Wat is persoonlijk identificeerbare informatie?
Persoonlijk Identificeerbare Informatie (PII) is een label dat wordt gebruikt om gegevens te beschrijven waarmee een specifiek individu direct of indirect kan worden geïdentificeerd.
Voorbeelden van PII zijn namen, adressen, biometrische gegevens en alfanumerieke rekeningnummers.
- Naam – volledige namen, meisjesnamen, meisjesnamen van moeders, bijnamen en aliassen.
- Adres – straatadressen, e-mailadressen, IP-adressen en MAC-adressen.
- Biometrie – omvat foto’s, röntgenfoto’s en andere soorten biogegevens zoals vingerafdrukken.
- Alfanumerieke rekeningnummers – waaronder telefoonnummers, rijbewijsnummers, ID’s van belastingbetalers, ID’s van patiënten, voertuigregistratienummers en creditcardnummers.
In veel delen van de wereld moeten persoonlijk identificeerbare gegevens worden verzameld, opgeslagen en vernietigd in overeenstemming met compliance-regels en voorschriften. Omdat niet-PII gemakkelijk PII kan worden als aanvullende informatie openbaar wordt gemaakt, moet dit type gegevens periodiek worden beoordeeld om te bepalen of het IT-risicobeheerniveau is veranderd.
Risico-impactniveaus (laag, gemiddeld, hoog) voor PII zijn subjectief en gebaseerd op de potentiële schade die ongepaste toegang, gebruik of openbaarmaking van de persoonlijk identificeerbare informatie zou veroorzaken. De kans op risico’s neemt sterk af als een organisatie de hoeveelheid PII die wordt verzameld, opgeslagen en gedeeld tot een minimum beperkt.
Techopedia verklaart persoonlijk identificeerbare informatie
Inbreuken op PII kunnen gevaarlijk zijn voor zowel individuen als bedrijven. Individuen van wie de PII is gecompromitteerd, lopen een groter risico op identiteitsdiefstal. Dit kan door middel van een online spionage app die is geïnstalleerd. Bedrijven die toestaan dat de PII van hun klanten wordt gecompromitteerd, lopen het risico het vertrouwen van het publiek te verliezen en juridische gevolgen te krijgen. Omdat PII wordt beschermd door privacyregels, moeten beslissingen over welke PII wordt verzameld of gedeeld worden genomen in overleg met de Chief Privacy Officer (CPO), Data Protection Officer (DPO) en het juridische team van een organisatie.
In veel delen van de wereld zijn bedrijven er verantwoordelijk voor dat de PII van hun klanten wordt beschermd door redelijke waarborgen. Risico’s op blootstelling kunnen worden beheerst en geminimaliseerd door proactief een incident response plan op te stellen voor inbreuken op PII. Het plan moet aangeven hoe en aan wie inbreuken worden gemeld en wanneer en hoe personen van wie de PII is gecompromitteerd, op de hoogte worden gebracht.
Wettelijke mandaten met betrekking tot PII kunnen complex zijn en veranderen vaak in de loop der tijd. Daarom is het belangrijk dat een organisatie haar plannen voor incidentenbestrijding regelmatig herziet en bijwerkt. Een plan voor de bescherming van PII moet minimaal het volgende garanderen:
- PII wordt alleen gebruikt door of openbaar gemaakt aan geautoriseerde entiteiten.
- PII wordt op het juiste moment vernietigd in overeenstemming met de regionale vereisten voor het bewaren van bestanden.
- De controles voor informatiebeveiliging ter bescherming van PII worden regelmatig geëvalueerd.
- PII in digitale formaten wordt gecodeerd of op een andere manier versluierd om deze te beschermen tegen cybersecurity-bedreigingen.