Ein Leitfaden für Arten von sensiblen Informationen

Datenschutz meistern: Ein umfassender Leitfaden zum Schutz vertraulicher Informationen

Wann haben Sie das letzte Mal ein Geheimnis verraten? Haben Sie jemandem, dem Sie vertrauen konnten, gesagt, er solle es nicht mit anderen teilen, oder haben Sie es jemandem erzählt, der für Klatsch und Tratsch lebt? In der heutigen technologiegetriebenen Welt sind sensible Daten das wichtigste Geheimnis. Unternehmen verschiedenster Branchen sammeln, verarbeiten, speichern und tauschen verschiedenste Informationen über Kunden, Lieferanten und Mitarbeiter aus. In dieser riesigen Datenmenge stecken wichtige Teile sensible Informationen die einen strengen Schutz erfordern gegen unbefugter Zugriff und Missbrauch.

Was gilt als vertrauliche Information?

Zu den sensiblen Informationen zählen alle Daten, deren Beeinträchtigung zu Schäden, Verlusten oder unbefugtem Zugriff führen kann. Dazu gehören persönlich identifizierbare Informationen (PII), Finanzdaten, geistiges Eigentum, Gesundheitsaktenund andere vertrauliche Informationen.

Warum ist der Schutz vertraulicher Informationen wichtig?

Die Bedeutung des Schutzes vertraulicher Informationen kann nicht genug betont werden, insbesondere im heutigen digitalen Zeitalter, in dem Datenschutzverletzungen immer häufiger vorkommen und erhebliche Risiken für Einzelpersonen und Unternehmen darstellen. Beachten Sie Folgendes:

Schutz der Privatsphäre

Zu sensiblen Informationen gehören oft persönliche Daten wie Namen, Adressen, Sozialversicherungsnummern und Krankenakten. Der Schutz dieser Informationen ist entscheidend für den Schutz der Privatsphäre und Verhinderung von Identitätsdiebstahl, Betrug oder anderen Formen der Ausbeutung. Organisationen müssen dafür sorgen, dass die personenbezogenen Daten von Einzelpersonen sicher behandelt und nur für legitime Zwecke verwendet werden.

Vertrauen und Ruf

A Datenschutzverletzung Der Missbrauch oder die falsche Handhabung sensibler Informationen kann schwerwiegende Folgen für den Ruf und die Vertrauenswürdigkeit eines Unternehmens haben. Kunden, Klienten und Stakeholder erwarten von Unternehmen einen sorgfältigen und seriösen Umgang mit ihren Daten. Andernfalls kann es zu Vertrauensverlust, Kundenabwanderung und einer Schädigung des Markenimages des Unternehmens kommen, was langfristige finanzielle und rufschädigende Folgen hat.

Einhaltung gesetzlicher und regulatorischer Vorschriften

Zahlreiche Gesetze und Vorschriften regeln die Erhebung, Speicherung und Verwendung vertraulicher Informationen, einschließlich der Allgemeine Datenschutzverordnung (GDPR), Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA), Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)und verschiedene branchenspezifische Vorschriften. Die Einhaltung dieser Vorschriften ist zwingend erforderlich. Andernfalls kann es zu schweren Strafen, Bußgeldern, rechtlichen Schritten und Reputationsschäden kommen.

Geschäftstransparenz und Rechenschaftspflicht

Der Schutz sensibler Informationen fördert Transparenz und Rechenschaftspflicht Innerhalb von Organisationen. Durch die Implementierung robuster Datenschutzmaßnahmen demonstrieren Unternehmen ihr Engagement für ethische Geschäftspraktiken und ihre Verantwortung gegenüber Stakeholdern. Transparente Datenverarbeitung stärkt zudem das Vertrauen von Kunden, Mitarbeitern und Partnern und fördert so stärkere Beziehungen und langfristige Nachhaltigkeit.

Wie werden sensible Daten geschützt?

Unabhängig vom Standort oder der Branche Ihres Unternehmens beginnen der Schutz vertraulicher Informationen und die Einhaltung vielfältiger gesetzlicher Anforderungen mit umfassende DatenermittlungDies beinhaltet die Zuordnung, Inventarisierung und Kategorisierung aller vertraulichen Informationen in einem zentralen Repository.

Hier sind die Schritte, die Organisationen unternehmen sollten, um alle Arten vertraulicher Informationen wirksam zu schützen:

1. Identifizieren und klassifizieren Sie sensible Daten

Der erste Schritt besteht darin, alle Datenbestände gründlich zu inventarisieren und nach ihrer Sensibilität zu klassifizieren. Dazu gehört die Identifizierung personenbezogener Daten (PII), Finanzdaten, geistiges Eigentum, Gesundheitsdaten und anderer vertraulicher Informationen. Die Klassifizierung der Daten hilft dabei, Schutzmaßnahmen basierend auf dem mit jeder Datenkategorie verbundenen Risikoniveau zu priorisieren.

2. Implementieren Sie Zugriffskontrollen

Beschränken Sie den Zugriff auf vertrauliche Informationen durch die Implementierung strenger Zugriffskontrollen. Dazu gehören rollenbasierte Zugriffskontrolle (RBAC), bei dem Zugriffsberechtigungen basierend auf der Rolle oder Funktion einer Person innerhalb der Organisation erteilt werden. Setzen Sie außerdem das Prinzip der geringsten Privilegien durch und gewähren Sie Benutzern nur die Mindestzugriffsrechte, die sie zur Erfüllung ihrer Aufgaben benötigen.

3. Sichere Speicherung und Übertragung

Stellen Sie sicher, dass sensible Daten werden sicher gespeichert und übertragen. Nutzen Sie sichere Datenspeicherlösungen wie verschlüsselte Datenbanken und sichere Dateispeichersysteme, um ruhende Daten zu schützen. Verwenden Sie sichere Kommunikationsprotokolle wie HTTPS und VPNs, um Daten während der Übertragung über Netzwerke zu verschlüsseln und so das Abfangen oder Abhören durch böswillige Akteure zu verhindern.

4. Regelmäßiges Aktualisieren und Patchen von Systemen

Halten Sie Software, Anwendungen und Systeme mit den neuesten Sicherheitspatches und Updates auf dem neuesten Stand. Schwachstellen in veralteter Software können von Cyber-Angreifern ausgenutzt werden, um unbefugten Zugriff auf vertrauliche Informationen zu erhalten. Regelmäßiges Patchen von Systemen trägt dazu bei, diese Risiken zu minimieren und stärkt die Sicherheitslage der Organisation.

5. Mitarbeiter in bewährten Sicherheitspraktiken schulen

Schulen Sie Ihre Mitarbeiter in Sicherheitsfragen und schulen Sie sie im Umgang mit sensiblen Informationen. Bieten Sie Schulungen zum Erkennen von Phishing-Versuchen, zur Verwendung sicherer Passwörter, zur sicheren Speicherung und Übertragung von Daten sowie zur Meldung von Sicherheitsvorfällen oder verdächtigen Aktivitäten an. Gut informierte Mitarbeiter sind unerlässlich für eine starke Abwehr gegen Cyber-Bedrohungen.

6. Zugriff überwachen und prüfen

Implementieren Sie Überwachungs- und Auditmechanismen, um den Zugriff auf sensible Daten zu verfolgen und verdächtige oder nicht autorisierte Aktivitäten zu erkennen. Überwachen Sie Benutzeraktivitätsprotokolle, Zugriffsversuche und Datenübertragungen, um potenzielle Sicherheitsvorfälle oder -verletzungen zu identifizieren. Führen Sie regelmäßige Sicherheitsprüfungen und -bewertungen durch, um die Einhaltung von Sicherheitsrichtlinien und -vorschriften sicherzustellen.

7. Richten Sie Verfahren zur Reaktion auf Vorfälle ein

Entwickeln und dokumentieren Verfahren zur Reaktion auf Vorfälle Um effektiv auf Sicherheitsvorfälle oder Datenschutzverletzungen zu reagieren, müssen Sie Rollen und Verantwortlichkeiten definieren, Kommunikationskanäle einrichten und die Schritte zur Eindämmung, Untersuchung und Minderung von Sicherheitsvorfällen skizzieren. Erstellen Sie Reaktionspläne und führen Sie regelmäßig Übungen oder Simulationen durch, um die Bereitschaft des Unternehmens zur effektiven Bewältigung von Sicherheitsvorfällen zu testen.

8. Überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsrichtlinien

Überprüfen und aktualisieren Sie Sicherheitsrichtlinien, -verfahren und -kontrollen regelmäßig, um sie an neue Bedrohungen und gesetzliche Anforderungen anzupassen. Stellen Sie sicher, dass Sicherheitsrichtlinien umfassend sind, den Mitarbeitern klar kommuniziert und unternehmensweit einheitlich umgesetzt werden. Bewerten und verbessern Sie Ihre Sicherheitsmaßnahmen regelmäßig anhand neuer Bedrohungen, branchenüblicher Best Practices und der Erkenntnisse aus Sicherheitsvorfällen.

