Klik voor meer informatie over auteur Muhammad Hamza Shahid.
Het belang van data neemt toe op nog nooit eerder vertoonde schalen en wordt een van de kostbaarste activa voor organisaties wereldwijd. Diverse privacywet- en regelgeving dwingt bedrijven om de gegevens van hun consumenten zo goed mogelijk op te slaan en te beveiligen.
De laatste Onderzoek door IDC onthult dat mensen tegen het einde van 2023 elk jaar 102,6 zettabyte aan gegevens zullen creëren. Gezien deze exponentiële toename van het gegevensvolume, zullen consumenten een gemakkelijk doelwit worden voor hackers en andere cybercriminelen.
Evenzo zullen organisaties hun heersende praktijken voor gegevensversleuteling moeten verbeteren om deze criminelen te omzeilen.
Gegevensversleuteling volgens de AVG
De Algemene Verordening Gegevensbescherming (AVG) is een van de belangrijkste voorschriften voor gegevensprivacy wereldwijd. In deze privacywet voor consumenten wordt gegevensencryptie gezien als een cruciaal aspect van gegevensprivacy. Artikel 32, “Beveiliging van de verwerking” staten dat de verwerker de vereiste technische en organisatorische maatregelen moet nemen om het beveiligingsniveau te verhogen, rekening houdend met de kosten van de stand van de techniek, de aard, de omvang, de doeleinden en de context van de verwerking naast de rechten en vrijheid van natuurlijke personen.
Evenzo zijn bedrijven verplicht de persoonlijke gegevens van hun klanten te versleutelen en anonimiseren, en ze moeten zich concentreren op het waarborgen van de vertrouwelijkheid en integriteit van verwerkingssystemen en apparaten. Bovendien zijn organisaties verantwoordelijk voor het testen van de doeltreffendheid van technische maatregelen, aangezien dit hen in staat zal stellen de beveiliging van de verwerking tot op zekere hoogte te verbeteren.
Overweging 83 van de AVG, bespreekt het gegevensbeschermingsmechanisme van de consument in detail:
“De verantwoordelijke of verwerker moet de risico’s van de verwerking onderzoeken en maatregelen of stappen implementeren om die risico’s, zoals versleuteling, dienovereenkomstig te verminderen. Al deze maatregelen zouden ook de algehele beveiliging en vertrouwelijkheid van persoonlijke gegevens moeten helpen verbeteren. “
Bovendien moet de verwerker / verantwoordelijke rekening houden met andere risico’s die inherent zijn aan de verwerking van persoonsgegevens, zoals onwettige of onbedoelde vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van persoonsgegevens, die een oorzaak kunnen worden van materiële / immateriële schade.
Over het algemeen vereist de AVG dat bedrijven de noties van gegevensversleuteling praktisch volgen. Evenzo moeten de gegevenscoderingspraktijken de gegevens van klanten beveiligen en tegelijkertijd de risico’s in verband met gegevensoverdracht, zoals cyberaanvallen, verminderen.
Dat gezegd hebbende, organisaties die in 5, 9 en 14 ogen Naast het pragmatisch uitvoeren van de AVG-richtlijnen zullen landen nog een uitdaging moeten aangaan in de vorm van de gegevensbewaarwetten van de respectievelijke landen.
Versleutelingswetten volgens de CCPA
De California Consumer Privacy Act (CCPA) specificeert niet categorisch data encryptie. Organisaties zijn echter gemotiveerd om gegevensbeveiligingsmaatregelen toe te passen op de gegevens die ze opslaan.
Interessant genoeg zijn er geen boetes verbonden aan gegevensversleuteling, maar in omstandigheden waarin zich een datalek voordoet, moeten bedrijven de boete van $ 750, – per consument betalen.
Afgezien daarvan moeten organisaties voldoen aan de rechten van betrokkenen (DSR’s), omdat ze codering in de gegevens moeten opnemen. Door dit te doen, kunnen ze de gegevens van de consument beschermen op het moment van overdracht, delen en opslag.
Volgens sectie 1798.81.5 van het California Civil Code:
“Een bedrijf dat persoonlijke informatie over een inwoner van Californië bezit, licentieert of onderhoudt, zal redelijke veiligheidsprocedures en -praktijken implementeren en handhaven die passen bij de aard van de informatie, om de persoonlijke informatie te beschermen tegen ongeoorloofde toegang, vernietiging, gebruik, wijziging of openbaarmaking . “
Versleutelingswetten volgens de LGPD
In vergelijking met de CCPA verplicht de LGPD (de Braziliaanse algemene gegevensbeschermingswet) organisaties niet om de gegevens van hun klanten te versleutelen. Toch instrueert de wet bedrijven om voldoende veiligheidsmaatregelen toe te passen bij het verwerken van de persoonlijke gegevens of informatie van hun klanten.
In deze situatie is de coderingsrol handig omdat het de bescherming van consumentengegevens naar nieuwe hoogten tilt. Volgens de LGPD-wet, anonieme of geanonimiseerde gegevens vallen niet onder persoonsgegevens.
Versleutelingswetten volgens HIPAA
De Health Insurance Portability and Accountability Act (HIPAA) vereist dat gedekte entiteiten gegevensbeveiliging implementeren om patiëntgegevens te beschermen tegen gegevensuitbreiding en andere cyberdreigingen.
De wet benadrukt het belang van versleuteling van beschermde gezondheidsinformatie (PHI) en definieert het als een “adresseerbare” vereiste. Conform de HIPAA-coderingsvereisten voor transmissiebeveiliging, moeten de betrokken entiteiten een veiligheidsprocedure implementeren die handig is als het gaat om het coderen van PHI.
In gevallen waarin de organisatie kan rechtvaardigen dat ze het vereiste niveau van versleuteling niet kan toepassen en een alternatieve methode voor gegevensbescherming biedt, hoeft ze PHI-gegevens niet te versleutelen.
Boetes in verband met de versleutelingswetten
Wat de GDPR-, CCPA- en LGPD-wetten betreft, hebben ze niet de sancties beschreven die verband houden met het niet-implementeren van codering. Maar organisaties moeten het gewenste coderingsniveau toepassen om de gegevens van hun consumenten te beveiligen om zichzelf te beschermen tegen de mogelijkheid van hoge boetes voor datalekken.
Onlangs heeft het Office for Civil Rights (OCR) van het Department of Health and Human Services bekend gemaakt de eerste boete van 2020. De praktijk in kwestie zal een boete van $ 100.000 betalen wegens het niet naleven van de HIPAA-beveiligingsregels.
Best practices voor versleuteling
Versleuteling speelt een belangrijke rol wanneer een organisatie haar beveiliging wil verbeteren. Hier is de lijst met verschillende praktijken die een bedrijf kan volgen om een effectief versleutelingssysteem op zijn locatie te implementeren. Deze praktijken zijn:
- Houd uw coderingssleutel veilig; anders hebben ongewenste mensen toegang tot uw cruciale klantgegevens
- Versleutel alle soorten gevoelige gegevens door alle vereiste gegevensbeveiligingsmaatregelen te volgen
- Evalueer de impact van de gegevensversleutelingsstrategie voor de hele organisatie
- Ongeacht de staat van de gegevens, dwz in beweging (wanneer ze worden overgedragen), in rust (opgeslagen voor later gebruik) of in gebruik (op het moment dat ze worden gegenereerd, bekeken en gewist), pas een efficiënte gegevensversleutelingsprocedure toe aan iedereen
Afsluiten
Gegevensversleuteling is niet langer alleen een optie voor organisaties. Het is nu een vereiste vanwege verschillende beveiligingsproblemen, zoals hacking, gegevensdiefstal, inbreuk op de privacy en meer. Het is een noodzaak gebleken om bedrijven te helpen de informatie van hun consumenten te beveiligen.
Daarom moeten organisaties de bovengenoemde praktijken voor gegevensversleuteling volgen om al hun gevoelige gegevens te versleutelen en het vertrouwen van klanten te vergroten.
Bedrijven die de bescherming van hun klantinformatie, de integriteit van hun gegevens en het respecteren van overheidsbeleid serieus nemen, mogen de waarde van versleuteling niet onderschatten.
