24 juni 2021 21:31
Wat is persoonlijk identificeerbare informatie (PII)?
Persoonlijk identificeerbare informatie (PII) is informatie die, alleen of met andere relevante gegevens gebruikt, een persoon kan identificeren. PII kan directe identificatiegegevens bevatten (bijv. Paspoortinformatie) die een persoon uniek kan identificeren, of quasi-identificatoren (bijv. Ras) die kunnen worden gecombineerd met andere quasi-identificatoren (bijv. Geboortedatum) om een persoon succesvol te herkennen.
Belangrijkste leerpunten
- Persoonlijk identificeerbare informatie (PII) is informatie die, alleen of met andere relevante gegevens gebruikt, een persoon kan identificeren.
- Gevoelige persoonlijk identificeerbare informatie kan uw volledige naam, burgerservicenummer, rijbewijs, financiële informatie en medische dossiers omvatten.
- Niet-gevoelige persoonlijk identificeerbare informatie is gemakkelijk toegankelijk via openbare bronnen en kan uw postcode, ras, geslacht en geboortedatum bevatten.
Persoonlijk identificeerbare informatie (PII) begrijpen
Voortschrijdende technologieplatforms hebben de manier veranderd waarop bedrijven opereren, regeringen wetgeving opstellen en individuen met elkaar omgaan. Met digitale tools zoals mobiele telefoons, internet, e-commerce en sociale media is er een explosie in de aanvoer van allerlei soorten data.
Big data, zoals het wordt genoemd, wordt verzameld, geanalyseerd en verwerkt door bedrijven en gedeeld met andere bedrijven. De schat aan informatie die door big data wordt verstrekt, heeft bedrijven in staat gesteld inzicht te krijgen in hoe ze beter met klanten kunnen communiceren.
De opkomst van big data heeft echter ook het aantal datalekken en cyberaanvallen doen toenemen door entiteiten die de waarde van deze informatie inzien. Als gevolg hiervan is er bezorgdheid ontstaan over de manier waarop bedrijven omgaan met de gevoelige informatie van hun consumenten. Regelgevende instanties zoeken naar nieuwe wetten om de gegevens van consumenten te beschermen, terwijl gebruikers op zoek zijn naar meer anonieme manieren om digitaal te blijven.
Gevoelige versus niet-gevoelige persoonlijk identificeerbare informatie
(PII)
Persoonlijk identificeerbare informatie (PII) kan gevoelig of niet-gevoelig zijn. Gevoelige persoonlijke informatie omvat juridische statistieken zoals:
- Voor-en achternaam
- Burgerservicenummer (SSN)
- Rijbewijs
- Postadres
- Creditcard gegevens
- Paspoort informatie
- Financiële informatie
- Medische gegevens
De bovenstaande lijst is zeker niet uitputtend. Bedrijven die gegevens over hun klanten delen, gebruiken normaal gesproken anonimiseringstechnieken om de PII te versleutelen en te verdoezelen, zodat deze wordt ontvangen in een niet-persoonlijk identificeerbare vorm. Een verzekeringsmaatschappij die de informatie van zijn klanten deelt met een marketingbedrijf, maskeert de gevoelige PII die in de gegevens is opgenomen en laat alleen informatie achter die verband houdt met het doel van het marketingbedrijf.
Niet-gevoelige of indirecte PII is gemakkelijk toegankelijk via openbare bronnen zoals telefoonboeken, internet en bedrijfsgidsen. Voorbeelden van niet-gevoelige of indirecte PII zijn:
- Postcode
- Ras
- Geslacht
- Geboortedatum
- Geboorteplaats
- Religie
De bovenstaande lijst bevat quasi-identificatoren en voorbeelden van niet-gevoelige informatie die aan het publiek kan worden vrijgegeven. Dit soort informatie kan niet alleen worden gebruikt om de identiteit van een persoon te bepalen.
Niet-gevoelige informatie, hoewel niet delicaat, is echter koppelbaar. Dit betekent dat niet-gevoelige gegevens, wanneer ze worden gebruikt met andere persoonlijke koppelbare informatie, de identiteit van een persoon kunnen onthullen. De-anonimisering en heridentificatietechnieken hebben de neiging succesvol te zijn wanneer meerdere sets quasi-identificatoren aan elkaar worden toegevoegd en kunnen worden gebruikt om de ene persoon van de andere te onderscheiden.
Persoonlijk identificeerbare informatie (PII) beschermen
Verschillende landen hebben meerdere gegevensbeschermingswetten aangenomen om richtlijnen te creëren voor bedrijven die de persoonlijke informatie van klanten verzamelen, opslaan en delen. Enkele van de basisprincipes die door deze wetten worden uiteengezet, stellen dat bepaalde gevoelige informatie niet mag worden verzameld, tenzij voor extreme situaties.
