persoonlijk identificeerbare informatie (PII)

Wat is persoonlijk identificeerbare informatie (PII)

persoonlijk identificeerbare informatie (PII) is een juridische term met betrekking tot informatiebeveiliging omgevingen. Hoewel PII heeft verschillende formele definities, in het algemeen, het is informatie die kan worden gebruikt door organisaties op zijn eigen of met andere informatie te identificeren, contact, of lokaliseren van een enkele persoon, of om een individu te identificeren in context.,

niet-gevoelige PII kan in onveilige vorm worden overgedragen zonder schade toe te brengen aan een individu. Gevoelige PII moet worden verzonden en opgeslagen in veilige vorm, bijvoorbeeld met behulp van encryptie, omdat het schade kan toebrengen aan een individu, indien bekendgemaakt.

organisaties gebruiken het concept PII om te begrijpen welke gegevens ze opslaan, verwerken en beheren die mensen identificeren en extra verantwoordelijkheid, veiligheidseisen en in sommige gevallen wettelijke of compliance-eisen met zich mee kunnen brengen.,

Persoonlijk Identificeerbare Informatie (PII) in de Wet op Privacy

PI en soortgelijke termen bestaan in de wetgeving van vele landen en gebieden:

  • In de Verenigde Staten, de National Institute of Standards and Technology (NIST)’s Handleiding tot de Bescherming van de Vertrouwelijkheid van persoonsgegevens definieert “persoonlijke” informatie zoals naam, sofi-nummer, en biometrische records, die kan worden gebruikt om onderscheid te maken of traceren van de identiteit van een persoon.,
  • in de Europese Unie definieert Richtlijn 95/46/EG “persoonsgegevens” als informatie waarmee een persoon kan worden geïdentificeerd door middel van een ID-nummer, of factoren die specifiek zijn voor de fysieke, fysiologische, mentale, economische, culturele of sociale identiteit.in Australië definieert de Privacy Act 1988 “persoonlijke informatie” als informatie of een mening, al dan niet waar, over een persoon waarvan de identiteit duidelijk is of redelijkerwijs kan worden vastgesteld—een veel bredere definitie dan in de meeste andere landen.,
  • in Nieuw-Zeeland definieert de Privacywet “persoonlijke informatie” als elk stukje informatie dat betrekking heeft op een levende, identificeerbare mens, inclusief namen, contactgegevens, financiële gezondheid en aankoopgegevens.
  • in Canada definieert de Wet Bescherming Persoonsgegevens en elektronische documenten (PIPEDA) en de Privacywet “persoonsgegevens” als gegevens die op zichzelf, of in combinatie met andere gegevens, een individu kunnen identificeren.

Wat is PII?,

volgens de NIST PII-Gids kunnen de volgende items zeker als PII worden aangemerkt, omdat ze een mens ondubbelzinnig kunnen identificeren: volledige naam (indien niet gebruikelijk), gezicht, huisadres, e-mail, ID-nummer, paspoortnummer, kenteken van het voertuig, rijbewijs, vingerafdrukken of handschrift, creditcardnummer, digitale identiteit, geboortedatum, geboorteplaats, genetische informatie, Telefoonnummer, loginnaam of schermnaam.

wat wordt als PII beschouwd?,

naast deze duidelijke identificatiemiddelen zijn er ” quasi-identificatiemiddelen “of” pseudo-identificatiemiddelen ” die samen met andere informatie kunnen worden gebruikt om een persoon te identificeren. Bijvoorbeeld, volgens een Amerikaanse overheidsstudie, 87% van de Amerikaanse bevolking kan uniek worden geïdentificeerd door een combinatie van geslacht, postcode en geboortedatum. Pseudo-identifiers mogen niet worden beschouwd als PII onder de wetgeving van de Verenigde Staten, maar zullen waarschijnlijk worden beschouwd als PII in Europa.

Wie is verantwoordelijk voor de bescherming van PII?,

vanuit juridisch oogpunt wordt de verantwoordelijkheid voor de bescherming van PII niet alleen aan organisaties toegeschreven; de verantwoordelijkheid kan worden gedeeld met de individuele eigenaars van de gegevens. Bedrijven kunnen al dan niet wettelijk aansprakelijk zijn voor de PII die zij bezitten.volgens een studie van Experian is 42% van de consumenten echter van mening dat het de verantwoordelijkheid van een bedrijf is om zijn persoonsgegevens te beschermen, en 64% van de consumenten zei dat zij zouden worden ontmoedigd om de diensten van een bedrijf te gebruiken na een inbreuk op de gegevens., In het licht van de publieke perceptie dat organisaties verantwoordelijk zijn voor PII, is het een algemeen aanvaarde beste praktijk om PII te beveiligen. Een veel voorkomende en effectieve manier om dit te doen is het gebruik van een Data Privacy Framework.

bekijk hoe Imperva Data Masking u kan helpen met PII beveiliging.

een kader voor gegevensbescherming creëren

een kader voor gegevensbescherming is een gedocumenteerde conceptuele structuur die bedrijven kan helpen gevoelige gegevens zoals betalingen, persoonlijke informatie en intellectuele eigendom te beschermen., Het kader specificeert hoe gevoelige gegevens te definiëren, hoe risico ‘ s te analyseren die van invloed zijn op de gegevens, en hoe controles te implementeren om deze te beveiligen.

