Klik voor meer informatie over auteur Beth Shulkin.
Persoonlijk identificeerbare informatie (PII) zijn alle gegevens die worden gebruikt om een persoon te identificeren, zoals burgerservicenummer, telefoonnummer of fysiek adres. Jarenlang vertrouwen handelaars, banken, overheidsinstanties en talloze andere organisaties op PII om hun klanten te bedienen, transacties van online shoppers te verwerken, leningen voor huizenkopers goed te keuren, belastingaangiften aan burgers te doen en meer.
Hoewel PII handig is om digitale transacties mogelijk te maken, kan het ook schadelijk zijn als het gecompromitteerd is. Datalekken bij winkeliers, gezondheidsgerelateerde organisaties, financiële instellingen en federale agentschappen kunnen de PII van een persoon in gevaar brengen en hen kwetsbaar maken voor identiteitsdiefstal en andere vormen van fraude. Het kan ook kostbaar zijn voor de getroffen organisatie. Volgens IBM’s 2020 Kosten van datalekrapport, de gemiddelde totale kosten van een datalek bedragen wereldwijd $ 3,86 miljoen, met als meest gecompromitteerde en duurste record de PII van de klant voor $ 150 per record.
Hoe gestolen PII personen in gevaar brengt
In de begintijd van digitale fraude was het een misdaad die voornamelijk werd gepleegd door hackers die onafhankelijk handelden. Maar in de loop der jaren is het een domein van de georganiseerde misdaad geworden, met grote groepen die zich richten op fysieke goederen die online worden verkocht om echt geld te verdienen. Tegenwoordig is fraude versneld en zelfs nog geavanceerder geworden door de opkomst van e-commerce, mobiele betalingen en rekenkracht. Veel van dezelfde technologieën waarop bedrijven vertrouwen om te innoveren en snel nieuwe producten en diensten te introduceren, worden ook door fraudeurs overgenomen.
De toenemende verfijning van de huidige fraude kan individuen in nog grotere risico’s brengen als hun PII in verkeerde handen valt. Het kan worden gebruikt om synthetische identiteiten te creëren, waarbij fraudeurs PII van echte mensen combineren met valse informatie om bankrekeningen en creditcards te openen en zich gedragen als legitieme klanten om een transactiegeschiedenis op te bouwen. Ze brengen dan kosten in rekening waarvoor ze niet betalen. McKinsey & Company schat dat synthetische identiteitsfraude de snelst groeiende vorm van financiële criminaliteit is in de Verenigde Staten, en Aite Group ontdekte dat het Amerikaanse geldschieters naar schatting $ 10.000 tot $ 15.000 per incident kost.
Door toegang te krijgen tot iemands PII is het niet alleen mogelijk om nieuwe accounts aan te maken, maar ook om de bestaande accounts van een persoon over te nemen. Zodra ze de controle hebben, kunnen fraudeurs het echte verzendadres wijzigen en een geregistreerde kaart gebruiken om goederen te kopen en deze naar het adres van de fraudeur te laten verzenden.
De introductie van nieuwe voorschriften om PII te beschermen
Naarmate de methoden van fraudeurs geavanceerder zijn geworden, zijn er nieuwe overheidsregels ontstaan om consumentengegevens en identiteiten te beschermen. In de Europese Unie is de richtlijn betalingsdiensten (PSD2) bepaalt hoe banken en handelaren consumentengegevens delen om betalingen te vergemakkelijken, en de Algemene Verordening Gegevensbescherming (AVG) stelt strenge controles op het verzamelen en gebruiken van consumentengegevens op. In de VS is de California Consumer Privacy Act (CCPA) geeft consumenten meer controle over de persoonlijke informatie die bedrijven verzamelen. Deze wetten brengen het risico met zich mee van zware straffen voor niet-naleving en weerspiegelen de sterke houding ten opzichte van gegevensprivacy.
De verschuiving van statische naar dynamische PII
Net zoals fraude in de loop van de tijd is geëvolueerd, heeft het concept van PII dat ook. Volgens de Amerikaanse General Services Administration:
“Niet-PII kan PII worden wanneer aanvullende informatie openbaar wordt gemaakt – in elk medium en uit elke bron – die, in combinatie met andere beschikbare informatie, kan worden gebruikt om een persoon te identificeren.”
Om deze reden blijft de definitie van PII veranderen naarmate er nieuwe informatie beschikbaar komt en er zich trends voordoen.
Historisch gezien was PII statisch, wat betekent dat de elementen in de loop van de tijd hetzelfde blijven. Statische PII omvat doorgaans gegevens zoals een burgerservicenummer, rijbewijs-ID, geboortedatum of een andere nationale identificatiecode. Maar vanwege de verfijning van fraude-aanvallen en recente grote PII-datalekken, zoals Equifax in 2017 en Starwood Hotels in 2018 zijn historische en statische methoden voor het verifiëren van een identiteit ondoelmatig geworden voor authenticatie. In feite is een onderzoek door RSA ontdekte dat bij 45 procent van de Amerikanen hun persoonlijke gegevens in de afgelopen vijf jaar zijn aangetast door een datalek.
