Personally Identifiable Information (PII) is alle data die kan worden gebruikt om een persoon te identificeren, hetzij op zichzelf, hetzij in combinatie met andere gegevens. Dit omvat voor de hand liggende identificatoren zoals volledige namen, burgerservicenummers, rijbewijzen, geboortedata, postcodes of telefoonnummers. Hoewel alle PII gevoelig is, kunnen gegevens zoals gezondheidsdata of biometrische gegevens een serieus risico vormen om te worden gebruikt bij fraude of identiteitsdiefstal als ze worden blootgesteld.
Waarom het beschermen van PII belangrijk is
De meeste organisaties verzamelen en verwerken tegenwoordig enorme hoeveelheden PII. Van je gebruikersprofiel op Instagram tot je medische dossiers bij de huisarts - beide vereisen bescherming, en het niet beschermen van deze informatie kan ernstige gevolgen hebben voor een bedrijf.
Juridische en compliance-kwesties
Wereldwijd bestaan er privacywetten die de bescherming van je persoonlijke informatie verplichten. In de EU definieert de Algemene Verordening Gegevensbescherming (AVG/GDPR) persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon” en dwingt strikte naleving af voor alle organisaties, met forse boetes. Zo kreeg Amazon in 2021 een boete van €746 miljoen voor privacyschendingen onder de AVG nadat ze de gegevens van hun gebruikers niet hadden beveiligd.
In de VS is de regelgeving minder uitgebreid. Staten zoals Californië hebben de Consumer Privacy Act (CCPA) ingevoerd, die consumenten rechten geeft over hun persoonlijke informatie en de verplichting bij bedrijven legt om die data te beveiligen.
Een voorbeeld van een ondergrondse markt die een database van 277GB aan klantinformatie verkoopt.
Beveiligingsrisico’s en identiteitsdiefstal
PII is een hoofddoel voor cybercriminelen, en dat is waarom bedrijven voorzichtig moeten zijn bij het omgaan met je persoonlijke gegevens. Hackers die PII stelen kunnen mogelijk individuen volledig nabootsen, financiële accounts overnemen of belastingfraude plegen. Gestolen data wordt ook wijdverbreid verkocht op het dark web en ondergrondse markten, waar hoge prijzen worden betaald voor wie de meeste data kan leveren.
Klantvertrouwen en reputatie
De meest directe impact voor een bedrijf van een PII-lek is verlies van klantvertrouwen, wat vaak wordt versterkt door media-aandacht voor het lek. Reputatieschade brengt verloren klanten, dalende aandelenkoersen en zelfs faillissement met zich mee, afhankelijk van de ernst van het lek. Privacy is tegenwoordig een concurrentievoordeel in digitale bedrijven, en bedrijven die het niet kunnen beschermen hebben moeite om klanten te behouden.
