Acasă Securitate Notificare privind încălcarea datelor: mediul legal și de reglementare

Notificare privind încălcarea datelor: mediul legal și de reglementare

Cuprins:

Anonim

În Statele Unite, există diferite legi federale și statale privind încălcarea datelor privind notificarea, deși nu există o lege federală cuprinzătoare. În mai 2011, administrația Obama a înaintat Congresului o propunere cuprinzătoare de securitate cibernetică care include o cerință federală privind notificarea încălcării datelor. Acest lucru ar putea îmbunătăți considerabil securitatea cibernetică, dar din ianuarie 2012 nu a fost adoptată nicio legislație federală privind încălcarea datelor privind încălcarea datelor. Aici aruncăm o privire asupra securității datelor și a legislației care este instituită pentru a rezolva încălcările. (Pentru citirea de fundal, consultați Principiile de bază ale securității IT.)

Crearea unui caz federal

La nivel federal din SUA, există legi și îndrumări care necesită o notificare de încălcare a anumitor tipuri de date: Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) și Legea privind tehnologia informațiilor de sănătate pentru sănătatea economică și clinică (HITECH) pentru informații privind îngrijirea sănătății, Legea Gramm-Leach-Bliley pentru informații financiare și ghidul Biroului de Management și Buget (OMB) pentru informații personale deținute de agențiile federale.


Conform Legii HITECH, furnizorii de servicii de asistență medicală reglementate de HIPAA trebuie să anunțe pacienții „prompt” când informațiile lor de sănătate au fost încălcate. Departamentul de Sănătate și Servicii Umane (HHS) și mass-media trebuie notificate în cazurile în care încălcările afectează mai mult de 500 de persoane. Furnizorii de informații privind sănătatea personală au cerințe similare de notificare a încălcărilor, dar trebuie să informeze Comisia Federală pentru Comerț, mai degrabă decât HHS.


Conform îndrumărilor emise de autoritățile de reglementare bancară federale în temeiul Legii Gramm-Leach-Bliley, atunci când o bancă sau o altă instituție financiară ia cunoștință de o încălcare a datelor, aceasta ar trebui să efectueze o anchetă pentru a determina probabilitatea ca informațiile să fie sau să fie folosite greșit. În cazul în care banca stabilește că s-a produs o utilizare greșită sau este posibil în mod rezonabil, ar trebui să anunțe clienții afectați cât mai curând posibil.


Notificarea clienților poate fi amânată dacă forțele de ordine determină că notificarea va interfera cu o anchetă penală și furnizează băncii o cerere scrisă pentru întârziere. Banca trebuie să anunțe clienții de îndată ce notificarea nu va mai interveni cu ancheta. Cu toate acestea, notificarea nu poate fi amânată din cauza jenelor sau a inconvenientelor pentru bancă.


Conform îndrumărilor OMB, agențiile federale trebuie să raporteze toate încălcările datelor care implică informații de identificare personală într-o oră de la descoperire / detectare. Cu toate acestea, agențiile au discreție în ceea ce privește raportarea încălcărilor de date din afara agenției. Acestea pot întârzia notificarea pentru nevoile de aplicare a legii, securitate națională sau agenție.

visul californian

La nivel de stat, există o corecție de 46 de legi de stat (și Districtul Columbia) privind notificarea încălcării datelor. California a adoptat prima lege privind notificarea privind încălcarea datelor în 2002 și a fost folosită ca model pentru multe alte legi de stat.


Conform legii californiene, companiile trebuie să dezvăluie clienților o încălcare a datelor „cât mai curând posibil, fără întârzieri nejustificate” în scris. În cazul în care persoana sau întreprinderea care notifică poate demonstra că notificarea ar costa mai mult de 250.000 USD sau ar afecta mai mult de 500.000 de persoane, atunci poate fi utilizată o notificare înlocuitoare, sub forma unui site web de publicare și notificare către mass-media majore de stat. Statutul scutește de la notificare orice încălcare a datelor în care informațiile personale au fost criptate.


Cu toate acestea, California, spre deosebire de multe alte state, nu include sancțiuni pentru nerespectarea promptă a consumatorilor cu privire la o încălcare a datelor. Conferința Națională a Legislaturilor de Stat menține o listă a legilor privind notificarea de încălcare a datelor de stat și a legăturilor la aceste legi.

Europa sau Bustul

În Europa, Uniunea Europeană a aprobat o cerință de notificare privind încălcarea datelor într-o modificare din 2009 a Directivei sale privind confidențialitatea electronică. Statele membre ale Uniunii Europene au avut până la 25 mai 2011 să aplice modificarea legislației naționale.


Modificarea impune „furnizorilor de servicii de comunicații electronice disponibile publicului” să notifice autoritățile naționale despre o încălcare a informațiilor personale care ar putea duce la pierderi economice substanțiale și daune sociale pentru clienți „de îndată ce” sunt conștienți de încălcare. De asemenea, clienții afectați ar trebui să fie anunțați despre încălcarea „fără întârziere”. Notificarea ar trebui să includă informații despre măsurile luate de companie, precum și acțiuni recomandate pentru clienții afectați.


În 2012 sunt așteptate modificări ale Directivei UE privind protecția datelor, inclusiv o cerință ca toate companiile, nu doar furnizorii de servicii de comunicații electronice, să notifice autoritățile naționale și clienții afectați în termen de 24 de ore de încălcarea informațiilor personale.


Legea privind protecția datelor din Marea Britanie, care este anterioară Directivei UE privind confidențialitatea, are un set cuprinzător de cerințe pentru companii să protejeze datele, deși nu conține o cerință de notificare privind încălcarea datelor.


Biroul comisarului informațiilor din Marea Britanie (ICO), care este responsabil de punerea în aplicare a actului, a declarat că companiile ar trebui să raporteze încălcări grave ale datelor, definite drept încălcări care ar putea provoca vătămări potențiale persoanelor fizice. Agenția a spus că se așteaptă ca companiile din Marea Britanie să o notifice despre încălcările informațiilor personale necriptate la 1.000 sau mai multe persoane. ICO a spus că nu este responsabilitatea sa să informeze consumatorii afectați, dar poate recomanda companiei să facă publică încălcarea „acolo unde este clar în interesul persoanelor în cauză sau există un argument puternic de interes public în acest sens”.

Încălcarea datelor și raportarea

Ca răspuns la încălcările de date și presiunea publică extrem de mediatizate, legiuitorii și autoritățile de reglementare americane și europene iau în considerare cerințele ca toate companiile să raporteze încălcările de date către autoritățile naționale și consumatorii afectați. Cu toate acestea, din ianuarie 2012, niciunul dintre aceste eforturi nu a dus la încălcarea datelor cuprinzătoare în legile și reglementările privind notificarea în Statele Unite sau în Uniunea Europeană.

Notificare privind încălcarea datelor: mediul legal și de reglementare