillende organisaties en situaties worden gebruikt; daarom staat het innovatieve benaderingen niet in de weg.
Deze flexibiliteit betekent echter wel dat u moet nadenken over – en verantwoording moet afleggen over – de manier waarop u persoonlijke informatie gebruikt. Er zijn vaak meerdere benaderingen om aan uw verplichtingen te voldoen, afhankelijk van waarom en hoe u de gegevens precies gebruikt.
U bepaalt zelf welke antwoorden het beste zijn voor uw organisatie, maar u moet deze wel kunnen onderbouwen. Het verantwoordingsbeginsel van de wetgeving inzake gegevensbescherming is een cruciaal aspect.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Organisaties, bedrijven en de overheid moeten zich hieraan houden Wet Bescherming Persoonsgegevens 2018 bij het omgaan met persoonlijke informatie. De Data Protection Act 2018 verving en actualiseerde de Data Protection Act 1998 en werd van kracht op 25 mei 2018.
De DPA is de Britse verankering van de Algemene Verordening Gegevensbescherming (meer over de AVG verderop in het artikel hieronder) in de Britse wetgeving. Om het simpel te zeggen:
Strenge regels genaamd 'gegevensbeschermingsbeginselen' bepalen hoe persoonlijke informatie wordt gebruikt. Degenen die betrokken zijn bij het verzamelen en gebruiken van gegevens moeten zich aan de volgende strenge regels houden:
Hoe gevoeliger de informatie, hoe meer rechtsbescherming er is. Deze informatie zal zijn; ras, etniciteit, politieke overtuigingen, religieuze overtuigingen, lidmaatschap van een vakbond, genetica, biometrie voor identificatie, gezondheidsstatus en seksuele geaardheid.
De Algemene Gegevensbeschermingsverordening (GDPR) is 's werelds strengste regelgeving op het gebied van privacy en gegevensbeveiliging. Hoewel het is ontwikkeld en goedgekeurd door de Europese Unie (EU), moeten organisaties over de hele wereld hieraan voldoen als zij gegevens over EU-inwoners verzamelen of gebruiken.
De AVG is op 25 mei 2018 van kracht geworden. Degenen die zich niet houden aan de privacy- en veiligheidsnormen die door de AVG zijn vastgelegd, kunnen aanzienlijke boetes krijgen.
De AVG vervangt de EU-richtlijn gegevensbescherming uit 1995. Volgens de nieuwe richtlijn moeten bedrijven transparanter zijn en betrokkenen een betere privacybescherming bieden. Wanneer er sprake is van een ernstig datalek, moet het bedrijf binnen 72 uur alle betrokken partijen en de toezichthoudende autoriteit hiervan op de hoogte stellen.
Hoewel de GDPR sinds de breuk met de EU in de Britse wetgeving is vastgelegd als de DPA, zijn de UK-GDPR en de EU-GDPR afzonderlijke en onderscheiden regelgevingen. Hoewel de regelgeving momenteel identiek is, is het Verenigd Koninkrijk sinds de Brexit vrij om de Britse GDPR-regelgeving te wijzigen als het Parlement dit nodig acht.
Een verwerkingsverantwoordelijke of verwerker die buiten het Verenigd Koninkrijk is gevestigd, moet voldoen aan de Britse AVG als hun verwerking betrekking heeft op personen in het Verenigd Koninkrijk.
ISO 27701 is een uitbreiding van ISO 27001 (meer daarover hieronder), de nieuwste update in internationale normen voor privacy- en informatiebeheer.
Het doel van zowel de AVG als ISO 27701 is het vaststellen van ethische normen voor gegevensprivacy om consumenten te beschermen. Ze werken samen en vullen elkaar aan om dezelfde doelen te bereiken.
Hier is een samenvatting van wat ze gemeen hebben:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Er is geen enkel bedrijf te bedenken waarvan de service ISMS.online kan evenaren.
In de onderstaande tabel vindt u verschillende wetten op het gebied van gegevensbescherming en gegevens van over de hele wereld.
Wetten | Rechtsgebied |
---|---|
Algemene wet op de bescherming van persoonsgegevens (ook bekend als LGPD en Lei Geral de Proteção de Dados Pessoais) | Brazilië |
California Consumer Privacy Act (CCPA) | Californië |
Privacy Act | Canada |
Privacywet 1988 | Australië |
Wet bescherming persoonsgegevens 2019 | India |
Chinese cyberveiligheidswet (CCSL) | China |
Wet Bescherming Persoonsgegevens (PIPL) | China |
Wet op de gegevensbescherming, 2012 | Ghana |
Wet bescherming persoonsgegevens 2012 | Singapore |
Wet nr. 10173 van de Republiek: wet op gegevensprivacy van 2012 | Filippijnen |
De Russische federale wet inzake persoonsgegevens (nr. 152-FZ) | Rusland |
Wet bescherming persoonsgegevens (PDPL) | Bahrein |
Artikel 32 van de AVG zet uiteen wat er nodig is als het gaat om het garanderen van de beveiliging van persoonlijke gegevens processing.
De verordening vereist dat u 'passende technische en organisatorische maatregelen neemt om de risico's waarmee u wordt geconfronteerd, aan te pakken. Het beschrijft ook enkele van de typische maatregelen in dit verband, waaronder:
ISO 27001 behandelt ook deze aspecten. Je moet presteren uitgebreide risicobeoordelingen om de gevaren waarmee uw bedrijf wordt geconfronteerd te identificeren. Dat is precies wat u moet bedenken als 'passende' beveiligingsmaatregelen onder de AVG.
Het stelt normen vast voor wanneer en hoe gegevensversleuteling moet worden toegepast, en voor het garanderen van de vertrouwelijkheid en beschikbaarheid van uw gegevens. Hierin wordt ook vastgelegd wat er nodig is "Bedrijfszekerheidsmanagement," waarmee wordt voldaan aan de AVG-vereiste om maatregelen voor gegevensherstel en beschikbaarheid te implementeren.
als u voldoen aan en handhaven van ISO 27001-naleving, voldoet u effectief aan de beveiligingsvereisten van uw AVG-gegevensverwerking, dankzij stresstests tot en met de opleiding van uw personeel.
Of u nu net begint met het onderzoeken van gegevensprivacy of een expert bent die meerdere regelgevingen en standaarden wil combineren, onze functies zijn eenvoudig te gebruiken. Je komt meteen waar je wilt zijn.
Onze PIMS-oplossing vereenvoudigt het in kaart brengen van gegevens. Het is eenvoudig om alles vast te leggen en te bekijken en de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
Een effectief PIMS vereist het beheersen van risico's. Om te helpen bij elke fase van risicobeoordeling en -beheerhebben we een ingebouwde risicobank en andere praktische hulpmiddelen gecreëerd.
Of u nu werkt aan standaarden of regelgeving voor gegevensprivacy, u moet aantonen dat u daartoe in staat bent omgaan met verzoeken om rechten van betrokkenen (DRR). Onze beveiligde DRR-ruimte bewaart alles op één plek, zodat u automatisch kunt rapporteren en inzicht kunt krijgen.
Meer informatie via het boeken van een hands-on demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo