Wat is gegevensprivacy?

Gegevensprivacy, soms ook informatieprivacy genoemd, is een onderdeel van de gegevensbescherming dat betrekking heeft op de juiste omgang met gevoelige gegevens, waaronder met name persoonsgegevens, maar ook andere vertrouwelijke gegevens, zoals bepaalde financiële gegevens en gegevens over intellectuele eigendom, om te voldoen aan wettelijke voorschriften en om de vertrouwelijkheid en onveranderlijkheid van de gegevens te beschermen.

Ruwweg omvat gegevensbescherming drie brede categorieën, namelijk traditionele gegevensbescherming (zoals het maken van back-ups en het terugzetten van kopieën), gegevensbeveiliging en gegevensprivacy, zoals in onderstaande figuur is weergegeven. Het waarborgen van de privacy van gevoelige en persoonlijke gegevens kan worden beschouwd als een resultaat van de beste praktijken op het gebied van gegevensbescherming en -beveiliging, met als algemeen doel de continue beschikbaarheid en onveranderlijkheid van kritieke bedrijfsgegevens.

Merk op dat de term gegevensprivacy omvat wat de Europese Unie (EU) “gegevensbescherming” noemt.”

Figuur: De drie categorieën van gegevensbescherming

Veiligheid wordt een belangrijk element bij de bescherming van de gegevens tegen externe en interne bedreigingen, maar ook bij het bepalen welke digitaal opgeslagen gegevens kunnen worden gedeeld en met wie. In praktische zin heeft gegevensprivacy betrekking op aspecten van het controleproces rond het delen van gegevens met derden, hoe en waar die gegevens worden opgeslagen, en de specifieke regelgeving die op die processen van toepassing is.

Alle landen ter wereld hebben een of andere vorm van wetgeving betreffende gegevensprivacy ingevoerd als reactie op de behoeften van een bepaalde bedrijfstak of bevolkingsgroep.

Gegevenssoevereiniteit

Gegevenssoevereiniteit heeft betrekking op digitale gegevens die onderworpen zijn aan de wetten van het land waar zij zich bevinden.

De toenemende toepassing van cloud-datadiensten en een vermeend gebrek aan veiligheid hebben ertoe geleid dat veel landen nieuwe wetgeving hebben ingevoerd die vereist dat gegevens worden bewaard in het land waar de klant woont.

De huidige bezorgdheid over gegevenssoevereiniteit houdt verband met overheden die proberen te voorkomen dat gegevens worden opgeslagen buiten de geografische grenzen van het land van herkomst. Ervoor zorgen dat gegevens alleen in het gastland bestaan, kan complex zijn en is vaak afhankelijk van de details die in de Service Level Agreement met de Cloud Service Provider worden verstrekt.

Data Privacy – Geografische variaties in termen

In de Europese Unie wordt privacy erkend als een absoluut grondrecht en in sommige delen van de wereld wordt privacy vaak beschouwd als een element van vrijheid, het recht om gevrijwaard te blijven van inmenging door de staat. In de meeste landen is privacy een juridisch begrip en geen technologie, zodat de term gegevensbescherming betrekking heeft op het technische kader om de gegevens veilig en beschikbaar te houden.

Waarom is gegevensprivacy belangrijk?

Het antwoord op deze vraag komt neer op bedrijfsvereisten:

1. Bedrijfsmiddelenbeheer: Gegevens zijn misschien wel de belangrijkste activa van een bedrijf. We leven in een data-economie waarin bedrijven een enorme waarde hechten aan het verzamelen, delen en gebruiken van gegevens over klanten of gebruikers, met name uit de sociale media. Transparantie in de manier waarop bedrijven toestemming vragen om persoonlijke gegevens te bewaren, zich aan hun privacybeleid houden en de verzamelde gegevens beheren, is van vitaal belang om vertrouwen op te bouwen bij klanten die van nature verwachten dat privacy een mensenrecht is.
2. Naleving van regelgeving: Het beheren van gegevens om naleving van de regelgeving te waarborgen, is aantoonbaar nog belangrijker. Een bedrijf moet voldoen aan wettelijke verantwoordelijkheden over de manier waarop het persoonsgegevens verzamelt, opslaat en verwerkt, en niet-naleving kan leiden tot een enorme boete. Als het bedrijf het slachtoffer wordt van een hack of ransomware, kunnen de gevolgen in termen van gederfde inkomsten en verloren klantenvertrouwen nog erger zijn.

Data Privacy is geen Data Security

Bedrijven raken soms in de war door de termen en denken ten onrechte dat het beveiligen van persoonlijke en gevoelige gegevens tegen hackers betekent dat ze automatisch voldoen aan de regelgeving op het gebied van gegevensprivacy. Dat is niet het geval. Gegevensbeveiliging beschermt gegevens tegen compromittering door externe aanvallers en kwaadwillende insiders, terwijl gegevensprivacy regelt hoe de gegevens worden verzameld, gedeeld en gebruikt.

Verschillende juridische definities van gegevensprivacy

Als er overeenstemming is over het belang van gegevensprivacy voor een bedrijf, dan kan de juridische definitie uiterst complex zijn.

Geen van de meest voorkomende regelgevingen (GDPR, CCPA, HIPAA, enz.) definieert precies wat wordt bedoeld met gegevensprivacy en het wordt aan bedrijven overgelaten om te bepalen wat zij in hun eigen sector als beste praktijk beschouwen. De wetgeving verwijst vaak naar wat als “redelijk” wordt beschouwd, wat per wet kan verschillen, samen met de respectieve boetes.

In de praktijk betekent dit dat bedrijven die met gevoelige en persoonlijke gegevens werken, moeten overwegen de wettelijke parameters te overschrijden om ervoor te zorgen dat hun gegevenspraktijken ruim boven die in de wetgeving liggen.