Er zijn gevestigde frameworks voor gegevensprivacy, zoals de Payment Card Industry Data Security Standard (PCI DSS), de ISO 27000-familie van standaarden en de EU General Data Protection Regulation (GDPR), maar er zijn voordelen aan het creëren van een aangepast framework voor uw organisatie.,

een aangepast kader voor gegevensbescherming zal u helpen om de nadruk te leggen op de meest gevoelige en waardevolle gegevens binnen uw organisatie, en ontwerpcontroles die geschikt zijn voor uw organisatiestructuur, cultuur, wettelijke vereisten en beveiligingsbudget.

Volg de onderstaande stappen om een aangepast kader voor gegevensbescherming te maken.

classificatie

definieer, beoordeel en classificeer PII die uw organisatie ontvangt, opslaat, beheert of overdraagt., Voor elk type PII, identificeren:

  • Het vereiste niveau van vertrouwelijkheid
  • Hoe gevoeliger de gegevens integriteit—wat gebeurt er als het is verloren of beschadigde
  • Hoe belangrijk het is om de gegevens te allen tijde beschikbaar
  • Wat is het niveau van de toestemming heeft van de organisatie ontvangen met betrekking tot de gegevens

Beoordeling

Het uitvoeren van een Privacy Impact Assessment (PIA) te bepalen, voor elk type of indeling of PI, hoe het verkregen is, waar het wordt opgeslagen en hoe het wordt verwerkt, evenals de potentiële veiligheidsrisico ‘ s voor elk type van PI.,perates in

  • Identificeer vrijwillige normen waaraan u moet voldoen, zoals PCI DSS
  • Bepaal het veiligheids—en aansprakelijkheidsbeleid van uw organisatie met betrekking tot producten en diensten van derden—bijvoorbeeld cloudopslagdiensten
  • PII-beveiligingscontroles

    het kader voor gegevensbescherming moet bepalen welke beveiligingscontroles de organisatie moet hebben om gegevensverlies of datalekken te voorkomen:

    • Change Management-tracking en auditing wijzigingen in de configuratie erop systemen die beveiligingsimplicaties kunnen hebben, zoals het toevoegen/verwijderen van gebruikersaccounts.,
    • preventie van gegevensverlies-implementerende systemen die gevoelige gegevens kunnen volgen die binnen of buiten de organisatie worden overgedragen, en onnatuurlijke patronen kunnen identificeren die een inbreuk zouden kunnen suggereren.
    • gegevens maskeren-ervoor zorgen dat gegevens worden opgeslagen of verzonden met de minimaal vereiste gegevens voor de specifieke transactie, terwijl andere gegevens worden gemaskeerd of weggelaten.
    • ethische muren-het implementeren van screeningsmechanismen om te voorkomen dat bepaalde afdelingen of individuen binnen een organisatie PII bekijken die niet relevant is voor hun werk, of die een belangenconflict kunnen veroorzaken.,
    • Privileged User monitoring-monitoring van alle bevoorrechte toegang tot bestanden en databases, het aanmaken van gebruikers en nieuw toegekende privileges, blokkeren en waarschuwen wanneer verdachte activiteiten worden gedetecteerd.
    • controle van toegang tot gevoelige gegevens-parallel aan controleactiviteiten door bevoorrechte gebruikers, controle en controle van alle toegang tot gevoelige gegevens, blokkeren en waarschuwen voor verdachte of abnormale activiteiten.,veilige archivering van het audittrail-ervoor zorgen dat alle activiteiten die op of in verband met PII worden uitgevoerd, worden gecontroleerd en gedurende een periode van 1-7 jaar worden bewaard, voor juridische of nalevingsdoeleinden, en ook om forensisch onderzoek van veiligheidsincidenten mogelijk te maken.
    • Gebruikersrechtenbeheer-het identificeren van overmatige, ongeschikte of ongebruikte gebruikersrechten en het nemen van corrigerende maatregelen, zoals het verwijderen van gebruikersaccounts die al enkele maanden niet zijn gebruikt.,
    • User tracking-implementatie van manieren om gebruikersactiviteiten te volgen, online en tijdens het gebruik van organisatiesystemen, om nalatige blootstelling van gevoelige gegevens, compromis van gebruikersaccounts of kwaadaardige insiders te identificeren.

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *