Het conflict tussen gegevensbeveiliging en privacy is een belangrijk probleem in de huidige digitale wereld, waarin we leven. Onze persoonlijke en gevoelige informatie wordt het slagveld waar gegevensbeveiliging (de bescherming tegen inbreuken en ongeoorloofde toegang) en gegevensprivacy (het behoud van de vertrouwelijkheid van onze gegevens) mee te maken krijgen terwijl we door het complexe web navigeren.
Om te voldoen aan wettelijke vereisten en de vertrouwelijkheid en onveranderlijkheid van de gegevens te waarborgen, heeft gegevensprivacy ook wel informatieprivacy genoemd betrekking op de juiste omgang met gevoelige gegevens, waaronder in de eerste plaats persoonlijke gegevens en andere vertrouwelijke gegevens, zoals specifieke financiële gegevens en gegevens over intellectueel eigendom.
Traditionele gegevensbescherming (zoals back-up- en kopieën), gegevensbeveiliging en gegevensprivacy zijn drie belangrijke gebieden van gegevensbescherming. Het uiteindelijke doel van de beste gegevensbeschermings- en beveiligingspraktijken is het garanderen van de continue beschikbaarheid en onveranderlijkheid van essentiële bedrijfsgegevens. De best practices kunnen dus ook worden gezien als het beschermen van gevoelige en persoonlijke gegevens.
Online heeft u ongetwijfeld gehoord van de recente mondiale regels voor gegevensprivacy. Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
De meeste websites van bedrijven verzamelen persoonlijke informatie, waaronder e-mailadressen, telefoonnummers, creditcardnummers en inloggegevens. Idealiter bewaren deze organisaties informatie niet langer dan nodig is.
Het is echter onmogelijk om gegevensprivacy te operationaliseren zonder de gegevensbeveiliging te garanderen.
Pseudonimisering is een techniek voor het maskeren van gegevens die garandeert dat persoonlijke informatie niet aan een bepaald individu kan worden gekoppeld zonder aanvullende informatie te gebruiken die aan veiligheidscontroles is onderworpen. De Algemene Verordening Gegevensbescherming (AVG) van de EU heeft meerdere overwegingen waarin wordt gedefinieerd hoe en wanneer gegevens gepseudonimiseerd moeten worden, inclusief dit als een cruciaal onderdeel.
Informatie over een specifieke persoon, ook wel een betrokkene genoemd, zijn persoonsgegevens. Betrokkenen kunnen worden geïdentificeerd aan de hand van specifieke identificerende elementen, zoals de fysieke, genetische, fysiologische, mentale, culturele, economische of sociale kenmerken van een individu, of aan de hand van attributen zoals hun naam, ID-nummer of locatie.
Tokenisatieprocedures vervangen vertrouwelijke gegevens door een willekeurige tokenwaarde die de toegang tot de originele gegevens vergemakkelijkt. Tokens kunnen eenmalig worden gebruikt om het beveiligingsniveau van gegevens te verhogen, maar hebben geen relatie met de oorspronkelijke gegevens.
Bovendien helpen tokens organisaties de gevoelige informatie waartoe ze toegang hebben en de bijbehorende aansprakelijkheid te verminderen.
Bij het maskeren van gegevens worden willekeurige tekens of andere gegevens gebruikt om significante of onderscheidende delen van de informatie te verbergen. Datamaskering maakt het mogelijk om gegevens te identificeren zonder de echte identiteit te veranderen. Het creditcardnummer 5100-0000-0000-0005 kan bijvoorbeeld worden opgeslagen als “XXXX-XXXX-XXXX-0005”.
Het proces om te voorkomen dat digitale informatie wordt beschadigd, gestolen of toegankelijk wordt gemaakt door ongeautoriseerde partijen, staat bekend als gegevensbeveiliging. Alles komt aan bod, inclusief administratieve en toegangscontroles, hardware, software voor gebruikers en opslagapparaten, en het beleid en de procedures van de organisatie.
Technologieën en technieken die de zichtbaarheid en het gebruik van gegevens binnen een organisatie verbeteren, worden gebruikt bij gegevensbeveiliging. Door technieken als gegevensmaskering, encryptie en het redigeren van gevoelige informatie te gebruiken, helpen deze tools gegevens te beschermen. Met behulp van deze aanpak kunnen organisaties voldoen aan strengere regels voor gegevensbescherming en hun auditactiviteiten stroomlijnen.
Het doel van shift left security is om testen en beveiliging zo vroeg mogelijk in het ontwikkelingsproces op te nemen.