Regelgevende richtlijnen bepalen ook dat gegevens moeten worden verwijderd als ze niet langer nodig zijn voor het aangegeven doel, en dat persoonlijke informatie niet mag worden gedeeld met bronnen die de bescherming ervan niet kunnen garanderen.
Het reguleren en beschermen van persoonlijk identificeerbare informatie (PII) zal de komende jaren waarschijnlijk een dominante kwestie zijn voor individuen, bedrijven en overheden.
Cybercriminelen maken inbreuk op datasystemen om toegang te krijgen tot PII, die vervolgens wordt verkocht aan bereidwillige kopers op ondergrondse digitale marktplaatsen. In 2015 leed de IRS bijvoorbeeld aan een datalek, wat leidde tot de diefstal van meer dan honderdduizend PII van belastingbetalers. Met behulp van quasi-informatie die uit meerdere bronnen was gestolen, konden de daders toegang krijgen tot een IRS-websitetoepassing door persoonlijke verificatievragen te beantwoorden die alleen bekend hadden moeten zijn bij de belastingbetaler.
Persoonlijk identificeerbare informatie (PII) over de hele wereld
De definitie van wat PII omvat, verschilt afhankelijk van waar u in de wereld woont. In de Verenigde Staten definieerde de regering ‘persoonlijk identificeerbaar’ in 2020 als alles dat ‘kan worden gebruikt om de identiteit van een persoon te onderscheiden of te traceren’, zoals naam, SSN en biometrische informatie;alleen of met andere identificatiegegevens, zoals geboortedatum of geboorteplaats.
In de Europese Unie (EU) wordt de definitie uitgebreid met quasi-identificatoren zoals uiteengezet in de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht werd.3 De AVG is een wettelijk kader dat regels stelt voor het verzamelen van gegevens. en het verwerken van persoonlijke informatie voor degenen die in de EU wonen.
Voorbeeld van persoonlijk identificeerbare informatie (PII)
Begin 2018 wasFacebook Inc. (FB) verwikkeld in een groot datalek. De profielen van 50 miljoen Facebook-gebruikers zijn zonder hun toestemming verzameld door een extern bedrijf genaamd Cambridge Analytica.
Cambridge Analytica kreeg zijn gegevens van Facebook via een onderzoeker die aan de Universiteit van Cambridge werkte. De onderzoeker bouwde een Facebook-app die een persoonlijkheidsquiz was. Een app is een softwareapplicatie die wordt gebruikt op mobiele apparaten en websites.
De app is ontworpen om de informatie te verzamelen van degenen die zich vrijwillig hebben aangemeld om toegang te geven tot hun gegevens voor de quiz. Helaas verzamelde de app niet alleen de gegevens van de quiznemers, maar vanwege een maas in het Facebook-systeem, kon de app ook gegevens verzamelen van de vrienden en familieleden van de quiznemers.
Als gevolg hiervan hebben meer dan 50 miljoen Facebook-gebruikers hun gegevens zonder hun toestemming aan Cambridge Analytica blootgesteld. Hoewel Facebook de verkoop van hun gegevens verbood, draaide Cambridge Analytica zich om en verkocht de gegevens voor politiek advies.
Mark Zuckerberg, oprichter en CEO van Facebook, bracht een verklaring uit in de winstuitgave van het bedrijf over het eerste kwartaal van 2019:
We zijn gefocust op het uitbouwen van onze privacygerichte visie voor de toekomst van sociale netwerken en werken samen om belangrijke problemen op internet aan te pakken.
Het datalek had niet alleen gevolgen voor Facebook-gebruikers, maar ook voor investeerders. De winst van Facebook is in het eerste kwartaal van 2019 met 50% gedaald ten opzichte van dezelfde periode een jaar eerder. Het bedrijf genereerde $ 3 miljard aan juridische kosten en zou zonder de kosten een winst per aandeel van $ 1,04 hoger hebben gehad, met vermelding van:
We schatten dat het bereik van de schade in deze kwestie $ 3,0 miljard tot $ 5,0 miljard is. De kwestie blijft onopgelost en er kan geen zekerheid worden geboden over de timing of de voorwaarden van een uiteindelijk resultaat.
Bedrijven zullen ongetwijfeld investeren in manieren om gegevens te verzamelen, zoals persoonlijk identificeerbare informatie (PII), om producten aan consumenten aan te bieden en de winst te maximaliseren, maar zullen de komende jaren te maken krijgen met strengere regelgeving.