Naarmate de wereld echter steeds mobieler en technischer wordt, zijn er nieuwe dynamische PII-elementen ontstaan, zoals IP-adressen, e-mailadressen, apparaat-ID’s, gedrag en biometrie. Deze PII-typen zijn vloeiend (of veranderen vaak), waardoor ze minder vatbaar zijn voor compromissen dan hun statische PII-tegenhangers. En door de relaties tussen deze data-elementen te onderzoeken, worden ze nog krachtiger als hulpmiddel bij digitale identiteitsverificatie.
Hoe dynamische PII het frauderisico beter inschat
Dynamische PII-elementen passen als puzzelstukjes in elkaar om een samengesteld beeld van een persoon te creëren. Apparaat-ID’s kunnen bijvoorbeeld laten zien of een persoon een browser heeft gebruikt om een transactie uit te voeren of in te loggen op zijn bankrekening. Tegelijkertijd kunnen gedragsgegevens een historisch overzicht bieden van de aankopen van een persoon om alarmsignalen te geven of afwijkingen te signaleren, zoals een consument die binnen een dag of twee bij tientallen handelaren handelt.
Met dynamische PII kunnen organisaties minder vertrouwen op statische PII als een definitieve indicator van de identiteit van een klant, en in plaats daarvan focussen op PII-patronen om risico’s te bepalen. Sommige patronen kunnen zijn hoe vaak een telefoonnummer of verzendadres wordt gebruikt of het aantal keren dat een e-mailadres is gekoppeld aan een specifiek IP-adres. Door zich te concentreren op datapatronen in plaats van op nauwkeurige identificatie, kunnen organisaties gemakkelijker gevallen van frauduleuze activiteiten opsporen, terwijl tegelijkertijd wordt voorkomen dat geldige gebruikers worden gehinderd en onnodige wrijving in het transactieproces wordt veroorzaakt.
Het belang van het beveiligen van PII van klanten
Ongeacht het type PII dat organisaties gebruiken, is het cruciaal dat ze stappen ondernemen om deze te beschermen. Klantinformatie is zowel een bezit als een verplichting. Het verlies of misbruik van PII kan juridische gevolgen hebben en onherstelbare schade toebrengen aan het vertrouwen van de klant. De bescherming en verwerking van klantgegevens zou een cruciale hoeksteen moeten zijn aan de basis van elk bedrijf. Enkele praktische tips om dit te doen zijn:
- Begrijp de gegevensbronnen. Om te bepalen hoe (en in welke mate) ze PII moeten beschermen, moeten organisaties eerst overwegen waar de gegevens vandaan komen. De factuurgegevens van een klant zijn bijvoorbeeld veel gevoeliger dan webverkeersgegevens en daarom zijn er veel strengere methoden voor gegevensbescherming nodig.
- Zorg ervoor dat alle gegevens een duidelijk en duidelijk doel dienen. Sommige gegevens zijn bedoeld voor kortetermijndoeleinden (zoals technische logboeken die worden gebruikt voor foutopsporingsdoeleinden), terwijl andere gegevens voor langetermijndoeleinden dienen (bijv. Factureringsgegevens tot het volgende belastingseizoen). Inzicht in het doel van de verzamelde PII zal helpen bij het nemen van beslissingen over hoe deze moeten worden opgeslagen en beschermd.
- Devaluatie van gegevens die niet langer in gebruik zijn. Het kan voor organisaties verleidelijk zijn om gegevens voor onbepaalde tijd te bewaren, maar gegevens blijven niet voor altijd relevant; het zal waarschijnlijk na verloop van tijd oud worden en in waarde afnemen. Gegevens die buiten hun nut worden bewaard, kosten het bedrijf niet alleen geld om te behouden, maar vergroten ook hun aansprakelijkheid als ze worden gehackt. Om PII relevant en laag risico te houden, zouden bedrijven moeten overwegen om gegevens die niet langer nodig zijn te verouderen, met als doel deze zo kort mogelijk te houden om het doel te bereiken.
In een wereld waarin technologie snel evolueert, moeten organisaties nadenken over hoe ze de innovatieve tactieken van de hedendaagse fraudeurs kunnen bijhouden. Het is niet voldoende om alleen barrières op te werpen voor gebruikers die op afstand frauduleus lijken. Dergelijke brede benaderingen lopen het risico van vervreemding van moderne consumenten die veilige maar naadloze ervaringen eisen. Door te begrijpen hoe PII is geëvolueerd, gebruik te maken van dynamische elementen om transacties te evalueren en prioriteit te geven aan de bescherming van PII, kunnen bedrijven een stap dichter bij het beter inschatten en beperken van risico’s komen en het bieden van verbeterde ervaringen voor hun klanten.
