Waarom voldoen aan eisen voor privacy en security geen touwtrekken hoeft te zijn?

Privacy en security worden vaak als strijdig beschouwd. Het implementeren van effectieve security vereist het vermogen om potentiële bedreigingen te identificeren. Dit kan er echter toe leiden dat gevoelige of persoonlijke informatie wordt geïnspecteerd, wat een bedreiging kan vormen voor de privacy. In werkelijkheid is de enige manier om dataprivacy te bereiken het implementeren van een effectieve databeveiliging. Een gedegen securitystrategie waarin de privacy centraal staat, biedt voordelen voor elke organisatie en voorkomt tegelijkertijd potentiële gevolgen voor de privacy.

Neem bijvoorbeeld de analyse van netwerkverkeer. Pakketinspectie is als bewezen hulpmiddel van onschatbare waarde voor de cybersecurity van bedrijven. Firewalls zijn een gebruikelijke vorm van pakketinspectie, en het ontbreken daarvan wordt zelfs gezien als een schending van redelijke securitymaatregelen die vereist zijn door wet- en regelgeving in veel rechtsgebieden wereldwijd. Door in de payload van netwerkpakketten te kijken, kan men pogingen tot malware-infecties, data-exfiltratie, accountovername en andere bedreigingen identificeren. Vanuit privacy-oogpunt kan pakketinspectie problemen veroorzaken als een pakket PII of andere gevoelige data bevat. Vanuit een privacy-perspectief lijkt end-to-end-encryptie zonder inspectie de voorkeur te verdienen.

Op het eerste gezicht lijken deze twee perspectieven, het bieden van de benodigde veiligheid en het privé houden van persoonlijke informatie, onverenigbaar. Maar toezichthouders hebben ook duidelijk gemaakt dat het bieden van betrouwbare beveiliging van cruciaal belang is voor de bescherming van dataprivacy. Om dit in te zien hoef je alleen maar te kijken naar een aantal handhavingsacties op het gebied van de privacyregelgeving tegen bedrijven die te maken hebben gehad met inbreuken op hun beveiliging. Wij denken dat managers die verantwoordelijk zijn voor  de dataprivacy en -security de kloof tussen veiligheid en privacy-absolutisme kunnen overbruggen. Dit vereist echter een totaal ander perspectief op dataprivacy en -security.

Risicobeheer is een kernprincipe voor zowel dataprivacy- als securityprogramma's. Om de doelen van beide programma's te verenigen, moet er gekeken worden naar de potentiële risico's voor alle data van een organisatie. Voor elke organisatie die persoonlijke informatie van mensen verwerkt, is het veilig en privé houden van die data van het allergrootste belang. Een van de grootste zorgen voor organisaties die verband houden met dataprivacy is het potentieel dat security-oplossingen PII en andere gevoelige data als onderdeel van hun taken kunnen beschouwen. Deze tools kunnen e-mails, netwerkpakketten of bestanden scannen op tekenen van schadelijke inhoud.

Een ander groot risico voor bedrijfs- en klantinformatie is dat cybercriminelen er toegang toe kunnen krijgen. Moderne ransomware steelt en lekt bijvoorbeeld gevoelige data als een bedrijf het losgeld niet betaalt. Zelfs als het losgeld wordt betaald, is er geen garantie dat de gestolen data wordt verwijderd en niet worden gelekt. Het voorkomen van beide risico's is onmogelijk. Een effectief securityprogramma heeft toegang tot data nodig, terwijl ineffectieve security na verloop van tijd gegarandeerd tot een datalek leidt.

Wanneer securityoplossingen worden ontworpen met het oog op privacy, hebben we ontdekt dat organisaties robuuste beveiligingsmaatregelen kunnen implementeren en tegelijkertijd persoonlijke informatie van hun klanten en werknemers kunnen beschermen. Tevens is bekend dat wanneer organisaties een kosten-batenanalyse uitvoeren, de potentiële voordelen van een privacygerichte securitystrategie en -oplossing aanzienlijk zijn.

Het blokkeren van malware voordat deze de bedrijfssystemen bereikt, kan een datalek voorkomen. Met een gemiddeld prijskaartje van 4,45 miljoen dollar in 2023, om nog maar te zwijgen van de merkreputatie en juridische gevolgen, is het voorkomen van zelfs maar één datalek van cruciaal belang voor elk bedrijf. Het lijdt dus geen twijfel dat effectieve securitymaatregelen belangrijk zijn. En elk gerenommeerd beveiligingsbedrijf zou oplossingen moeten bieden die de toegang tot gevoelige data minimaliseren en de persoonlijke informatie onder zijn hoede beschermen.

Privacy en security hoeven niet noodzakelijkerwijs met elkaar in strijd te zijn. Een privacy-first securityprogramma beoordeelt de risico’s van het implementeren van effectieve beveiliging en het nalaten hiervan. Als de voordelen van het implementeren van een security-oplossing, zoals het scannen van e-mail, zwaarder wegen dan de voordelen, dan behoort de organisatie deze  zorgvuldig in te zetten.

Bij het beoordelen of een oplossing goed is voor de dataprivacy en -security, zijn de volgende vragen belangrijk om te stellen:

• Biedt het duidelijke voordelen? De potentiële privacyrisico’s van een security-oplossing zijn alleen acceptabel als deze ook de kans op een datalek verkleint.
• Minimaliseert het de toegang tot persoonsgegevens? Een security-oplossing moet de hoeveelheid potentieel gevoelige informatie waartoe deze toegang heeft en verwerkt, tot een minimum beperken.
• Krijgt security de benodigde prioriteit? Controleer hoe de organisatie eerdere security-incidenten heeft afgehandeld en prioriteit heeft gegeven aan investeren daarin.
• Voldoet het aan de wettelijke eisen? Controleer of een leverancier over privacygerichte certificeringen beschikt, zoals ISO 27701 en ISO 27018, en gecertificeerd is volgens de geldende lokale en internationale normen voor dataprivacy. Als een bedrijf over deze certificeringen beschikt naast standaard certificeringen zoals PCI DSS, ISO 27001 en SOC 2 Type II, is dit een teken dat een leverancier verder gaat dan privacy en security.

Het evalueren van al deze criteria voor de ruim 60 securitytools die door de gemiddelde organisatie worden gebruikt, kan een aanzienlijke verbetering zijn. Dit is nog een argument voor consolidatie van de security. Het uitvoeren van diepgaande due diligence op één enkele leverancier met een breed scala aan mogelijkheden is eenvoudiger dan een oppervlakkige beoordeling van een scala aan verschillende securityproducten.

Een onderscheidende factor voor op privacy gebaseerde security is de omvang en reikwijdte van het Cloudflare-netwerk. Omdat 20% van alle internetwebsites door Cloudflare wordt beschermd, stroomt een substantieel deel van het wereldwijde internetverkeer door zijn systemen en informeert Cloudflare’s dreigingsinformatie op een manier die de privacy van de eindgebruikers van klanten niet in gevaar brengt.

Auteur: Emily Hancock, Data Privacy Officer bij Cloudflare