Inhoudsopgave:
In de Verenigde Staten zijn er verschillende federale en nationale wetten voor het melden van datalekken, hoewel er geen uitgebreide federale wet is. In mei 2011 diende de Obama-administratie een uitgebreid voorstel voor cyberveiligheid in bij het Congres, dat een meldingsplicht voor federale datalekken bevat. Dit zou de cybersecurity enorm kunnen verbeteren, maar vanaf januari 2012 was er geen federale wetgeving inzake kennisgeving van datalekken aangenomen. Hier kijken we naar gegevensbeveiliging en de wetgeving die wordt opgesteld om inbreuken aan te pakken. (Zie De basisprincipes van IT-beveiliging voor achtergrondinformatie.)
Een federale zaak maken
Op federaal niveau van de VS zijn er wetten en richtlijnen die kennisgeving van inbreuken vereisen voor specifieke soorten gegevens: de Health Insurance Portability and Accountability (HIPAA) Act en de Health Information Technology for Economic and Clinical Health (HITECH) Act voor informatie over gezondheidszorg, de Gramm-Leach-Bliley Act voor financiële informatie en de Office of Management and Budget (OMB) -richtlijn voor persoonlijke informatie in het bezit van federale agentschappen.
Volgens de HITECH Act moeten zorgverleners die onder de HIPAA vallen patiënten "onmiddellijk" op de hoogte stellen wanneer hun gezondheidsinformatie is geschonden. Het ministerie van Volksgezondheid en Human Services (HHS) en de media moeten op de hoogte worden gebracht in gevallen waarin inbreuken op meer dan 500 personen van invloed zijn. Verkopers van persoonlijke gezondheidsinformatie hebben vergelijkbare meldingsplicht voor inbreuken, maar moeten de Federal Trade Commission informeren in plaats van HHS.
Volgens richtlijnen van de federale bankregelgevers onder de Gramm-Leach-Bliley Act, moet een bank of andere financiële instelling een gegevensinbreuk opmerken en een onderzoek instellen om vast te stellen of de informatie is misbruikt of zal worden misbruikt. Als de bank vaststelt dat misbruik heeft plaatsgevonden of redelijkerwijs mogelijk is, moet zij de getroffen klanten zo snel mogelijk hiervan op de hoogte stellen.
De kennisgeving van de klant kan worden uitgesteld als de politie bepaalt dat de kennisgeving een strafrechtelijk onderzoek zal verstoren en de bank een schriftelijk verzoek tot uitstel indient. De bank moet haar klanten op de hoogte stellen zodra deze kennisgeving het onderzoek niet langer zal verstoren. Kennisgeving kan echter niet worden uitgesteld vanwege schaamte of ongemak voor de bank.
Volgens de OMB-richtlijnen zijn federale agentschappen verplicht om alle datalekken met persoonlijk identificeerbare informatie binnen een uur na ontdekking / detectie te melden. Agentschappen hebben echter de vrijheid om datalekken buiten het agentschap te melden. Ze kunnen de kennisgeving uitstellen voor wetshandhaving, nationale veiligheid of agentschapbehoeften.
California Dreaming
Op het niveau van de staat is er een lappendeken van 46 staatswetten (en het District of Columbia) over kennisgeving van datalekken. Californië heeft in 2002 de eerste wet op de kennisgeving van inbreuken op gegevens ingevoerd, en deze is gebruikt als model voor vele andere nationale wetten.
Volgens de Californische wet moeten bedrijven een datalek schriftelijk melden aan klanten "zo snel mogelijk, zonder onredelijke vertraging". Als de kennisgevende persoon of het bedrijf kan aantonen dat kennisgeving meer dan $ 250.000 zou kosten of meer dan 500.000 mensen zou treffen, zou een vervangende kennisgeving in de vorm van een website-publicatie en kennisgeving aan belangrijke media in de gehele staat kunnen worden gebruikt. Het statuut stelt elke datalek waarin de persoonlijke informatie is gecodeerd, vrij van kennisgeving.
In tegenstelling tot veel andere staten, omvat Californië echter geen boetes voor het niet onmiddellijk melden van consumenten van een datalek. De National Conferentie of State Legislatures houdt een lijst bij van wetten voor het melden van inbreuken op gegevens door de staat en links naar die wetten.
Europa of buste
In Europa heeft de Europese Unie een meldplicht voor gegevensinbreuk goedgekeurd in een wijziging van 2009 in haar e-privacyrichtlijn. Lidstaten van de Europese Unie hadden tot 25 mei 2011 de tijd om de wijziging in nationale wetgeving om te zetten.
Het amendement vereist dat "aanbieders van algemeen beschikbare elektronische communicatiediensten" nationale autoriteiten in kennis stellen van een inbreuk op persoonlijke informatie die kan leiden tot aanzienlijk economisch verlies en sociale schade voor klanten "zodra" zij zich bewust worden van de inbreuk. Ook moeten de getroffen klanten 'onverwijld' op de hoogte worden gesteld van de inbreuk. De kennisgeving moet informatie bevatten over maatregelen die door het bedrijf worden genomen, evenals aanbevolen acties voor de getroffen klanten.
Wijzigingen in de EU-richtlijn gegevensbescherming worden in 2012 verwacht, waaronder de eis dat alle bedrijven, niet alleen aanbieders van elektronische-communicatiediensten, nationale autoriteiten en getroffen klanten binnen 24 uur op de hoogte brengen van een inbreuk op persoonlijke informatie.
De Britse wet op de gegevensbescherming, die dateert van voor de EU e-privacyrichtlijn, heeft een uitgebreide reeks vereisten voor bedrijven om gegevens te beschermen, hoewel deze geen meldingsplicht voor gegevensschending bevat.
Het UK Information Commissioner's Office (ICO), dat belast is met de uitvoering van de wet, heeft gezegd dat bedrijven ernstige gegevensinbreuken, gedefinieerd als inbreuken die mogelijk schade kunnen toebrengen aan individuen, moeten melden aan de ICO. Het bureau zei dat het van Britse bedrijven zou verwachten dat het op de hoogte wordt gebracht van inbreuken op niet-gecodeerde persoonlijke informatie bij 1.000 of meer personen. ICO zei dat het niet zijn verantwoordelijkheid is om de getroffen consumenten te informeren, maar het kan aanbevelen dat het bedrijf de inbreuk openbaar maakt "wanneer dit duidelijk in het belang van de betrokken personen is of als er een sterk argument van algemeen belang voor is."
Datalekken en rapportage
Als reactie op veel gepubliceerde datalekken en publieke druk overwegen Amerikaanse en Europese wetgevers en regelgevers eisen dat alle bedrijven datalekken melden bij nationale autoriteiten en getroffen consumenten. Vanaf januari 2012 had geen van deze inspanningen echter geleid tot uitgebreide wet- en regelgeving inzake kennisgeving van datalekken in de Verenigde Staten of de Europese Unie.
