Dataprivacywetten over de hele V.S. van kust tot kust

Op 1 januari 2020 wordt de nieuwe regelgeving van de staat Californië voor gegevensprivacy - de California Consumer Privacy Act (CCPA) , uitgevaardigd in 2018 - van kracht. De CCPA volgt op de GDPR als een nieuwe poging van de overheidssector om tegemoet te komen aan de toenemende bezorgdheid over gegevensprivacy bij het beheer van burgergegevens in een digitale wereld die wordt geteisterd door datalekken.

Als gevolg van de wet krijgen de burgers van Californië meer rechten en controle over hun gegevens, ook al kunnen die gegevens zich bijna overal bevinden. Volgens het informatieblad van het bureau van de procureur-generaal van Californië hebben consumenten "het recht te weten welke persoonlijke informatie wordt verzameld, gebruikt, gedeeld of verkocht, zowel wat de categorieën als de specifieke stukken van persoonlijke informatie betreft".

Vanuit zakelijk oogpunt zal de CCPA echter gevolgen hebben voor de beveiliging van gegevens en de privacy van bedrijven die aan een van de volgende criteria voldoen:

• Een onderneming met winstoogmerk die zaken doet in Californië en minstens 25 miljoen dollar per jaar aan inkomsten heeft
• Verkoop van 50.000 consumenten platen per jaar
• Ten minste 50% van de jaarlijkse inkomsten halen uit de verkoop van persoonsgegevens

Dataprivacy is niet beperkt tot de westkust

Wetgeving inzake gegevensprivacy heeft brede implicaties voor zowel consumenten als bedrijven, en dat is de reden waarom de nationale discussie over de beveiliging van consumentengegevens en privacy tot een golf van actie aan beide Amerikaanse kusten heeft geleid.

In maart 2020 wordt de New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD) van kracht. De NY SHIELD Act zal een breder toepassingsgebied hebben - elk bedrijf dat klanten in New York heeft, ongeacht of het bedrijf in een andere staat of een ander land is gevestigd. In wezen moet elke middelgrote of grote onderneming met ook maar één klant in New York dit nieuwe beleid uitvoeren.

"De wet van New York verplicht de implementatie van een gegevensbeveiligingsprogramma, met inbegrip van maatregelen zoals risicobeoordelingen, training van het personeel en planning en tests voor incidentrespons", zegt Brian Cesaratto, adviseur in de National Law Review . "Bedrijven moeten onmiddellijk beginnen met het proces om te voldoen aan de eisen van de wet die op 21 maart 2020 van kracht worden."

Beide wetten lijken op elkaar in die zin dat ze boetes kunnen opleggen als bedrijven hun gegevens niet beschermen en als zich gebeurtenissen zoals gegevensinbreuken voordoen. In het geval van de CCPA kan een bedrijf dat er niet in slaagt een vermeende niet-naleving binnen 30 dagen na kennisgeving van de staat te verhelpen, als overtreder worden beschouwd en een civiele boete van maximaal $7.500 per overtreding worden opgelegd. Elk bedrijf dat in Californië actief is en de CCPA niet naleeft, kan een civiele schadevergoeding van maximaal $750 per overtreding, per gebruiker, opgelegd krijgen.

Bovendien stelt dit bedrijven open voor mogelijke rechtszaken die door consumenten worden aangespannen. Voor de NY SHIELD Act kan de procureur-generaal van de staat New York tot 250.000 dollar vorderen voor overtredingen door een bedrijf. Het is duidelijk dat deze voorschriften een aanzienlijke materiële impact kunnen hebben op organisaties! Het is waarschijnlijk een goede gok dat soortgelijke wetgeving per staat zich zal blijven vermenigvuldigen en er is altijd een kans dat de VS een landelijke, federale wet zal aannemen die vergelijkbaar is met GDPR.

Nu staten meer betrokken raken bij de manier waarop bedrijven consumentengegevens beschermen, is intelligent gegevensbeheer met het oog op concurrentievoordeel en potentiële risico's geen nice-to-have, maar een absolute noodzaak.