De vier stappen van de Software Development Life Cycle (SDLC) zijn ontwikkeling, bouwen, testen en implementeren.
Omdat ontwikkelaars zich aan de linkerkant van de cyclus bevinden, zal alles wat in hun richting wordt bewogen naar links verschuiven.
Maar het verschuiven van de beveiliging naar links vereist meer dan alleen het geven van een lijst met problemen die moeten worden opgelost aan ontwikkelaars of een tool die is gemaakt voor het beveiligingsteam.
Ontwikkelaars hebben ontwikkelaarsvriendelijke tools en voortdurende hulp van het beveiligingsteam nodig voor een succesvolle implementatie.
De discipline van het integreren van beveiliging in DevOps-tools en -processen door uit te zoeken waar beveiligingscontroles, tests en poorten moeten worden geïntegreerd zonder de kosten te verhogen of het proces van het aanbrengen van wijzigingen in de infrastructuur en code te vertragen, staat bekend als beveiliging als code, of SaC.
Ontwikkelaars kunnen infrastructuurplatforms en -configuraties definiëren door code voor de taak te schrijven. We moeten overwegen om SaC te adopteren om de flexibiliteit en snelheid van DevOps naar de beveiliging te brengen. SaC zal de toekomst van applicatiebeveiliging bepalen.
Automatisering van beveiligingstaken, die zowel incidentdetectie en -respons als administratieve verantwoordelijkheden omvat, staat bekend als beveiligingsautomatisering. Beveiligingsteams kunnen schalen om aan de toenemende werklast te voldoen dankzij beveiligingsautomatisering, wat verschillende voordelen voor de organisatie biedt.
Zero Trust-beveiliging is ontwikkeld om het cyberrisico van ondernemingen te helpen beheersen naarmate cyberaanvallen in aantal en verfijning toenemen. Zero trust-beveiliging, gebaseerd op op rollen gebaseerde toegangscontroles (RBAC’s), autoriseert of weigert toegangsverzoeken individueel in plaats van impliciet interne individuen en systemen te vertrouwen.
Hoewel een zero-trust-architectuur gedetailleerde beveiliging biedt, heeft deze veel voor- en nadelen. Het ontwikkelen van een zero-trust-strategie die veilig, schaalbaar en duurzaam is, vereist beveiligingsautomatisering.
Een wetgevend kader dat bekend staat als de Algemene Verordening Gegevensbescherming (AVG) stelt regels vast voor het verzamelen en gebruiken van persoonlijke gegevens van mensen binnen en buiten de Europese Unie (EU). De AVG werd in 2016 goedgekeurd en twee jaar later volledig van kracht.
Door bedrijven verantwoordelijk te maken voor het beheer en de behandeling van persoonlijke gegevens, probeert het klanten controle te geven over hun persoonlijke gegevens. Websites die gebruikers uit Europa aantrekken, moeten voldoen aan de regel die van toepassing is, ongeacht hun locatie, zelfs als ze niet rechtstreeks adverteren voor EU-burgers.
Om persoonlijke gegevens over een individu te verkrijgen, zijn organisaties op grond van de AVG verplicht om de duidelijke en expliciete toestemming van het onderwerp te verkrijgen. Transparantie is cruciaal; bedrijven moeten mensen vertellen hoe hun gegevens zullen worden gebruikt door hen eenvoudige en begrijpelijke privacyverklaringen te sturen.
Onder de AVG hebben mensen verschillende rechten, zoals de mogelijkheid om hun persoonlijke gegevens in te zien, wijzigingen aan te vragen, bezwaar te maken tegen de verwerking en zelfs hun gegevens te verwijderen (het recht om vergeten te worden). Deze rechten bieden mensen de mogelijkheid om te beslissen hoe hun gegevens worden gebruikt.
Organisaties moeten krachtige gegevensbeveiligingsmaatregelen treffen om zich te beschermen tegen inbreuken op en ongeoorloofde toegang tot persoonlijke gegevens. Bovendien moeten bedrijven een Data Protection Officer (DPO) aanwijzen om toezicht te houden op de naleving van de AVG en als tussenpersoon dienen tussen het bedrijf, de betrokkenen en regelgevende instanties.
De Algemene Verordening Gegevensbescherming (AVG) gaf mensen de mogelijkheid om te vragen dat hun gegevens op een machinaal leesbare manier worden overgedragen. Bovendien garandeert het recht op verwijdering dat mensen in bepaalde situaties om verwijdering van hun persoonlijke gegevens kunnen vragen.
