Al sinds het Equifax-datalek van september 2017, waarbij de persoonlijke gegevens van 147 miljoen Amerikanen werden blootgelegd, en de vele andere high-profile datalekken die sindsdien hebben plaatsgevonden, zijn databeveiliging en dataprivacy dringende zorgen op directieniveau geworden.
“Het Equifax-debacle is waar veel van de inherente problemen echt aan de oppervlakte kwamen op bedrijfsniveau,” zegt Aaron Shum, practice lead, Security, Privacy, Risk, and Compliance, bij Info-Tech Research Group. “Het is waar we het niveau van incompetentie ontdekten dat in een organisatie kan bestaan.”
Volgens het 2019 Edelman Trust Barometer Special Report: In Brands We Trust? zegt 81% van de consumenten dat de betrouwbaarheid van merken een grote rol speelt bij hun aankoopbeslissingen. Met andere woorden, datalekken vormen tegenwoordig niet alleen een bottom-line risico in de vorm van boetes, maar ze brengen ook het merk en de reputatie van een organisatie in gevaar, wat rechtstreeks van invloed is op het vermogen van de organisatie om nieuwe klanten aan te trekken en bestaande klanten te behouden.
“Bedrijven moeten privacy behandelen als zowel een compliance- als een bedrijfsrisicokwestie om wettelijke sancties en commerciële gevolgen zoals reputatieschade en daaruit voortvloeiend verlies van klanten als gevolg van privacyschendingen te beperken,” aldus
Steve Durbin, directeur van het Information Security Forum in het Verenigd Koninkrijk.
Meer dan semantiek
Voor velen buiten de infosec-gemeenschap worden de termen ‘gegevensbeveiliging’ en ‘gegevensprivacy’ vaak door elkaar gebruikt. In werkelijkheid zijn ze niet hetzelfde, ook al hebben ze een gemeenschappelijk doel, zegt Greg Ewing, cybersecurity-partner bij Potomac Law.
“Het verschil tussen gegevensprivacy en gegevensbeveiliging is het verschil tussen het beschermen van iemands persoonlijke informatie en de beveiligingsmaatregelen die u hebt getroffen om alle informatie van uw bedrijf te beschermen,” zei hij.
Met regelgeving zoals de California Consumer Privacy Act (CCPA) en de General Data Protection Regulation (GDPR) van de EU die nu van kracht is, is dit onderscheid meer dan een kwestie van semantiek. De GDPR legt bijvoorbeeld zware financiële sancties op die kunnen oplopen tot miljarden dollars voor gegevensinbreuken waarbij persoonlijk identificeerbare informatie (PII) van EU-burgers betrokken is. Met boetes tussen $ 2.500 en $ 7.500 per PII-record kunnen de boetes voor niet-naleving van de CCPA ook snel oplopen.
Nadat de COVID-19-pandemie niet lijkt af te nemen, brengen meer mensen meer tijd online door dan ooit. De enorme verschuiving in online gebruik zowel pre- als post-COVID-19, in combinatie met het algemene wantrouwen ten aanzien van de manier waarop grote sociale media en entertainmentbedrijven klantgegevens te gelde maken, blijft niet onopgemerkt door regelgevende instanties van staten. Volgens de National Conference of State Legislators zijn er nu in 30 staten wetsvoorstellen over privacy in behandeling.
“Dataprivacy is in wezen een subset van de databeveiliging van een organisatie,” zei Ewing. “Het onderscheid is belangrijk omdat, hoewel de instrumenten die worden gebruikt om de gegevensprivacy te handhaven en de gegevensbeveiliging te waarborgen elkaar kunnen overlappen, de twee over het algemeen anders worden aangepakt door verschillende teams die verschillende instrumenten gebruiken.”
Deze overlap kan verwarring veroorzaken, waardoor bedrijven die zich alleen richten op gegevensbeveiliging de valse indruk krijgen dat de gegevensprivacy standaard ook wordt beschermd. Dit is niet het geval. In tegenstelling tot gegevensbeveiliging, waarbij de nadruk ligt op de bescherming van alle gegevens van een organisatie tegen diefstal of corruptie (zoals bij een ransomware-aanval), is gegevensprivacy veel granulairder. Om de privacy van gegevens te waarborgen, moeten organisaties inzicht hebben in, bijhouden wie toegang heeft tot de gegevens en waar de gegevens zijn opgeslagen, bijvoorbeeld in een HIPAA-conforme cloud.
Een goed voorbeeld van verschillen tussen dataprivacy en databeveiliging was het oogsten van 87 miljoen Facebook-gebruikersprofielen door het nu ter ziele gegane politieke adviesbureau Cambridge Analytica tijdens de Amerikaanse presidentsverkiezingen van 2016-17, zei Joshua Kail, een communicatieconsultant die agentschap-kant PR leidde voor Cambridge Analytica totdat het in mei 2018 werd stilgelegd. Hoewel de gegevens veilig waren, misbruikte Facebook zijn eigen privacybeleid en een consent decree van de FTC uit 2011 met betrekking tot het gebruik van gebruikersgegevens.