Arten von sensiblen Informationen

Um die verschiedenen Arten vertraulicher Informationen zu untersuchen, die in verschiedenen Vorschriften definiert und überwacht werden, beginnen wir mit den Grundlagen von PII und PI, und erkunden Sie dann spezifischere Iterationen – insbesondere solche, die für bestimmte Branchen relevant sind.

Anschließend untersuchen wir, wie sich diese Vorschriften überschneiden und wie Sie vertrauliche Informationen im gesamten Unternehmen schützen können – unabhängig von Ihrer Branche oder Organisation.

PII: Persönlich identifizierbare Informationen

Personenbezogene Daten (PII) sind alle Informationen, die allein oder in Kombination mit anderen personenbezogenen oder identifizierenden Informationen zur Identifizierung oder Rückverfolgung einer Person verwendet werden können. Diese Daten sind in verschiedenen Bereichen für die Identifizierung, Kontaktaufnahme oder Ortung einer Person von entscheidender Bedeutung und unterliegen aufgrund ihres sensiblen Charakters strengen gesetzlichen Schutzbestimmungen.

Der Schutz personenbezogener Daten ist entscheidend, um Einzelpersonen vor Identitätsdiebstahl, Betrug und anderen Eingriffen in die Privatsphäre zu schützen. Unbefugter Zugriff auf personenbezogene Daten kann zu erheblichen persönlichen und finanziellen Schäden führen.

Wie hat sich PII entwickelt?

Das Konzept der personenbezogenen Daten (PII) hat sich mit dem technologischen Fortschritt und dem Wandel gesellschaftlicher Normen weiterentwickelt. Ursprünglich konzentrierte es sich auf einfache Identifikatoren wie Namen und Sozialversicherungsnummern, doch mit der zunehmenden digitalen Landschaft wurde die Definition von PII erweitert und umfasst nun auch digitale und biometrische Daten. Regulierungsbehörden passen ihre Rahmenbedingungen kontinuierlich an, um auf neue Datenschutzherausforderungen und technologische Entwicklungen zu reagieren.

Hauptmerkmale von PII

Direkte PII-Kennungen

• Vollständiger Name
• Sozialversicherungsnummer (SSN)
• Führerscheinnummer
• Reisepassnummer
• E-Mail-Adresse
• Telefonnummer

Indirekte PII-Kennungen

Informationen, die mit anderen Daten kombiniert werden können, um eine Person zu identifizieren. Beispiele hierfür sind:

• Geburtsdatum
• Geschlecht
• PLZ
• IP-Adresse
• Biometrische Daten (z. B. Fingerabdrücke, Gesichtserkennungsdaten)

Regulatorische Rahmenbedingungen für PII

• Allgemeine Datenschutzverordnung (GDPR): Die DSGVO gilt in der Europäischen Union und ist eines der umfassendsten Datenschutzgesetze. Sie definiert personenbezogene Daten umfassend und stellt strenge Anforderungen an den Umgang, die Verarbeitung und die Speicherung personenbezogener Daten.
• Kalifornisches Verbraucherschutzgesetz (CCPA): Dieses Gesetz des US-Bundesstaates Kalifornien gewährt den Einwohnern Kaliforniens Rechte in Bezug auf ihre personenbezogenen Daten, darunter das Recht zu erfahren, welche Daten erfasst werden, das Recht auf Löschung der Daten und das Recht, dem Verkauf der Daten zu widersprechen.
• Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA): In den USA regelt HIPAA den Schutz gesundheitsbezogener PII und stellt sicher, dass medizinische Informationen geschützt sind.
• Richtlinien der Federal Trade Commission (FTC): Die FTC setzt in den USA die Verbraucherschutzgesetze durch, darunter auch solche zum Datenschutz und zur Datensicherheit.

PI: Persönliche Informationen

Personenbezogene Daten (PD) sind alle Daten, die dazu verwendet werden können, eine Person direkt oder indirekt zu identifizieren, zu kontaktieren oder zu lokalisieren. Diese Kategorie ist weit gefasst und umfasst ein breites Spektrum an Informationstypen, die je nach Kontext und den spezifischen rechtlichen Definitionen in verschiedenen Rechtsräumen variieren können.

Der Schutz personenbezogener Daten ist unerlässlich, um unbefugten Zugriff zu verhindern, der zu Identitätsdiebstahl, Finanzbetrug und anderen Datenschutzverletzungen führen kann. Die Gewährleistung der Vertraulichkeit und Sicherheit personenbezogener Daten trägt zum Schutz der Privatsphäre und des Vertrauens bei.

Wie haben sich PI-Daten entwickelt?