Organisaties moeten ervoor zorgen dat de doellanden passende gegevensbescherming bieden bij de overdracht van persoonsgegevens buiten de EU. Veilige buitenlandse gegevensoverdrachten vereisen voldoende bescherming, zoals standaardcontractbepalingen (SCC’s) of bindende bedrijfsregels (BCR’s).
Ondanks dat het een Europese regel is, heeft GDPR een internationaal effect. Bedrijven die internationaal opereren of zich richten op Europese consumenten moeten zich aan de AVG houden, ongeacht hun fysieke locatie. Er staan zware straffen op niet-naleving, wat het belang benadrukt van het begrijpen en naleven van de wetgeving inzake gegevensprivacy.
Gegevensprivacy versus gegevensbeveiliging: focus
Eerst zullen we dieper ingaan op het aspect gegevensprivacy versus gegevensbeveiliging van Focus.
Data Privacy
De primaire focus van gegevensprivacy is beveiliging.
Shift Links Beveiliging
Het doel van shift left security is om testen en beveiliging zo vroeg mogelijk in het ontwikkelingsproces op te nemen.
De vier stappen van de Software Development Life Cycle (SDLC) zijn ontwikkeling, bouwen, testen en implementeren.
Omdat ontwikkelaars zich aan de linkerkant van de cyclus bevinden, zal alles wat in hun richting wordt bewogen naar links verschuiven.
Maar het verschuiven van de beveiliging naar links vereist meer dan alleen het geven van een lijst met problemen die moeten worden opgelost aan ontwikkelaars of een tool die is gemaakt voor het beveiligingsteam.
De primaire focus van gegevensprivacy is het verantwoord omgaan met persoonlijke gegevens, waarbij de macht van mensen wordt benadrukt over de informatie die zij verstrekken en over de manier waarop deze wordt verzameld, gebruikt en gedeeld.
In wezen gaat gegevensprivacy over het behoud van het recht van mensen op controle over hun persoonlijke gegevens. Het benadrukt het juiste beheer van gegevens, waarbij de nadruk ligt op het verzamelen, verwerken, delen en gebruiken van informatie. Individuen hebben het recht om te weten welke gegevens worden verzameld, waarom deze worden verzameld en hoe deze zullen worden gebruikt. Dit staat bekend als gegevensprivacy.
Gegevensbeveiliging richt zich op het beschermen van gegevens tegen illegale toegang, inbreuken of cyberdreigingen, waarbij de vertrouwelijkheid en integriteit van individuele en organisatiegegevens wordt gegarandeerd.
Het beschermen van gegevensactiva tegen verschillende risico’s, zoals ongeoorloofde toegang, inbreuken, cyberaanvallen en gegevensmanipulatie, is de focus van gegevensbeveiliging.
Het omvat het opzetten van organisatorische, procedurele en technische waarborgen om ervoor te zorgen dat gegevens accuraat, betrouwbaar en onaangetast zijn. Bovendien garandeert gegevensbeveiliging de vertrouwelijkheid van gegevens door de toegang tot gevoelige informatie te beperken tot alleen geautoriseerde gebruikers of systemen.
Het beschermen van het recht van mensen op privacy en tegelijkertijd het bevorderen van openheid, geïnformeerde toestemming en moreel gegevensgebruik is het doel van gegevensprivacy.
Het waarborgen van het fundamentele recht op privacy van mensen is het hoofddoel van gegevensprivacy. Het moedigt transparantie, geïnformeerde toestemming en morele omgang met gegevens aan. Gegevensprivacy helpt mensen en organisaties elkaar te vertrouwen door individuen controle over hun gegevens te geven.
Om dataprivacy te bereiken zijn transparante datapraktijken, ondubbelzinnige privacyregels en mogelijkheden voor mensen om hun rechten uit te oefenen (zoals toegang tot, wijziging of verwijdering van hun gegevens) noodzakelijk.
Gegevensbeveiliging streeft ernaar gegevensactiva te beschermen door procedurele en technische waarborgen te implementeren, mogelijke cyberaanvallen af te weren en te garanderen dat de gegevens veilig en ongewijzigd zijn.
Gegevensbescherming houdt zich in de eerste plaats bezig met het beschermen van gegevens tegen potentiële bedreigingen en zwakheden. Organisaties streven ernaar een sterke verdediging tegen cyberdreigingen op te zetten door gebruik te maken van beveiligingsprocedures zoals inbraakdetectiesystemen, firewalls, toegangscontroles en encryptie. Gegevensbeveiligingsprocedures omvatten ook het testen van kwetsbaarheden, strategieën voor incidentrespons en routinematige veiligheidsbeoordelingen om de gevolgen van eventuele beveiligingsinbreuken snel te verminderen.
