U bent verantwoordelijk voor het beveiligen van de privégegevens die u op uw computer opslaat of via internet verzendt. Maar hoe zit het met uw persoonlijke gegevens die in handen zijn van een organisatie waar u mee vertrouwd bent?

Van de IRS tot uw plaatselijke bloemist, uw persoonlijke gegevens worden op grote schaal gedeeld. En elke dag verliest een organisatie gevoelige gegevens over haar klanten of klanten - of dit nu te wijten is aan een hackaanval of (waarschijnlijker) aan het verlies of de diefstal van een computer of opslagapparaat.

Hier zijn drie recente voorbeelden uit de Data Loss Database van de Open Security Foundation:

• Een ontevreden werknemer steelt de sofinummers, creditcard-accounts en andere persoonlijke gegevens van ongeveer 1.200 klanten. De informatie wordt gebruikt om nep-werkloosheidsrekeningen te creëren, waarbij het Maryland Department of Labour, Licensing en Regulation tot $ 170.000 wordt verspeeld.
• Een laptop gestolen van een bedrijf in onroerend goed in Vermont bevat een aantal SSN's en andere privégegevens over inwoners, volgens de kennisgeving die het bedrijf aan de getroffen klanten stuurde (pdf).
• Een belastingbereidingsdienst wordt uit hun kantoor in San Francisco gezet en laat een doos met oude belastingaangiften achter de voordeur achter.

Een andere nuttige bron van informatie over recente datalekken is de Privacy Rights Clearinghouse Chronology of Data Breaches, waarin gebeurtenissen voorkomen die teruggaan tot 2005 van organisaties die gevoelige gegevens verliezen.

Hoe effectief zijn wetten voor het melden van schendingen?

Volgens de 'Security Breach Legallation 2011' van de National Conference of State Legislation vereisen 46 staten momenteel organisaties om meldingen te sturen naar mensen van wie de privégegevens zijn aangetast als gevolg van inbreuken die een minimumaantal mensen treffen (meestal 500). Informatie die als privé wordt aangemerkt, bestaat uit een combinatie van voornaam, achternaam, middelste initiaal, SSN, financiële gegevens en gezondheids- of medische gegevens.

(De site van het Amerikaanse ministerie van Gezondheid en Human Services verklaart de strengere HIPAA-vereisten voor schending van meldingen voor gezondheidsgegevens. In afwachting van federale wetgeving inzake kennisgeving van inbreuk op gegevens zijn de Wet melding gegevensbreuk 2011 en de Wet bescherming Persoonsgegevens en Breach Accountability Act van 2011.)

De lijst kan binnenkort een aantal of alle e-mailadressen bevatten, zoals uitgelegd door Mark G. McCreary van Fox Rothschild LLP in Breach Notification: Time for a wake-up call. Gerichte e-mailaanvallen - of spear-phishing - worden vaak verzonden vanuit besmette accounts, dus ze lijken afkomstig te zijn van vertrouwde bronnen. Een schending van e-mailadressen kan leiden tot financiële schade voor de slachtoffers.

Huidige en voorgestelde wetten die kennisgeving van een schending vereisen, zijn geen garantie die u wordt verteld wanneer uw privégegevens door een derde partij zijn blootgesteld. De socialezekerheidsadministratie werd ronduit bekritiseerd omdat ze duizenden mensen niet op de hoogte had gesteld wiens namen, geboortedata en SSN's per ongeluk openbaar werden gemaakt in het Death Master-bestand, dat te koop is van veel verschillende websites, volgens de Consumer Watchdog-site .

De eenvoudigste oplossing: Versleutel alle gegevens

In veel gevallen kan de organisatie die de privégegevens heeft verloren het risico vrijwel hebben geëlimineerd door de gevoelige bestanden te coderen. Helaas vereisen alleen Nevada en Massachusetts momenteel organisaties om de privégegevens die ze opslaan te coderen, volgens Keith Vance op de eSecurityPlanet-site.

De Federal Information Processing Standards (FIPS) van het National Institute of Standards and Technology en de Twenty Critical Security Controls dienen als leidraad voor grote ondernemingen die soep-tot-noten gegevensbeschermingsplannen implementeren. Wat ontbreekt zijn richtlijnen voor kleine bedrijven.

Het Better Business Bureau biedt een inleiding op databeveiliging voor kleine bedrijven (pdf) met controlelijsten voor gegevensinventarissen, richtsnoeren voor veiligheidsauditing en tips voor het opsporen van identiteitsdiefstal. (Merk op dat het rapport werd gesponsord door Visa en Symantec, dus neem de productaanbevelingen in met een korrel zout.)

Zorgen voor veilige verwijdering van gevoelige gegevens

De drie elementen van een gegevensbeveiligingsplan zijn toegangscontrole, versleuteling van opgeslagen gegevens en veilige verwijdering van persoonlijke gegevens. Shredden is de geprefereerde methode voor papieren bestanden en optische media. In een bericht van maart 2009 beschreef ik hoe je een oude harde schijf kon vernietigen. Een van de hulpmiddelen die in dat verhaal worden behandeld, is Darik's Boot en Nuke (DBAN), een gratis programma voor het wissen van gegevens.

Natuurlijk, als de opgeslagen gegevens versleuteld zijn, is de kans dat iemand het herstelt geminimaliseerd. Toch is de veiligste aanpak om alle opslagmedia te wissen voordat ze worden weggegooid.

Zelfs met deze voorzorgsmaatregelen kan uw persoonlijke informatie nog steeds in verkeerde handen vallen. Maak er een gewoonte van om uw maandelijkse creditcard- en bankafschriften te beoordelen en overweeg u in te schrijven voor een service voor kredietbewaking die u via e-mail of een andere methode waarschuwt wanneer een nieuw account op uw naam wordt geopend.

De site Fight Identity Diefstal bespreekt de vier belangrijkste kredietrapportageservices. Niet iedereen hoeft echter maximaal $ 15 per maand te besteden om zijn identiteit te beschermen: Investopedia onderzoekt de voor- en nadelen van kredietcontrolediensten.

Als u vermoedt dat u het slachtoffer bent van identiteitsdiefstal, biedt de website Fight Back Against Identity Theft van de Federal Trade Commission een uitgebreide veelgestelde vraag over het onderwerp en bevat een link voor het indienen van een klacht bij het bureau.