Hoe kunnen bedrijven voldoen aan de wetgeving inzake gegevensprivacy?

Voer een contentinventarisatie uit: Bij elk contentinitiatief is het belangrijk inzicht te hebben in de omvang van de relevante bedrijfsgegevens. Welke repositories beheert het bedrijf, wat is het zakelijke doel van de gegevens, hoe lang worden ze bewaard, welke controles regelen de toegang en beveiliging ervan en wie gebruikt en gebruikt deze gegevens?

Deze aanbeveling wordt gesteund door Shahryar Shaghaghi, een CCPA-deskundige bij CohnReznick Advisory, die notes , "Om aan de CCPA te voldoen, moet u uw gegevens in kaart brengen, zodat u kunt zien waar u uw gegevens vandaan haalt en waar ze naartoe gaan. En als een klant vraagt om de gegevens te wissen, moet u binnen een bepaalde tijd reageren, dus u moet kunnen begrijpen welke gegevens u hebt en hoe u ze wist."

Op het eerste gezicht lijkt dit een heel eenvoudige oefening, maar als je met organisaties van elke omvang werkt, kom je voor verrassingen te staan!

Gebruikmaken van reeds bestaande praktijken en technologieën voor e-discovery: Gebruiksgevallen op het gebied van gegevensbeveiliging en privacy, waaronder GDPR, vertonen enkele overeenkomsten met e-discovery, waarbij relevante inhoud moet worden geïdentificeerd die vaak betrekking heeft op een persoon of transactie en waarvan de reikwijdte soms moeilijk te overzien is. Het verfijnen van zoekresultaten, het terugbrengen tot de essentie en het beoordelen maken allemaal deel uit van de vergelijking.

Bovendien gebeurt dit vaak tegen de achtergrond van enorme hoeveelheden digitale gegevens en tijdsbeperkingen. Het gebruik van een bedrijfsarchief dat bedrijfskritische gegevens kan bevatten, ontdubbelen, beschermen en bewaren, vormt de basis van de inspanningen op het gebied van privacybeheer; het gebruik van een toepassing voor het doornemen van zaken om intensieve zoekopdrachten uit te voeren, wettelijke bewaarplicht toe te passen en extracten/exporten uit te voeren, vormt de volgende laag. Dit zijn slechts de technische fundamenten en dat zou het gemakkelijke deel moeten zijn. Goede informatiegovernance vereist ook de nodige mensen, samenwerking en bijbehorende processen (zoals de handhaving van het bewaarbeleid) om op lange termijn succesvol te zijn, en niet alleen per geval.

Geplande gegevensminimalisering: Er zijn zo veel redenen om werk te maken van een sterk retentiebeheer. Alles voor altijd bewaren is een strategie, maar steeds minder een goede. Wetgeving op het gebied van gegevensprivacy zal organisaties echt doen afvragen waarom ze informatie bewaren, en met welk doel. Hoe groter het oppervlak, hoe groter het risico op een inbreuk en, daarmee samenhangend, een grotere kans op ontdekbare gegevens tijdens rechtszaken en andere bestuurlijke gebeurtenissen. Dit wil niet zeggen dat er geen reden is om bedrijfsgegevens langer te bewaren, maar organisaties moeten duidelijk voor ogen houden dat "waarom?" - "voor het geval ik ze nodig heb" geen afdoende antwoord is gezien het potentiële financiële, reputatie- en juridische risico. Ga systematisch te werk bij het opstellen van een retentiebeleid - werk samen als dat nodig is, zorg ervoor dat het consistent wordt toegepast en kies de juiste archiveringstechnologie om het te handhaven.

In de volgende aflevering over privacy zullen we onderzoeken hoe een holistisch cyberbeveiligingsprogramma kan helpen om te voldoen aan de nieuwe golf van gegevensbeveiliging en privacy.