• PII (persoonlijk identificeerbare informatie) identificeren en beveiligen

PII (persoonlijk identificeerbare informatie) identificeren en beveiligen

Blog

Ontdek wat persoonlijk identificeerbare informatie (PII) is, hoe u uw gegevens kunt beschermen en welke wettelijke vereisten bedrijven moeten naleven om de privacy te waarborgen.

door Ahona Rudra

Laatst bijgewerkt:
8 leestijd: 8 minuten
PII (persoonlijk identificeerbare informatie) identificeren en beveiligen
Inhoudsopgave-

Wie wil er nu dat zijn persoonlijk identificeerbare informatie en gevoelige gegevens gecompromitteerd worden en door iemand gebruikt worden voor frauduleuze activiteiten? Maar de trieste realiteit is dat dit nu gemeengoed is geworden.

Onlangs werd bekend dat bijna 50% van de datalekken tussen 2021 en 2023 persoonlijk identificeerbare informatie (PII) van klanten betrof, en 40% van die gegevens was afkomstig van werknemers. Deze gegevens werden geregistreerd tijdens a onderzoek in oktober 2023.

PII is niet erg ingewikkeld, maar het is toch belangrijk om te begrijpen wat het is en waarom het identificeren en beveiligen van PII belangrijk is. Deze gids bevat alle antwoorden om u te helpen uw PII en uzelf te beschermen. 

 

Belangrijkste Conclusies

  1. PII omvat zowel gevoelige als niet-gevoelige informatie die kan worden gebruikt om individuen te identificeren.
  2. Gevoelige PII kan aanzienlijke schade veroorzaken als deze wordt gecompromitteerd, terwijl niet-gevoelige PII op zichzelf minder gevaarlijk is.
  3. Bedrijven moeten robuuste maatregelen nemen om de PII die ze verzamelen en opslaan te beschermen.
  4. Datalekken kunnen zich voordoen via verschillende methoden, zoals phishing en malware, wat de noodzaak van waakzaamheid benadrukt.
  5. Naleving van wetten zoals GDPR en HIPAA is essentieel voor bedrijven om persoonlijke informatie te beschermen en boetes te vermijden.

Wat is PII (persoonlijk identificeerbare informatie)?

PII, of Persoonlijk Identificeerbare Informatie, is informatie die een belangrijk deel van uw identiteit uitmaakt en direct naar u kan wijzen. 

Stel het je voor als een geheime code die, alleen of in combinatie met andere informatie, je identiteit kan onthullen. Het zijn dus niet alleen je naam en adres; het zijn de puzzelstukjes die, als ze samengevoegd worden, het volledige beeld van "jou" vormen. 

Stel bijvoorbeeld dat je naam John is. Er zijn veel andere mensen over de hele wereld die dezelfde naam hebben, waardoor dit niet als PII kan worden beschouwd. Maar wat als je John Doe heet en in Manhattan woont met een burgerservicenummer AXY123? Dan wordt het een PII en kan het je uniek identificeren van andere Johns die in andere gebieden wonen.

PII kan worden onderverdeeld in niet-gevoelig en gevoelig. Deze zullen we hierna behandelen.

 

Vijftien dagen op proefBoek een demo

Niet-gevoelige en gevoelige PII-informatie

Het Amerikaanse ministerie van Defensie biedt een lijst met voorbeelden met betrekking tot PII. Van burgerservicenummers tot persoonlijke adressen, al deze gegevens kunnen onder persoonlijk identificeerbare informatie vallen. Het identificeren en beveiligen van gevoelige PII is precies waar u naar moet streven. 

Laten we eens kijken naar de twee verschillende categorieën PII: 

Gevoelige PII

Gevoelige PII is informatie die een individu heel gemakkelijk kan identificeren. Dit type PII kan schadelijk zijn voor de persoon van wie het is als het wordt achterhaald door een cybercrimineel. 

Voorbeelden van gevoelige persoonlijk identificeerbare informatie

  • Sofinummer (SSN)
  • Rijbewijs
  • Postadres
  • Creditcardgegevens
  • Paspoortgegevens
  • Financiële informatie
  • Medische gegevens

Niet-gevoelige PII

Alle informatie, zoals een meisjesnaam, die een persoon kan identificeren maar niet kan worden gebruikt om hem of haar schade toe te brengen, wordt gedefinieerd als niet-gevoelige PII. 

Voorbeelden van niet-gevoelige persoonlijk identificeerbare informatie

  • Voornaam
  • Postcode
  • Race
  • Geslacht
  • Geboortedatum
  • Geboorteplaats
  • Religie

Als jij of een bedrijf PII wil verzamelen, dan moeten ze online formulieren, enquêtes en sociale media gebruiken, bij voorkeur met een geheimhoudingsverklaring erbij. Als u uw PII aan iemand verstrekt, controleer dan of er een goed plan is voor het gebruik, de opslag en de bescherming van de informatie.

Waarom is PII belangrijk?

Het identificeren en beveiligen van PII is van cruciaal belang omdat het uw gegevens beschermt. Alle bedrijven of organisaties die over uw PII beschikken, zijn wettelijk verplicht om deze koste wat kost te beveiligen. Dit biedt een garantie voor de veiligheid en beveiliging van uw persoonlijke gegevens.

