Πίνακας περιεχομένων:
- Κάνοντας μια Ομοσπονδιακή υπόθεση
- California Dreaming
- Ευρώπη ή προτομή
- Παραβιάσεις δεδομένων και αναφορά
Στις Ηνωμένες Πολιτείες, υπάρχουν διάφοροι ομοσπονδιακοί και κρατικοί νόμοι περί παραβίασης δεδομένων, παρόλο που δεν υπάρχει πλήρης ομοσπονδιακός νόμος. Τον Μάιο του 2011, η κυβέρνηση Ομπάμα υπέβαλε στο Κογκρέσο μια ολοκληρωμένη πρόταση για ασφάλεια στον κυβερνοχώρο, η οποία περιλαμβάνει μια απαίτηση κοινοποίησης των παραβιάσεων των ομοσπονδιακών δεδομένων. Αυτό θα μπορούσε να βελτιώσει σημαντικά την ασφάλεια στον κυβερνοχώρο, αλλά από τον Ιανουάριο του 2012 δεν έχει περάσει νομοθεσία για την κοινοποίηση των παραβιάσεων των ομοσπονδιακών δεδομένων. Εδώ εξετάζουμε την ασφάλεια των δεδομένων και τη νομοθεσία που δημιουργείται για την αντιμετώπιση παραβιάσεων. (Για ανάγνωση στο παρασκήνιο, ανατρέξτε στις Βασικές αρχές ασφάλειας IT.)
Κάνοντας μια Ομοσπονδιακή υπόθεση
Στο ομοσπονδιακό επίπεδο των ΗΠΑ, υπάρχουν νόμοι και οδηγίες που απαιτούν γνωστοποίηση παραβίασης για συγκεκριμένους τύπους δεδομένων: τον νόμο περί φορητότητας και λογοδοσίας για ασφάλειες υγείας (HIPAA) και τον νόμο για την υγεία και την υγεία στον τομέα της υγείας (HITECH) για τις πληροφορίες περί υγειονομικής περίθαλψης. Gramm-Leach-Bliley Act για τη χρηματοοικονομική πληροφόρηση και την καθοδήγηση του Γραφείου Διαχείρισης και Προϋπολογισμού (OMB) για προσωπικές πληροφορίες που τηρούν οι ομοσπονδιακές υπηρεσίες.
Σύμφωνα με τον νόμο HITECH, οι πάροχοι υγειονομικής περίθαλψης που καλύπτονται από την HIPAA πρέπει να ειδοποιούν τους ασθενείς «έγκαιρα» όταν παραβιάζονται οι πληροφορίες για την υγεία τους. Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) και τα μέσα ενημέρωσης πρέπει να ενημερώνονται σε περιπτώσεις όπου οι παραβιάσεις αφορούν περισσότερα από 500 άτομα. Οι πωλητές προσωπικών πληροφοριών για την υγεία έχουν παρόμοιες απαιτήσεις γνωστοποίησης παραβάσεων, αλλά πρέπει να ενημερώσουν την Ομοσπονδιακή Επιτροπή Εμπορίου, αντί για την HHS.
Σύμφωνα με τις οδηγίες των ομοσπονδιακών τραπεζικών ρυθμιστικών αρχών βάσει του νόμου Gramm-Leach-Bliley, όταν μια τράπεζα ή άλλο χρηματοπιστωτικό ίδρυμα διαπιστώνει παραβίαση δεδομένων, θα πρέπει να διενεργήσει έρευνα για να προσδιορίσει την πιθανότητα κατάχρησης των πληροφοριών. Εάν η τράπεζα διαπιστώσει ότι έχει υπάρξει κακή χρήση ή είναι ευλόγως δυνατή, θα πρέπει να ειδοποιήσει τους πελάτες τους το συντομότερο δυνατό.
Η ειδοποίηση πελατών μπορεί να καθυστερήσει εάν η επιβολή του νόμου καθορίσει ότι η ειδοποίηση θα παρεμβληθεί σε μια ποινική έρευνα και θα παράσχει στην τράπεζα γραπτή αίτηση για την καθυστέρηση. Η τράπεζα θα πρέπει να ενημερώνει τους πελάτες της μόλις η κοινοποίηση δεν θα επηρεάσει πλέον την έρευνα. Ωστόσο, η κοινοποίηση δεν μπορεί να καθυστερήσει λόγω αμηχανίας ή δυσχέρειας στην τράπεζα.
Σύμφωνα με την καθοδήγηση της OMB, οι ομοσπονδιακές υπηρεσίες οφείλουν να αναφέρουν όλες τις παραβιάσεις δεδομένων που περιλαμβάνουν προσωπικά αναγνωρίσιμες πληροφορίες εντός μίας ώρας από την ανακάλυψη / ανίχνευση. Ωστόσο, οι οργανισμοί έχουν διακριτική ευχέρεια όσον αφορά την αναφορά παραβιάσεων δεδομένων εκτός του οργανισμού. Μπορούν να καθυστερήσουν την κοινοποίηση για την επιβολή του νόμου, την εθνική ασφάλεια ή τις ανάγκες των οργανισμών.
California Dreaming
Σε κρατικό επίπεδο, υπάρχει ένα συνονθύλευμα 46 νόμων (και η περιφέρεια της Κολούμπια) σχετικά με την κοινοποίηση παραβίασης δεδομένων. Η Καλιφόρνια θέσπισε τον πρώτο νόμο κοινοποίησης παραβιάσεων δεδομένων το 2002 και έχει χρησιμοποιηθεί ως πρότυπο για πολλούς άλλους κρατικούς νόμους.