“Het was een vreemd geval van een falen van gegevensbeveiliging vanuit perspectief in die zin dat ze in feite de gegevens overhandigden en vervolgens werden ze op een ongepaste manier gebruikt, in plaats van een traditionele kwaadaardige cyberaanval,” zei hij. “Wat de privacy van gegevens betreft, die zijn we allemaal kwijtgeraakt op het moment dat we ons aanmeldden met een account. Echt, het waren niet ‘onze gegevens’ die door Cambridge werden gebruikt, het waren de gegevens van Facebook over ons. Dit onderscheid is waar het echte gevaar in het huidige gegevensbeleid leeft.”
Kail verscheen onlangs op Bill Detwiler’s TechRepublic Dynamic Developer podcast waarin hij data privacy en data rechten besprak.
Een kwestie van vertrouwen
Hoewel gegevensprivacy elk jaar meer gereguleerd wordt, is het nog steeds een zaak die, vandaag de dag, grotendeels neerkomt op vertrouwen, zei Kayne McGladrey, een IEEE-lid en cyberbeveiligingsstrateeg bij Ascent Solutions. Zoals de tegenreactie in de nasleep van het Cambridge Analytica-schandaal laat zien, is wat mensen verwachten van de bedrijven waarmee ze zaken doen, net zo belangrijk als de wetten die het gebruik van hun gegevens regelen.
“Vandaag de dag gaat het bij dataprivacy vooral om de verwerking van persoonsgegevens op basis van wet- en regelgeving en sociale normen”, aldus McGladrey. “Vaak wordt dit weergegeven door een consument die een onbegrijpelijk privacybeleid negeert (dat bijna 20 minuten zou duren om te lezen) voordat hij op een knop klikt om zijn toestemming voor dat beleid te bevestigen. Hun aanvaarding van het beleid staat de organisatie toe om op gedocumenteerde manieren met hun gegevens om te gaan, bijvoorbeeld door ze te gebruiken om hun gerichte reclame te tonen op basis van hun afgeleide interesses. Als die organisatie die persoonlijke gegevens echter zou verkopen aan een andere organisatie om iets onverwachts te doen (zoals ze gebruiken om beschermde vrije meningsuiting te onderdrukken) zonder de toestemming van de consument, zou dat een inbreuk zijn op de privacy, hetzij door regulerend toezicht, hetzij door een schending van de sociale normen.”
Gezien alles wat er de afgelopen jaren is gebeurd — de constante drumbeat van massale datalekken en de steeds verder escalerende cyberaanvallen op bedrijven en individuen — is het niet verrassend dat mensen het gevoel hebben dat hun gegevens niet langer veilig zijn in de handen van de bedrijven waarmee ze zaken doen, of van de overheden die de verzameling ervan opdragen.
Omwille van dit wantrouwen kan de noodzaak voor bedrijven om zich voor deze kwesties uit te spreken niet groter zijn, zei Lili Ana, Information Security Governance manager bij loanDepot.
“Nu de hacking-industrie snel groeit en cybercriminelen steeds beter gefinancierd worden, en nu de wereldwijde transformatie van digitale thuiswerkplekken het nieuwe normaal blijft, moeten bedrijven actie ondernemen om informatiebeveiliging te begrijpen en te begrijpen hoe gegevensprivacy en gegevensbeveiliging samenwerken om bedrijven en consumenten te beschermen”, aldus Ana. “Investeren in het beveiligen van je bedrijf in een proactieve aanpak is veel goedkoper dan het alternatief, namelijk een gegevensincident of -inbreuk die niet alleen een bedrijf kan vernietigen, maar ook de reputatie, geloofwaardigheid en het vertrouwen van de consument kan ruïneren.”
Zie ook
- Bedrijven met slechte privacypraktijken hebben 80% meer kans op een datalek (TechRepublic)
- Bedrijven vertrouwen vaak op handmatige processen om te voldoen aan de nieuwe privacywet van Californië (TechRepublic)
- Hoe u de geavanceerde beveiligings- en privacydistributie van Whonix kunt gebruiken (TechRepublic)
- Zoom: We hebben al onze beveiligings- en privacybeloften waargemaakt, op één na (TechRepublic)
- Klanten willen hun gegevens niet afstaan vanwege privacyzorgen, vindt Okta (TechRepublic)
- De meeste Amerikanen zijn bereid af te zien van de privacy van persoonlijke gegevens om de verspreiding van COVID-19 tegen te gaan (TechRepublic)