Die Definition und der Umfang personenbezogener Daten haben sich mit dem technologischen Fortschritt und den regulatorischen Veränderungen deutlich weiterentwickelt. Ursprünglich konzentrierte sich das Konzept auf offensichtliche Identifikatoren wie Namen und Sozialversicherungsnummern, umfasst heute aber auch digitale Fußabdrücke, biometrische Daten und andere neu entstehende Identifikatoren. Regulierungsbehörden passen ihre Definitionen und Schutzmaßnahmen kontinuierlich an, um den neuen Datenschutzherausforderungen durch technologische Innovationen gerecht zu werden.

Hauptmerkmale von PI

Direkte Kennungen

Informationen, die eine Person direkt identifizieren, ohne dass zusätzliche Daten erforderlich sind. Beispiele hierfür sind:

• Vollständiger Name
• Sozialversicherungsnummer (SSN)
• Führerscheinnummer
• Reisepassnummer
• E-Mail-Adresse
• Telefonnummer

Indirekte Bezeichner

Informationen, die in Kombination mit anderen Daten eine Identifizierung einer Person ermöglichen. Beispiele hierfür sind:

• Geburtsdatum
• Geschlecht
• PLZ
• IP-Adresse
• Gerätekennungen
• Geolokalisierungsdaten

SPI – Sensible persönliche Informationen

Sensible persönliche Informationen (SPI) im Rahmen der kommenden Kalifornisches Datenschutzgesetz (CPRA) ist ein neu definierter Begriff, der Daten umfasst, die sich auf eine Einzelperson beziehen, diese aber nicht direkt identifizieren –und kann Schaden anrichten, wenn es öffentlich gemacht wird. SPI enthält persönliche Informationen, die Folgendes offenbaren:

• Sozialversicherungsnummer, Führerscheinnummer, Personalausweisnummer oder Reisepassnummer eines Verbrauchers
• Konto-Login-, Bankkonto-, Debitkarten- oder Kreditkartennummern in Kombination mit allen erforderlichen Sicherheits- oder Zugangscodes,
• Passwort oder Anmeldeinformationen für den Zugriff auf ein Konto
• präzise Geolokalisierung
• rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft
• den Inhalt von Post, E-Mails und Textnachrichten eines Verbrauchers – es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Mitteilung
• genetische Daten, einschließlich
  • die Verarbeitung biometrischer Informationen zum Zwecke der eindeutigen Identifizierung eines Verbrauchers;
  • personenbezogene Daten, die im Zusammenhang mit der Gesundheit eines Verbrauchers erhoben und analysiert werden; oder
  • personenbezogene Daten, die über das Sexualleben oder die sexuelle Orientierung eines Verbrauchers gesammelt und analysiert werden

NPI – Nicht öffentliche personenbezogene Daten

Nichtöffentliche persönliche Informationen oder NPI sind eine Art vertraulicher Informationen, die von der Gramm-Leach-Bliley-Gesetz (GLBA), das speziell Finanzdienstleistungsinstitute reguliert.

NPI umfasst keine öffentlich verfügbaren Informationen und wird definiert als „persönlich identifizierbare Finanzinformationen, die:

• von einem Verbraucher an ein Finanzinstitut bereitgestellt
• die sich aus einer für den Verbraucher erbrachten Transaktion oder Dienstleistung ergeben, oder
• auf andere Weise vom Finanzinstitut erhalten.“

NPI kann Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, Bank- und Kreditkartenkontonummern, Kredit- oder Debitkartenkäufe, Gerichtsakten aus einem Verbraucherbericht oder andere finanzielle Verbraucherinformationen umfassen, die:

• ein Verbraucher einem Finanzinstitut zur Verfügung stellt
• das Ergebnis einer für den Verbraucher erbrachten Transaktion oder Dienstleistung ist
• wird von den Finanzinstituten auf andere Weise erlangt
• NPI umfasst keine Informationen, die öffentlich zugänglich gemacht oder in den Medien oder öffentlichen Regierungsunterlagen weit verbreitet wurden

Zu den relevanten Bestimmungen für nicht öffentliche personenbezogene Daten gehören: GLBA, NYDSF / NYCRR 500

MNPI – Wesentliche nicht öffentliche Informationen

Wesentliche nicht öffentliche Informationen, oder MNPI, sind Daten zu einem Unternehmen, seinen Beteiligungen und seinen Tochtergesellschaften, die nicht öffentlich verbreitet oder Anlegern im Allgemeinen zur Verfügung gestellt wurden – und die den Aktienkurs des Unternehmens beeinflussen könnten.