Σύμφωνα με τον νόμο της Καλιφόρνια, οι εταιρείες πρέπει να γνωστοποιήσουν εγγράφως παραβίαση δεδομένων στους πελάτες "το συντομότερο δυνατό, χωρίς υπερβολική καθυστέρηση". Εάν ο κοινοποιών μπορεί να αποδείξει ότι η ειδοποίηση θα κοστίσει περισσότερα από 250.000 δολάρια ή θα επηρεάσει περισσότερους από 500.000 ανθρώπους, τότε θα μπορούσε να χρησιμοποιηθεί μια υποκατάστατη ειδοποίηση με τη μορφή τοποθεσίας ιστότοπου και ειδοποίησης σε μεγάλα κρατικά μέσα ενημέρωσης. Το καταστατικό εξαιρεί από την κοινοποίηση κάθε παραβίαση δεδομένων στην οποία τα προσωπικά στοιχεία κρυπτογραφήθηκαν.
Ωστόσο, η Καλιφόρνια, σε αντίθεση με πολλά άλλα κράτη, δεν περιλαμβάνει κυρώσεις για την αδυναμία έγκαιρης ενημέρωσης των καταναλωτών για παραβίαση δεδομένων. Η Εθνική Διάσκεψη των Κρατικών Νομοθεσιών διατηρεί έναν κατάλογο των νόμων κοινοποίησης παραβιάσεων δεδομένων και συνδέσμους με αυτούς τους νόμους.
Ευρώπη ή προτομή
Στην Ευρώπη, η Ευρωπαϊκή Ένωση ενέκρινε μια απαίτηση κοινοποίησης παραβίασης δεδομένων σε τροπολογία του 2009 για την οδηγία για την προστασία της ιδιωτικής ζωής. Τα κράτη μέλη της Ευρωπαϊκής Ένωσης είχαν μέχρι τις 25 Μαΐου 2011 να εφαρμόσουν την τροποποίηση στο εθνικό δίκαιο.
Η τροπολογία απαιτεί από τους «φορείς παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών» να ενημερώνουν τις εθνικές αρχές για παραβίαση προσωπικών πληροφοριών που θα μπορούσαν να οδηγήσουν σε σημαντικές οικονομικές απώλειες και κοινωνική ζημία στους πελάτες «μόλις διαπιστωθεί η παραβίαση». Επίσης, οι ενδιαφερόμενοι πελάτες πρέπει να ενημερώνονται για την παραβίαση "χωρίς καθυστέρηση". Η κοινοποίηση πρέπει να περιλαμβάνει πληροφορίες σχετικά με τα μέτρα που λαμβάνονται από την εταιρεία, καθώς και συνιστώμενες ενέργειες για τους επηρεαζόμενους πελάτες.
Οι αλλαγές στην οδηγία της ΕΕ για την προστασία των δεδομένων αναμένονται το 2012, συμπεριλαμβανομένης της απαίτησης ότι όλες οι εταιρείες, και όχι μόνο οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών, θα ενημερώνουν τις εθνικές αρχές και τους επηρεαζόμενους πελάτες μέσα σε 24 ώρες από την παραβίαση προσωπικών πληροφοριών.
Ο νόμος περί προστασίας δεδομένων του Ηνωμένου Βασιλείου, ο οποίος προηγείται της οδηγίας της ΕΕ για την προστασία της ιδιωτικής ζωής στον τομέα του ηλεκτρονικού απορρήτου, περιέχει ένα πλήρες σύνολο απαιτήσεων για τις εταιρείες προστασίας δεδομένων, παρόλο που δεν περιλαμβάνει απαίτηση κοινοποίησης παραβίασης των δεδομένων.
Η Υπηρεσία του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου (ICO), η οποία είναι υπεύθυνη για την εφαρμογή της πράξης, δήλωσε ότι οι εταιρείες θα πρέπει να αναφέρουν στο ICO σοβαρές παραβιάσεις δεδομένων, που ορίζονται ως παραβιάσεις που θα μπορούσαν να προκαλέσουν δυνητική βλάβη σε ιδιώτες. Ο οργανισμός δήλωσε ότι αναμένει από τις εταιρείες του Ηνωμένου Βασιλείου να το κοινοποιήσουν για παραβιάσεις μη κρυπτογραφημένων προσωπικών πληροφοριών σε 1.000 ή περισσότερα άτομα. Η ICO δήλωσε ότι δεν είναι ευθύνη της να ενημερώνει τους επηρεαζόμενους καταναλωτές, μπορεί όμως να συστήσει την εταιρεία να κάνει την παραβίαση δημόσια "όπου είναι σαφώς προς το συμφέρον των ενδιαφερομένων ή υπάρχει ισχυρό επιχείρημα δημόσιου συμφέροντος για να το πράξει".
Παραβιάσεις δεδομένων και αναφορά
Σε απάντηση σε υπερβολικά δημοσιευμένες παραβιάσεις δεδομένων και δημόσια πίεση, οι Αμερικανοί και Ευρωπαίοι νομοθέτες και ρυθμιστικές αρχές εξετάζουν τις απαιτήσεις ότι όλες οι εταιρείες αναφέρουν παραβιάσεις δεδομένων στις εθνικές αρχές και στους καταναλωτές που πλήττονται. Ωστόσο, από τον Ιανουάριο του 2012, καμία από αυτές τις προσπάθειες δεν είχε οδηγήσει σε εκτεταμένους νόμους και κανονισμούς κοινοποίησης παραβιάσεων δεδομένων στις Ηνωμένες Πολιτείες ή στην Ευρωπαϊκή Ένωση.
