Gegevensprivacy staat op het stembiljet in de Amerikaanse verkiezingen

Dit verkiezingsjaar zou een grote impact kunnen hebben op het privacybeleid in de VS. Het onderwerp staat op de agenda van de verkiezingen in Californië, waar de California Consumer Privacy Act (CCPA), een model voor veel andere staten, net in januari 2020 is ingevoerd. En op nationaal niveau kan de verkiezingsuitslag ook bepalend zijn voor de toekomst van zo'n 30 verschillende voorstellen over gegevensprivacy die op Capitol Hill circuleren.

In de praktijk moeten veel Amerikaanse bedrijven echter al voldoen aan een lappendeken van oude en nieuwe voorschriften en normen inzake gegevensprivacy - op staats-, nationaal, internationaal of bedrijfstakniveau. Hieronder vallen diverse voorschriften voor:

• Gegevensbescherming integreren in elk nieuw product of elke nieuwe dienst;
• Implementeren van beleid en procedures voor het delen van informatie van klanten en werknemers;
• Beveiliging van persoonlijke informatie wanneer deze wordt gecreëerd, opgeslagen, onderhouden en doorgegeven;
• Melding van inbreuken op gegevens;
• En personeel opleiden om op de juiste manier met persoonsgegevens om te gaan.

Veel van het werk op het gebied van naleving draait om de dagelijkse zakelijke e-mail, die in twee opzichten van cruciaal belang is voor gegevensprivacy. Ten eerste is e-mail een van de grootste opslagplaatsen van persoonlijke informatie waarover een organisatie beschikt. Ten tweede is zakelijke e-mail de meest voorkomende oorzaak van datalekken waarbij persoonlijke informatie wordt vrijgegeven. [1]

Terwijl de privacyregels vorm blijven krijgen, adviseren technologiemarktexperts zoals de Gartner Group bedrijven om proactief te zijn - om holistische, adaptieve privacyprogramma's op te bouwen in plaats van te reageren telkens wanneer een nieuw rechtsgebied een nieuw beleid invoert. [2] Technologie is een essentieel onderdeel van deze complianceprogramma's, door gegevens te beveiligen en compliance te automatiseren.

Het gegevensprivacylandschap is weer aan het verschuiven

De invoering van de CCPA heeft een golf van initiatieven inzake gegevensprivacy in het hele land op gang gebracht, waarbij in ten minste 30 staten en Puerto Rico wetsvoorstellen in overweging werden genomen voordat de pandemie de prioriteiten verlegde. [3] Hoewel de CCPA reeds als vrij streng wordt beschouwd , hebben vragen over de handhavingsmechanismen en andere aspecten sommige voorstanders van privacy ertoe aangezet Proposition 24 op te stellen, dat nu in Californië ter stemming is.

Als voorstel 24 wordt aangenomen, zal het de CCPA op verschillende gebieden uitbreiden. Tot de gebieden die van invloed kunnen zijn op zakelijke e-mail behoren een strenger beleid inzake het minimaliseren van de bewaring van persoonsgegevens en de oprichting van het California Privacy Protection Agency, waarmee een nieuwe regelgever wordt toegevoegd aan de nalevingsmix. Andere belangrijke aandachtsgebieden zijn onder meer het gebruik van persoonsgegevens voor gerichte reclame.

Intussen kunnen de nationale verkiezingsresultaten in Washington een nieuwe impuls geven aan een alomvattend nationaal beleid inzake gegevensprivacy. Volgens het Brookings Institution, een denktank, zijn er de afgelopen twee jaar meer dan 30 wetsvoorstellen over gegevensprivacy ingediend. [4] De twee wetsvoorstellen met de grootste dynamiek verschillen sterk van elkaar, aldus Brookings, maar ze zijn het wel eens over belangrijke kwesties zoals gegevensminimalisering.

Daar komt nog het privacybeleid in verschillende sectoren bij. De Health Insurance Portability and Accountability Act (HIPAA) is al lang van toepassing op bedrijven in de gezondheidszorg. Financiële dienstverleners moeten verantwoording afleggen aan overheids- en niet-overheidsinstanties, zoals de PCI Security Standards Council en het New York State Department of Financial Services.

