Farorna med personuppgifter

Farorna med personuppgifter


Data Àr inte nytt. Sedan urminnes tider har mÀnniskor registrerat fakta för inventeringsÀndamÄl, för att snickra in hÀndelser i historiens annaler och för allt annat som vÄra förfÀder ansÄg vara viktigt. Behovet av att bevara information i kombination med tekniska framsteg har resulterat i att data blivit allestÀdes nÀrvarande i moderna samhÀllen. Faktum Àr att tekniken gör att skapa, bearbeta och dela data till en sÄ vanlig aktivitet att mÀnniskor har slutat Àgna mycket uppmÀrksamhet Ät det.

Dataexplosion

Data finns överallt och vi interagerar med dem pÄ mÄnga olika sÀtt: kreditkort, identifieringsdokument, medicinska journaler, CCTV-filmer, digitala fotografier, e-post, sociala medier och mer. Listan Àr verkligen oÀndlig och utökas stÀndigt med anvÀndningen av Internet of Things (IoT), smartphones och bÀrbara teknologier, för att nÀmna nÄgra.

Det uppskattas att 2021 överstiger mÀngden data som genereras dagligen 2,5 kvintiljon byte, vilket Àr 25 följt av hÀpnadsvÀckande 17 nollor. Det mesta av det lagras i enorma serverfarmar eller i molnet.

De flesta mÀnniskor just nu ser inga problem med att deras data sprids överallt, och de Àr ocksÄ i allmÀnhet omedvetna om integritetsproblemen som den nuvarande situationen ger upphov till. Men identitetsstölder för individer ökar mÀrkbart, liksom dataexfiltrering och Man in the Middle (MiTM)-attacker för organisationer. BÄda Àr resultatet av att sÄrbarheter utnyttjas för att Àventyra personuppgifter och bryta mot konfidentialitet, och bÄda kan förhindras eller mildras genom en klok tillÀmpning av dataskyddsprinciper.

Data: Det Àr personligt

Personuppgifter Àr en delmÀngd av data som avser individer. Det har varit i rampljuset sedan tillkomsten av GDPR 2018. Sedan dess har andra lagar antagits över hela vÀrlden, inklusive i Kina (PIPL), Brasilien (LGPD) och Kalifornien (CCPA). Dessa lagstiftningsinsatser har ett gemensamt mÄl: att tillhandahÄlla en ram för att skydda personuppgifter.

GDPR definierar personuppgifter som ”All information som rör en identifierad eller identifierbar fysisk person (”den registrerade”); en identifierbar fysisk person Ă€r en som kan identifieras, direkt eller indirekt, sĂ€rskilt genom hĂ€nvisning till en identifierare sĂ„som ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som Ă€r specifika för den fysiska, fysiologiska, den fysiska personens genetiska, mentala, ekonomiska, kulturella eller sociala identitet.”

Begreppet personuppgifter, tolkat i vid bemÀrkelse, delas över de tidigare nÀmnda lagarna. Med tanke pÄ att de flesta av dessa har bestÀmmelser för grÀnsöverskridande överföringar, Àr chansen stor att din organisation faller inom ramen för en eller annan jurisdiktion nÀr det gÀller behandling och skydd av personuppgifter.

Exempel pÄ personuppgifter inkluderar:

Definitionsskillnader

Personligt identifierbar information (PII) och personuppgifter Àr inte samma sak

Ett varningens ord: Àven om de ofta felaktigt anvÀnds omvÀxlande, Àr personlig identifierbar information (PII) och personuppgifter inte samma sak. Personuppgifter omfattar ocksÄ information som kan peka indirekt pÄ en individ, medan PII, en term som oftast anvÀnds i USA, Àr smalare och pekar direkt pÄ en individ.

Till exempel kan “den rödhĂ„riga kvinnan som satt vid fönstret” utgöra personuppgifter om det hjĂ€lper till att identifiera en enskild person. LĂ€gg mĂ€rke till hur det i det hĂ€r exemplet förmodligen inte finns nĂ„got behov av att skaffa ett namn eller ett nummer. En viss tvetydighet Ă€r dock pĂ„ spel, vilket till stor del beror pĂ„ sammanhanget. Sammanhanget i denna mening skulle kombinera olika dataobjekt som pusselbitar. Detta kan uppnĂ„s med information frĂ„n olika kĂ€llor som kan aggregeras pĂ„ ett sĂ„dant sĂ€tt att man gör en slutsats.

Ett annat exempel pÄ vilken roll sammanhanget spelar skulle vara en slumpmÀssig sekvens av siffror, som inte Àr personuppgifter om inte dessa siffror Àr associerade med en individs telefonnummer och kopplingen mellan en individ och telefonnummer kan upprÀttas.

Det följer att alla PII kan betraktas som personuppgifter, men inte vice versa.

Data kontra personuppgifter kontra speciella kategorier av data

Vi har sett hur data skiljer sig frÄn personuppgifter, men det finns en annan viktig datatyp: specialkategoridata. Dessa tre typer kan representeras i ett diagram:

Till skillnad frÄn personuppgifter Àr data i specialkategorier tydligt definierade pÄ ett föreskrivande sÀtt enligt artikel 9 i GDPR, och bestÄr av:

Datakartering och dataklassificering

Det Àr viktigt att kÀnna till de personuppgifter som din organisation hanterar och kartlÀgga hur dessa personuppgifter behandlas, lagras, överförs och i slutÀndan raderas. Detta kommer att hjÀlpa till att anpassa dina organisatoriska och tekniska ÄtgÀrder för att skydda personuppgifterna enligt deras tillhörande risk och prioritera klokt.