Die Verordnung zielt darauf ab, illegalen Insiderhandel zu überwachen und zu verhindern. Sie verhindert, dass Inhaber von MNPI diese beim Handel mit Aktien oder anderen Wertpapieren zu ihrem Vorteil nutzen oder an andere weitergeben, die sie zu ihrem Vorteil nutzen könnten. Handel mit MNPI gilt als illegal – unabhängig davon, ob die handelnde Person Mitarbeiter des Unternehmens ist oder nicht.

Die Verwendung oder Kenntnis von MNPI bestimmt teilweise die Rechtmäßigkeit von Insiderhandel. Obwohl also nicht jeder Insiderhandel illegal ist – etwa wenn Mitarbeiter Aktien ihres Unternehmens kaufen oder verkaufen und die Registrierungs- und Meldepflichten der Regulierungsbehörde Securities and Exchange Commission (SEC) einhalten – ist jeder Handel, der MPNI beinhaltet, illegal.

Der „wesentliche“ Teil des MNPI erfordert, dass die Informationen signifikant genug sind, um den Wert der Unternehmensaktien zu beeinflussen. Wenn die Informationen den Aktienkurs nicht angemessen beeinflussen würden, gelten sie nicht als MNPI.

Zu den MNPI-Typen gehören (aber sind nicht beschränkt auf):

• Unternehmensinformationen, die entweder vom betroffenen Unternehmen selbst oder von externen Aufsichtsbehörden, Gesetzgebern oder Finanzinstituten stammen
• Verdienstberichte und andere Finanzunterlagen
• bevorstehende Unternehmensmaßnahmen oder -pläne, wie z. B. Börsengänge (IPO), Übernahmen oder Aktiensplits
• Ergebnisse von Gerichtsverfahren
• Entscheidungen von Behörden wie der FDA

Zu den relevanten Vorschriften für MNPI gehören die Securities Act und Exchange Act der Securities and Exchange Commission – Verordnung FD (Fair Disclosure)

Private Informationen

Private Informationen sind sensible Daten, die durch den New Yorker Stop Hacks and Improve Electronic Data Security (NY SHIELD) Act geregelt sind.

NY SHIELD gilt für „jede Person oder jedes Unternehmen, das computergestützte Daten, die private Informationen enthalten, besitzt oder lizenziert“ eines Einwohners von New York – auch als „abgedeckte Unternehmen“ bezeichnet.

Private Informationen erweitert den Bereich „persönliche Informationen“, der ursprünglich durch das New Yorker Datenschutzgesetz geregelt war, bevor SHIELD auf den Plan trat. Das New Yorker Gesetz definierte personenbezogene Informationen als „alle Informationen über eine natürliche Person, die aufgrund von Name, Nummer, persönlichem Kennzeichen oder anderen Identifikatoren zur Identifizierung dieser natürlichen Person verwendet werden können“.

Um private Informationen zu definieren, hat der SHIELD Act diese Definition erweitert, um „persönliche Informationen, die aus allen Informationen in Kombination mit einem oder mehreren der folgenden Datenelemente bestehen, einzuschließen, wenn entweder das Datenelement oder die Kombination von Informationen nicht verschlüsselt ist – oder mit einem Verschlüsselungsschlüssel verschlüsselt ist, auf den ebenfalls zugegriffen wurde oder der erworben wurde.“

Die abgedeckten Datenelemente sind:

• Sozialversicherungsnummer
• Führerscheinnummer oder Personalausweisnummer
• biometrische Informationen – oder digitale Darstellung der einzigartigen physischen Merkmale einer Person, wie z. B. Fingerabdruck, Stimmabdruck, Netzhaut- oder Irisbild oder andere einzigartige physische Messungen, die die Identität einer Person authentifizieren könnten
• Kontonummer oder Kredit-/Debitkartennummer, entweder in Kombination mit einem erforderlichen Sicherheitscode, Zugangscode oder Passwort, das den Zugriff ermöglichen würde – oder ohne solche zusätzlichen Identifizierungsinformationen

Zu den privaten Informationen zählen keine öffentlich zugänglichen Daten, die aus Regierungsunterlagen auf Bundes-, Landes- oder lokaler Ebene rechtmäßig verfügbar sind.

Die wichtigste Erkenntnis ist, dass private Informationen eine Kombination verschiedener Arten personenbezogener Daten, wie ein Benutzername oder eine E-Mail mit einer Sicherheitsfrage oder einem Passcode.