Bedrijven kunnen je informatie voor meerdere doeleinden gebruiken, zoals:

  • Gericht adverteren
  • Fraudepreventie
  • Rechtshandhaving
  • Krediet scoren
  • Screening op werkgelegenheid

Hoe kan PII worden gestolen?

Hoe-kan-PII-gestolen-zijn

Aanvallen zoals social engineering waarbij een vervalste domeinnaam of e-mail wordt gebruikt, kunnen mensen verleiden om PII vrij te geven. Het is ook mogelijk dat privégegevens uitlekken via een gehackt e-mailaccount, datalekken, enzovoort.

Hier volgen enkele veelvoorkomende manieren waarop PII kan worden gestolen: 

  1. Phishing e-mails: Valse e-mails lokken slachtoffers naar hun PII
  2. Datalekken: Aanvallers maken gebruik van zwakke plekken in systemen om gevoelige databases te kraken
  3. Dumpster duiken: Verwijderde documenten uit prullenbakken halen die PII bevatten
  4. Social engineering: Nietsvermoedende slachtoffers manipuleren om persoonlijke informatie te delen
  5. Malware: Kwaadaardige software die bestanden met PII op uw computer infiltreert.
  6. Bedreigingen van binnenuit: Uw eigen werknemers die PII vrijgeven met kwade bedoelingen of voor geld
  7. CyberafluisterenAfluisteren van online communicatie om PII te stelen
  8. Gehackte e-mailaccounts: Toegang krijgen tot e-mailaccounts om chats te lezen die PII bevatten
  9. Man-in-the-middle-aanvallen: Aanvaller onderschept online communicatie om PII te stelen
  10. Aanvallen met brute kracht: Ongeautoriseerde toegang krijgen tot accounts door gebruik te maken van brute kracht, zoals constante herhalingen, en vervolgens PII stelen.

Methoden om PII te beveiligen

Verschillende landen hebben meerdere wetten inzake gegevensbescherming aangenomen om richtlijnen op te stellen voor bedrijven die persoonlijke gegevens van klanten verzamelen, opslaan en delen. Laten we eens kijken naar de manieren om PII te identificeren en te beveiligen.

  • Gebruik waar nodig sterke wachtwoorden.
  • Wees voorzichtig met de gegevens die je online deelt.
  • Controleer uw kredietrapporten regelmatig op tekenen van fraude.

Als je een bedrijfseigenaar bent, moet je de onderstaande stappen overwegen:

  • Alleen de PII verzamelen die nodig is om een specifieke service te leveren.
  • De versleuteling die in bedrijven wordt gebruikt, moet robuust zijn om ongeautoriseerde toegang tot de PII van hun werknemers en klanten te voorkomen.
  • Toegang tot PII moet worden beperkt tot alleen die werknemers die deze nodig hebben om hun taken uit te voeren.
  • Er moet een trainingssessie worden gehouden om werknemers te leren hoe ze PII moeten beschermen.
  • Houd eventuele plotselinge beveiligingsinbreuken altijd goed in de gaten.
  • Er moet een plan zijn om te reageren op datalekken, zodat het snel kan worden gebruikt om te reageren op een datalek en de schade te beperken.

Om de gegevensbescherming verder te verbeteren, kiezen veel organisaties ervoor om samen te werken met externe ontwikkelaars die veilige systemen en geavanceerde encryptieprotocollen kunnen implementeren. Door een gedistribueerd team samen te stellen met bewezen expertise op het gebied van cyberbeveiliging, kunnen bedrijven zorgen voor consistente bewaking, een snelle reactie op bedreigingen en naleving van wereldwijde regelgeving voor gegevens.

Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft ook een inzichtelijk document waarin staat hoe u uw PII veilig kunt beschermen en delen.

Het belang van het beschermen van PII tegen datalekken

Er is sprake van een datalek wanneer iemand die geen toestemming heeft van het bedrijf toegang krijgt tot computersystemen, waardoor mogelijk gevoelige informatie in handen van derden terechtkomt. 

Tijdens ons onderzoek vonden we een studie waaruit bleek dat er wereldwijd meer dan 6 miljoen records wereldwijd werden gekraakt in 2023. Dit is een van de meest zorgwekkende factoren voor bedrijfsleiders.

Deze datalekken kunnen verschillende oorzaken hebben, zoals:

  • Malware
  • Hacken
  • Menselijke fouten

Bedrijven kunnen de onderstaande praktijken volgen om hun gegevens te beschermen tegen inbreuken:

  • Passende beveiligingsmaatregelen implementeren.
  • Hun werknemers voorlichten over de beste praktijken binnen de cyberbeveiliging wereld.
  • Zorg voor een reactie- en herstelplan voor het geval er plotseling een datalek optreedt.