Persoonlijke informatie: Alle informatie die kan worden gebruikt om een specifieke persoon te identificeren, inclusief namen, adressen, telefoonnummers en zelfs meer privé-informatie zoals medische dossiers, wordt persoonlijke informatie genoemd.
Wettelijke naleving: Voldoet aan wetten en regels die bepalen hoe persoonlijke gegevens worden verwerkt, zoals de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) en de Algemene Verordening Gegevensbescherming (AVG) in Europa.
Toestemming en transparantie: eist dat organisaties de uitdrukkelijke toestemming van mensen krijgen voordat ze persoonlijke gegevens verzamelen en gebruiken, en dat ze open en eerlijk zijn over het beoogde doel van de gegevens.
Vertrouwelijkheid, integriteit en beschikbaarheid (CIA): verwijst naar de doelstellingen van het beschermen van de privacy van gegevens, het waarborgen van de integriteit ervan door ongeoorloofde wijzigingen te vermijden en het waarborgen van de toegankelijkheid ervan voor degenen die deze nodig hebben.
Cyberbeveiligingsmaatregelen: Om gegevens te beschermen tegen cyberdreigingen zoals malware, phishing-aanvallen en hacking, worden technologische maatregelen zoals encryptie, firewalls en toegangsbeperkingen geïmplementeerd.
Fysieke beveiliging: Het gaat verder dan digitale verdediging en omvat veilige datacenters, toegangscontroles voor faciliteiten en veilige fysieke gegevensopslag.
Persoonlijke informatie: Uw naam, adres, telefoonnummer en nog meer privé-informatie zoals uw medische of financiële gegevens zijn voorbeelden van persoonlijke informatie.
Toestemming: Een bedrijf of organisatie moet uw toestemming verkrijgen voordat zij uw persoonsgegevens verzamelt. Dit noemen wij toestemming. Ze moeten ook beschrijven hoe ze van plan zijn uw informatie te gebruiken.
Transparantie: Bedrijven moeten open en eerlijk zijn over de gegevens die ze verzamelen, waarom en hoe ze deze willen gebruiken. Het geeft u een idee van wat u kunt verwachten.
Vertrouwelijkheid: Het handhaven van de privacy van gegevens en ervoor zorgen dat alleen degenen met toestemming er toegang toe hebben, zijn voorbeelden van vertrouwelijkheid. Het is vergelijkbaar met het hebben van een code die alleen geautoriseerde personen kennen.
Integriteit: Integriteit is de zekerheid dat niemand die de gegevens niet zou mogen wijzigen, dit doet. Bedenk dat u een dagboek heeft en ervoor wilt zorgen dat er niets wordt toegevoegd of verwijderd zonder y onze kennis.
Beschikbaarheid: Ervoor zorgen dat de informatie toegankelijk is wanneer dat nodig is. Het is vergelijkbaar met ervoor zorgen dat uw favoriete applicatie of game altijd beschikbaar is wanneer u deze nodig heeft.
Cyberbeveiliging: Cyberbeveiliging is het proces waarbij uw gegevens worden beveiligd tegen online bedreigingen door gebruik te maken van tools en strategieën, waaronder firewalls, encryptie, geheime codes en antivirussoftware.
Gegevensprivacy versus gegevensbeveiliging: juridisch en regelgevend kader
Wettelijke en regelgevende kaders zijn ook van cruciaal belang in het argument van gegevensprivacy versus gegevensbeveiliging.
Het beschermen van de persoonlijke informatie van mensen is het belangrijkste doel van gegevensprivacy, wat blijkt uit de Algemene Verordening Gegevensbescherming (AVG). Deze regelgeving, die sterk de nadruk legt op openheid, toestemming en individuele rechten, specificeert hoe bedrijven gegevens moeten verzamelen, gebruiken en bewaren.
Gegevensbeveiliging vindt plaats in een aparte juridische omgeving met normen als ISO/IEC 27001 en wetten als de Federal Information Security Management Act (FISMA) en de Payment Card Industry Data Security Standard (PCI DSS). Niet alleen voor persoonsgegevens, deze raamwerken zijn bedoeld om de beschikbaarheid, vertrouwelijkheid en integriteit van allerlei soorten gegevens te garanderen.