PHI / ePHI – Geschützte Gesundheitsinformationen / Elektronisch geschützte Gesundheitsinformationen

Geschützte Gesundheitsinformationen, oder PHI, ist eine Art sensibler Informationen, die durch den Health Insurance Portability and Accountability Act (HIPAA) geregelt sind – eine US-amerikanische Verordnung für Gesundheitsdienstleister, Krankenversicherungen und -träger, Clearingstellen im Gesundheitswesen oder mit Gesundheitsorganisationen verbundene Unternehmen – die auch zusammenfassend als „HIPAA-abgedeckte Einheiten“ oder einfach „abgedeckte Einheiten“ bezeichnet werden.

PHI sind alle medizinischen Informationen, die eine Person identifizieren können – oder die im Rahmen der Erbringung von Gesundheitsdienstleistungen erstellt, verwendet oder offengelegt werden. Dazu gehören vergangene, aktuelle und zukünftige Informationen über den medizinischen oder körperlichen/psychischen Gesundheitszustand von Personen – wie sie in physischen und elektronischen Aufzeichnungen sowie in Gesprächen zwischen Patienten und Ärzten enthalten sind.

Gesundheitsakten, Krankengeschichten, erbrachte Gesundheitsleistungen, Labor- oder Testergebnisse, Rezepte, Termine, Patientenformulare, Arztrechnungen sowie Aufzeichnungen der Kommunikation zwischen Anbietern und Patienten fallen alle unter PHI. Alle Informationen gelten als PHI, sofern sie einer Person zugeordnet werden können, auch wenn sie nach einer anderen Regelung als PI gelten würden (z. B. Namen, Sozialversicherungsnummern, Geburtsdaten).

PHI umfasst 18 Kennungen – jede davon gilt als PHI, wenn sie von einer abgedeckten Entität verarbeitet wird:

• Namen
• Termine
• Telefonnummern
• Geografische Daten
• Faxnummern
• Sozialversicherungsnummern
• E-Mail-Adressen
• Krankenaktennummern
• Kontonummern
• Begünstigtennummern des Krankenversicherungsplans
• Zertifikats-/Lizenznummern
• Fahrzeugkennungen und Seriennummern, einschließlich Nummernschilder
• Web-URLs
• Gerätekennungen und Seriennummern
• Internetprotokolladressen
• Ganzgesichtsfotos und vergleichbare Bilder
• biometrische Identifikatoren
• eine eindeutige Identifikationsnummer oder einen eindeutigen Code

PHI in digitalen Dateien wird als elektronisch geschützte Gesundheitsinformationen (ePHI) bezeichnet. Die HIPAA-Sicherheitsregel verpflichtet betroffene Unternehmen, die Unversehrtheit und Integrität von PHI durch administrative, technische und physische Sicherheitsvorkehrungen zu gewährleisten.

Regulierte, geschäftliche, vertrauliche und risikoreiche Daten

Wenn Unternehmen einen umfassenderen Blick auf die sensiblen Daten werfen, die sie möglicherweise besitzen, müssen sie darüber nachdenken, wie sie mit regulierten Daten, Geschäftsdaten, vertraulichen Daten und Hochrisikodaten – den Kronjuwelen eines Unternehmens – umgehen.

Zu diesen Kategorien können Informationen wie geistiges Eigentum (IP) gehören – darunter Geschäftsgeheimnisse, Patente, Urheberrechte und Marken. Dazu gehören hochsensible Finanz- oder Gesundheitsdaten, vertrauliche personenbezogene Daten und Dark Data, die in Silos, auf Schattenservern oder in Datenströmen lauern können und bei Offenlegung ein erhöhtes Sicherheitsrisiko darstellen.

Dabei kann es sich um geschäftsspezifische, sensible Daten handeln, die für das Unternehmen von entscheidender Bedeutung sind, aber üblicherweise nicht als sensibel oder reguliert gekennzeichnet sind. Oder um Transaktionsdaten, die für die Bekämpfung von Geldwäsche (AML), Kunden-IDs und mehr von entscheidender Bedeutung sind.

Solche Arten sensibler Daten überschneiden sich häufig mit PI, PII, SPI, NPI, PHI und anderen Datendefinitionen. Sie müssen jedoch möglicherweise entsprechend bestimmter Zugriffsberechtigungen oder Berichtsanforderungen klassifiziert, zugeordnet und katalogisiert oder für bestimmte Geschäftsanforderungen individuell gekennzeichnet werden.

Unternehmen, die Daten nicht nur nach gesetzlichen Vorschriften, sondern auch nach Risikokategorien, Vertraulichkeitsprinzipien und anderen geschäftsrelevanten Elementen klassifizieren und korrelieren können, können ihre Daten besser kontextualisieren, verstehen und entsprechende Maßnahmen ergreifen. Diese Transparenz ermöglicht Unternehmen:

• Aktivieren der Risikobewertung
• Gewährleistung angemessener Zugriffskontrollen
• Operationalisierung von Datenminimierungsbemühungen und Aufbewahrungsworkflows
• Datenqualitätsstandards festlegen und mehr.