De uitkomst van de verkiezingen in 2020 zou kunnen bepalen of er al dan niet vooruitgang wordt geboekt: De Democratische presidentskandidaat Joe Biden heeft gesuggereerd dat de VS een nationale privacywet moeten hebben met normen die vergelijkbaar zijn met de General Data Privacy Regulation (GDPR) van Europa, terwijl president Trump zich daar nog niet over heeft uitgesproken.

Wereldwijde versnelling van "moderne" regelgeving inzake gegevensbescherming

Internationaal is de GDPR in de handhavingsfase gekomen, met 430 boetes en straffen die sinds de implementatie in 2018 openbaar zijn gemaakt. [5] Het uitgebreide gegevensprivacybeleid geldt voor bedrijven zowel binnen als buiten de Europese Unie, als ze zaken doen met Europese burgers, hoewel de implementatie tussen Europa en de VS wankel is geweest . In Europa liepen de boetes uiteen van honderden tot miljoenen dollars voor bevindingen zoals ontoereikende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

In totaal zal 65% van de wereldbevolking volgens Gartner tegen 2023 over persoonsgegevens beschikken die onder "moderne" privacyregels vallen, tegenover 10% in 2020. Hoewel 130 of meer landen enige privacywetgeving hebben, hebben veel landen hun wetgeving gemoderniseerd sinds de GDPR werd uitgevaardigd. [6]

Nalevingsprogramma's en technologie

Voldoen aan de veranderende regelgeving inzake gegevensprivacy is zowel een organisatorische als een technische uitdaging.

Bedrijven spenderen miljoenen aan de ontwikkeling van strategieën, beleidslijnen, procedures en opleiding om de persoonsgegevens van hun klanten en werknemers te beschermen. Toonaangevende praktijken omvatten het instellen van beginselen op hoog niveau met betrekking tot persoonsgegevens als onderdeel van een gedocumenteerde en meetbare strategie. Zo moet in het archiveringsbeleid voor e-mail worden aangegeven waarom persoonlijke informatie wordt bewaard en hoe lang, en hoe het bedrijf zich beschermt tegen e-mailbedreigingen die de opslag van persoonlijke informatie zouden kunnen doorbreken.

Om de compliancestrategie voor e-mail in de praktijk te brengen, zijn technische hulpmiddelen nodig voor de implementatie van deze en andere beleidsregels voor gegevensbeheer, beveiliging, archivering, zoeken en ophalen, versleuteling en rapportage aan de regelgevende instanties. Cloud-gebaseerde e-maildiensten zoals Mimecast integreren en automatiseren steeds meer van de mogelijkheden voor gegevensbeveiliging en administratie die nodig zijn om aan de regelgeving te voldoen. Bijvoorbeeld:

• Bepaalde soorten persoonlijke informatie in e-mails kunnen aanleiding geven tot gecodeerd berichtenverkeer.
• Compliance teams kunnen een retentiebeleid instellen, handhaven en afdwingen dat berichten binnen een bepaald aantal dagen "laat verlopen".
• Gegevensdashboards kunnen meten hoe groot de kans is dat werknemers op frauduleuze e-mails klikken, met het risico op een datalek waarbij persoonlijke informatie wordt prijsgegeven.

De kern van de zaak

Nu de kiezers in Californië en in het hele land naar de stembus gaan, is het niet ondenkbaar dat er nog meer wijzigingen in het privacybeleid zullen komen. Bedrijven hebben al lange tijd te maken met veranderende privacyregelgeving. Velen nemen praktische maatregelen om ervoor te zorgen dat ze zich opnieuw kunnen aanpassen en naleven.

[1] " 2020 Data Breach Investigations Report ," Verizon

[2] " Gartner Predictions for the Future of Privacy 2020 ," Gartner

[3] " 2020 Consumer Data Privacy Legislation ," National Conference on State Legislatures

[4] " How the 2020 Elections Will Shape the Federal Privacy Debate ," Brookings Institution

[5] " GDPR Enforcement Tracker ," C/M/X

[6] " Global Data Privacy Laws 2019: 132 National Laws & Veel Bills ," Social Science Research Network