Detta kan uppnÄs pÄ ett av tvÄ sÀtt:

Utföra en datainventering, som bestĂ„r av att skapa en post över data som kommer in, finns i eller lĂ€mnar din organisation. Utföra en registrering av bearbetningsaktiviteter (RoPA), som liknar datainventering, men fokuserar pĂ„ aktiviteterna (lĂ€s ‘flöden av data’), istĂ€llet för att specificera varje dataelement. Det tyder pĂ„ en mindre anstrĂ€ngning men inte pĂ„ nĂ„got sĂ€tt en försumbar sĂ„dan.

Dataklassificering kommer att kategorisera data i flera fack. För kommersiella organisationer bestÄr ett typiskt klassificeringssystem av:

strikt konfidentiell konfidentiell personlig intern anvÀndning endast offentlig

Dessa frÄgor kan betraktas som tvÄ sidor av samma mynt, eftersom datainventering/RoPA utan dataklassificering inte Àr sÀrskilt anvÀndbart, och dataklassificering utan datainventering/RoPA helt enkelt inte kan ske.

Var man hittar personuppgifter

För att stödja din sökning efter personuppgifter Àr det en bra idé att först ha en tillgÄngsinventering, pÄ sÄ sÀtt blir det lÀttare att avgöra vilken data som kan cirkulera genom dessa enheter. Oavsett vilket Àr det hÀr nÄgra platser att undersöka:

Personuppgifter kan vara i digital form och i fysisk form som en del av ett fyllningssystem. Personuppgifter finns i strukturerade eller ostrukturerade databaser. Datasjöar och datalager har ofta rikliga mÀngder personuppgifter. WebbformulÀr som anvÀnds pÄ din webbplats eller i nÄgon annan metod för att kommunicera med dina kunder Cookies och relaterade tekniker som anvÀnds pÄ din webbplats och i synnerhet sÄdana av tredje part om sÄdana finns. Delade drivrutiner som anvÀnds internt, sÀrskilt de med Ätkomst frÄn externa parter E-postinkorgar Bring Your Own Device (BYOD)-telefoner, inklusive SIM-kort, och internminne Flyttbara media som USB-enheter, CD-skivor, DVD-skivor Vilande konton, med anvÀndarnamn och andra data HR-poster Olycksböcker som innehÄller hÀlsorelaterad data

Som en del av digitaliseringen har jag sett mĂ„nga organisationer kĂ€mpa med data som tidigare (eller samtidigt) lagrats i fysisk form. ArkivskĂ„p i en kontorsmiljö som anvĂ€nds för att lagra alla möjliga pappersdokument, inklusive passskanningar, Ă€r fortfarande ganska vanliga. Deras storebror Ă€r “datavalvet”, som Ă€r ett helt rum dedikerat till att lagra utskrifter. Dessa utgör en hög risk för organisationen och en okĂ€nd risk som normalt, data bara dumpas dĂ€r utan nĂ„gon form av hĂ€nsyn. MĂ€ngden anstrĂ€ngning och tid som krĂ€vs för att kategorisera dessa dokument kan vara skrĂ€mmande, och processen Ă€r benĂ€gen att göra fel om man försöker anvĂ€nda ett “snabbt” tillvĂ€gagĂ„ngssĂ€tt.

Det finns verktyg för att hjÀlpa till med dataupptÀcktsövningen, men en bra policy mÄste finnas pÄ plats för att sÀkerstÀlla att nyinhÀmtade data Àr korrekt mÀrkta och sÀkert lagrade.

Det hÀr verkar vara mycket anstrÀngning, varför bry sig?

Konsekvenserna av att inte skydda personuppgifter, vilket som vi har sett krÀver kunskap om var uppgifterna finns och vad de Àr, kan vara allvarliga och kan ramas in enligt följande:

Om en hÀndelse skulle intrÀffa, utgör en sÀkerhetsincident som involverar personuppgifter ett dataintrÄng, och kan krÀva underrÀttelse och rapportering till tillsynsmyndigheter och registrerade, beroende pÄ omfattningen av intrÄnget.

Även om personuppgifter Ă€r genomgripande och uppfattas som en handelsvara, har de genom dataskyddslagar vĂ€rlden över upphöjts till nĂ„got som mĂ„ste hanteras med försiktighet. Organisationer mĂ„ste vara försiktiga med gĂ€llande lagar och agera i enlighet med dem för att undvika otĂ€cka överraskningar som kan pĂ„verka deras affĂ€rsmĂ„l.

DataDecisionMakers

VĂ€lkommen till VentureBeat-communityt!

DataDecisionMakers Àr dÀr experter, inklusive tekniska personer som arbetar med data, kan dela datarelaterade insikter och innovation.

Om du vill lĂ€sa om banbrytande idĂ©er och aktuell information, bĂ€sta praxis och framtiden för data- och datateknik, gĂ„ med oss ​​pĂ„ DataDecisionMakers.

Du kan till och med övervÀga att bidra med en egen artikel!

LÀs mer frÄn DataDecisionMakers