Aus geschäftlicher Sicht wird durch die vollständige Transparenz Ihrer Daten das Risiko erheblich reduziert, der Schutz vor unbefugtem Zugriff verbessert, aussagekräftige Geschäftseinblicke gewonnen und letztendlich dazu beigetragen, den Wert Ihrer Daten freizusetzen.

Was sind vertrauliche, abgeschottete Informationen?

Sensitive Compartmented Information (SCI) ist eine Art von Verschlusssache, die von der US-Regierung und den Geheimdiensten bestimmter anderer Länder verwendet wird. SCI bezeichnet Informationen, die hochsensibel sind und einer besonderen Behandlung und einem besonderen Schutz bedürfen, um eine unbefugte Offenlegung zu verhindern.

SCI-Informationen werden höher eingestuft als streng geheime Informationen und sind je nach Sensibilitätsgrad und Informationsbedarf der berechtigten Personen in Bereiche unterteilt. Jeder Bereich ist durch ein Codewort gekennzeichnet, das den Sensibilitätsgrad und die Art der darin enthaltenen Informationen angibt.

Der Zugriff auf SCI-Informationen wird streng kontrolliert und ist auf Personen mit entsprechender Sicherheitsstufe und Kenntniserfordernis beschränkt. Personen mit Zugriffsberechtigung auf SCI-Informationen müssen sich umfassenden Hintergrundprüfungen, Sicherheitsüberprüfungen und regelmäßigen Schulungen unterziehen, um den sicheren Umgang mit und den Schutz sensibler Informationen zu gewährleisten.

Beispiele für SCI-Informationen sind Geheimdienstberichte, Militärpläne und andere vertrauliche Informationen im Zusammenhang mit der nationalen Sicherheit oder den Außenbeziehungen.

Regulatorische Ausnahmen nach Branche und Standort

Je nach Branche ist ein Unternehmen möglicherweise für die Einhaltung mehrerer Vorschriften verantwortlich und muss nachverfolgen, welche seiner sensiblen Daten welchen Regeln unterliegen und welche mehreren Regeln unterliegen. Die Erstellung dieses „Venn-Diagramms“ für verantwortungsvolle Regulierungspraktiken erfordert eine ausgefeilte Datenklassifizierungsfunktion.

Beispielsweise unterliegt ein Hypothekendarlehensunternehmen sowohl dem GLBA als auch dem CCPA (oder dem bevorstehenden CPRA) muss seine NPI stets sorgfältig überwachen, um die Einhaltung der GLBA-Vorschriften und anderer Finanzvorschriften zu gewährleisten – stellt jedoch fest, dass seine NPI von den CCPA-Anforderungen ausgenommen ist. Gleichzeitig können Daten, die das Hypothekendarlehensunternehmen sammelt, verarbeitet und speichert und die nicht als NPI gelten, dennoch unter die CCPA-Anforderungen für sensible PI fallen.

Andererseits muss ein Gesundheitsdienstleister, der in Frankreich, Brasilien und mehreren US-Bundesstaaten, darunter New York und Kalifornien, tätig ist, feststellen und kategorisieren, welche seiner Daten dem PHI gemäß HIPAA, PI gemäß GDPR, LGPD, NY SHIELD und CCPA – und bald auch SPI gemäß CPRA – und verarbeiten sie entsprechend, um die jeweils erforderlichen Berichtsstandards zu erfüllen. Erschwerend kommt hinzu, dass international tätige Unternehmen auch die Anforderungen an grenzüberschreitende Übertragungen berücksichtigen müssen.

Die Komplikationen, die sich aus der Vielzahl der Vorschriften ergeben, können zu einem wahren Sumpf für Datenverwaltungs-, Sicherheits- und Datenschutzprogramme führen – wenn die Daten des Unternehmens nicht ordnungsgemäß zugeordnet, gekennzeichnet, katalogisiert und bereinigt werden.

Gibt es sensible Daten, die anfälliger sind als andere?