Wet- en regelgeving voor PII

PII wordt gereguleerd door vele wetten en regels. Deze zorgen ervoor dat de privacy van personen veilig is en dat ze zich geen zorgen hoeven te maken over bedreigingen zoals imitatie. Enkele van deze federale wetten zijn:

1. Privacywet van 1974

De Privacywet van 1974 legt de regels vast voor federale agenten als het gaat om het verzamelen, gebruiken en openbaar maken van PII. Deze wet maakt het ook verplicht voor federale instanties om mensen te laten weten of ze hun PII openbaar mogen maken en er staan straffen te wachten als men dit niet doet. Er zijn echter bepaalde speciale gevallen en uitzonderingen.

2. Wet Portabiliteit en Verantwoording Zorgverzekeringen

Dan is er nog HIPAA, de Health Insurance Portability and Accountability Actde superheld voor gezondheidsdossiers. Deze eist dat instellingen en zorgverleners informatie over patiënten geheim houden en hun gezondheidsdossiers niet zonder toestemming vrijgeven.

3. Vrijheid van informatie

En vergeet de FOIA niet, de Freedom of Information Act. Het is het gouden ticket voor mensen die in overheidsdossiers willen graven. Het zegt tegen federale instanties: "Laat je kaarten zien, tenzij het supergeheim is." Dus eigenlijk is het de backstage pas van het publiek voor overheidsinformatie! De FOIA fungeert echter ook als een beschermer van PII door wetshandhavingsinstanties te vragen om informatie achter te houden die persoonlijk identificeerbaar of schadelijk kan zijn.

4. Algemene verordening gegevensbescherming (GDPR) 

In 1995 was er een richtlijn voor gegevensbescherming, maar later, GDPR om persoonlijke informatie te beschermen. Nu moet elk bedrijf dat te maken heeft met de persoonlijke gegevens van EU-burgers, of ze nu gevestigd zijn in de EU of elders (ja, zelfs de VS!), zich aan dezelfde regels houden.

Niet-naleving kan leiden tot hoge boetes - 4% van je wereldwijde jaaromzet of €20 miljoen, afhankelijk van wat het pijnlijkst is - voor de schending van bepaalde bepalingen. Bovendien hebben individuen het recht om een klacht in te dienen als ze denken dat hun GDPR-rechten werden geschonden. 

Vergeet niet dat GDPR de wereldwijde sheriff is voor gegevensprivacy, die ervoor zorgt dat bedrijven niet te snel en te los gaan met de persoonlijke gegevens van mensen. Het is de bewaker van je gegevens, die de digitale wereld in toom houdt.

Hoe kunnen bedrijven de gegevens van hun klanten beschermen?

Bedrijven die op zoek zijn naar manieren om PII te identificeren en te beveiligen om hun beveiliging te verbeteren, kunnen deze handige tips overwegen:

  • Implementeer netwerksegmentatie: Zie het als het bouwen van muren binnen je digitale koninkrijk. Als één gebied wordt doorbroken, kunnen de andere sterk blijven. Het is alsof je geheime compartimenten in je gegevenskluis hebt.
  • Handhaaf het beveiligingsbeleid en de beveiligingsprocedures: Stel de regels op en zorg ervoor dat iedereen zich eraan houdt. Het is net als een beveiligingshandboek - iedereen weet wat mag en wat niet mag.
  • Maak regelmatig back-ups van de gegevens: Stel je gegevens voor als een schat en back-ups als een geheime voorraad. Als de piraten komen (aka datalekken), heb je nog steeds je geheime voorraad om op terug te vallen. 
  • Stel een uitgebreid plan op om op inbreuken op gegevens te reageren: Plan elke actie, van het opsporen van problemen tot het oplossen ervan. 

Impact van identiteitsdiefstal en misbruik van PII

Identiteitsdiefstal is geen grap - het kan je ernstige financiële hoofdpijn bezorgen. Stel je voor dat iemand zich voordoet als jou en ongevraagd gaat winkelen of leningen op jouw naam afsluit - of erger nog, illegale activiteiten uitvoert! 

Identiteitsdiefstal en gestolen PII kunnen leiden tot: 

  1. Ernstige financiële schade 
  2. Emotioneel leed en angst 
  3. Juridische onrust voor misdaden die in jouw naam zijn gepleegd
  4. Verlies van geloofwaardigheid en reputatie in de sector 
  5. Verlies van vertrouwen van de klant

Laatste woorden

Een populaire manier om PII te verkrijgen, zijn phishing-e-mails waarin uw domeinnaam wordt geïmiteerd of gespoofed. We raden u aan een DMARC in te stellen voor uw e-mails en domeinen om PII te identificeren en te beveiligen. En er is geen betere manier om uw implementatie veilig te configureren en te monitoren dan PowerDMARC! Wij zijn een team van domeinbeveiligingsexperts die gespecialiseerd zijn in het helpen minimaliseren van e-mailfraude door middel van authenticatie. Neem vandaag nog contact op voor een gratis DMARC-proefperiode

Vergeet niet om zo min mogelijk persoonlijke informatie te delen op internet! Blijf veilig en blijf waakzaam online.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
DMARC MSP-casestudy: hoe Systemgemisch de beveiliging van e-mailverificatie automatiseerde...SysteemgemischLookalike-domein-phishing-aanvallen-Phishingaanvallen met lookalike-domeinen