• Personenbezogene Daten (PII): PII sind häufig das Ziel von Cyberkriminellen, da sie für Identitätsdiebstahl, Finanzbetrug oder andere Formen böswilliger Aktivitäten missbraucht werden können. Insbesondere Sozialversicherungsnummern und Kreditkartennummern sind bei Hackern sehr begehrt.
• Gesundheitsinformationen: Gesundheitsinformationen gelten als sensibel, da sie zur Identifizierung und gezielten Begehung von Personen mit bestimmten Erkrankungen verwendet werden können und auch für Versicherungsbetrug oder andere Formen des Finanzbetrugs missbraucht werden können.
• Finanzielle Informationen: Finanzinformationen sind ein Hauptziel für Cyberkriminelle, da sie zum Diebstahl von Geld, zur Eröffnung von Kreditkonten oder für betrügerische Einkäufe verwendet werden können. Bankkontodaten, Kreditkartennummern und Steuerinformationen sind für Hacker äußerst wertvoll.
• Geistiges Eigentum: Geistiges Eigentum wie Geschäftsgeheimnisse, proprietärer Softwarecode und Patente sind häufig das Ziel von Wirtschaftsspionage oder Cyberkriminellen, die wertvolle Informationen stehlen wollen, um sich finanziell zu bereichern.
• Biometrische Informationen: Biometrische Daten wie Fingerabdrücke, Gesichtserkennungsdaten und Iris-Scans gelten als hochsensibel, da sie im Gegensatz zu Passwörtern oder Kreditkartennummern nicht geändert werden können. Sind diese Informationen erst einmal kompromittiert, können sie für Identitätsdiebstahl oder andere böswillige Aktivitäten missbraucht werden.

Verlust sensibler Daten – Was steht auf dem Spiel?

Das Risiko des Verlusts sensibler Daten ist erheblich und kann schwerwiegende Folgen für Einzelpersonen und Unternehmen haben. Hier sind einige der potenziellen Risiken des Verlusts sensibler Daten:

• Identitätsdiebstahl: Sensible Daten wie persönliche und finanzielle Informationen können dazu verwendet werden, die Identität einer Person zu stehlen, wodurch Hacker auf Bankkonten zugreifen, Kreditkonten eröffnen und betrügerische Einkäufe tätigen können.
• Reputationsschaden: Der Verlust vertraulicher Daten einer Organisation oder Einzelperson kann deren Ruf schädigen und zu einem Vertrauensverlust bei Kunden, Klienten oder Partnern führen.
• Rechtliche und regulatorische Konsequenzen: Je nach Art der verlorenen Daten drohen Organisationen und Einzelpersonen möglicherweise rechtlichen oder behördlichen Maßnahmen, Geldbußen oder anderen Strafen, wenn sie vertrauliche Informationen nicht ausreichend schützen.
• Finanzielle Verluste: Der Verlust vertraulicher Daten kann zu finanziellen Verlusten für Einzelpersonen und Organisationen führen, darunter direkte Kosten für Sanierungsmaßnahmen, Anwaltskosten und Schäden am geistigen Eigentum.
• Risiken für die nationale Sicherheit: Der Verlust sensibler Daten kann auch ein Risiko für die nationale Sicherheit darstellen, wenn die verlorenen Informationen mit Regierungs- oder Militäroperationen in Zusammenhang stehen.

BigID für alle Arten sensibler Daten

Unabhängig davon, wo Ihr Unternehmen tätig ist oder in welcher Branche Sie tätig sind, beginnt die Erfüllung einer Vielzahl komplexer gesetzlicher Anforderungen mit einer umfassenden Datenermittlung, die alle Ihre vertraulichen Informationen an einem Ort abbildet, inventarisiert und kategorisiert.

BigID's Datenermittlung und -klassifizierung geht über traditionelle Entdeckungstechniken hinaus, die nur einen Datentyp sehen, und gezielte Datenerkennung, die nur Daten findet, die Sie bereits kennen. Mithilfe fortschrittlichen maschinellen Lernens können Sie alle PII, PI, SPI, NPI, PHI usw. Ihres Unternehmens schützen, wissen, welche Daten welchen Vorschriften unterliegen, genaue Berichtsstandards einhalten und die Einhaltung aller Vorschriften gewährleisten.

Hier sind nur einige Möglichkeiten Die unübertroffene Data-Intelligence-Plattform von BigID kann helfen:

• Klassifizieren Sie alle Ihre sensiblen Daten – aller Art – um den Verwendungszweck, die Qualität, die Risikoauswirkungen und mehr zu kennen
• sensible Daten automatisch katalogisieren und Metadaten in strukturierten, unstrukturierten, Cloud-, Big Data-, NoSQL-, Data Lake-Quellen und allem dazwischen
• Suchen, Markieren und Markieren verwandter Daten
• automatische Identifizierung doppelter, abgeleiteter und ähnlicher Daten

Termin für eine Demo um mehr darüber zu erfahren, welche vertraulichen Informationen Ihr Unternehmen schützen muss – und wie Sie das Beste aus Ihren Daten herausholen.