Innholdsfortegnelse:
I USA er det forskjellige føderale og statlige varslingslovgivningslovgivning, selv om det ikke er noen omfattende føderal lov. I mai 2011 sendte Obama-administrasjonen et omfattende cybersecurity-forslag til kongressen som inkluderer et krav om varsling av føderale dataovertredelser. Dette kan forbedre cybersecurity enormt, men fra januar 2012 hadde det ikke blitt vedtatt noen føderal lovgivning om varsling av data om brudd. Her ser vi på datasikkerhet og lovverket som blir satt opp for å adressere brudd. (For bakgrunnslesing, se De grunnleggende prinsippene for IT-sikkerhet.)
Å lage en føderal sak
På det amerikanske føderale nivået er det lover og retningslinjer som krever varsling om brudd på bestemte typer data: loven om helseforsikringens bærbarhet og ansvarlighet (HIPAA) og loven om helseinformasjonsteknologi for økonomisk og klinisk helse (HITECH) for informasjon om helsehjelp, Gramm-Leach-Bliley Act for finansiell informasjon, og Office of Management and Budget (OMB) veiledning for personlig informasjon som innehas av føderale byråer.
I henhold til HITECH-loven må tilbydere av helsetjenester som omfattes av HIPAA varsle pasientene "omgående" når helseopplysningene deres er brutt. Avdeling for helse og menneskelige tjenester (HHS) og media må varsles i tilfeller der brudd rammer mer enn 500 individer. Leverandører av personlig helseopplysninger har lignende krav om varsling av brudd, men må informere Federal Trade Commission, snarere enn HHS.
I henhold til veiledning gitt av føderale banktilsynsmyndigheter i henhold til Gramm-Leach-Bliley Act, når en bank eller annen finansinstitusjon blir klar over et datainnbrudd, bør den foreta en undersøkelse for å fastslå sannsynligheten for at informasjonen har blitt eller vil bli misbrukt. Hvis banken bestemmer at misbruk har skjedd eller er rimelig mulig, bør den varsle de berørte kundene så snart som mulig.
Kundevarsel kan bli forsinket hvis rettshåndhevelse bestemmer at varsling vil forstyrre en kriminell etterforskning og gir banken en skriftlig anmodning om forsinkelsen. Banken bør varsle sine kunder så snart varsel ikke lenger vil forstyrre etterforskningen. Varsling kan imidlertid ikke utsettes på grunn av forlegenhet eller ulempe for banken.
I følge OMB-veiledning er føderale byråer pålagt å rapportere alle datainnbrudd som involverer personlig identifiserbar informasjon innen en time etter funn / oppdagelse. Byråer har imidlertid skjønn når det gjelder rapportering av datainnbrudd utenfor byrået. De kan utsette varsling for rettshåndhevelse, nasjonal sikkerhet eller byråbehov.
California Dreaming
På statlig nivå er det et lappeteppe av 46 statlige lover (og District of Columbia) om varsel om dataovertredelse. California vedtok den første loven om varsling av datainnbrudd i 2002, og den har blitt brukt som modell for mange andre statlige lover.
I henhold til California-loven må selskaper offentliggjøre et datainnbrudd til kundene "så snart som mulig, uten urimelig forsinkelse" skriftlig. Hvis den varslende personen eller virksomheten kan demonstrere at varsling vil koste mer enn $ 250 000 eller påvirke mer enn 500 000 mennesker, kan en erstatningsvarsel i form av et nettstedoppslag og varsel til større statlige medier brukes. Vedtekten unntar fra varsling ethvert datainnbrudd der den personlige informasjonen ble kryptert.
I motsetning til mange andre stater inkluderer California imidlertid ikke straff for manglende øyeblikkelig å varsle forbrukerne om et datainnbrudd. The National Conference of State Legislatures opprettholder en liste over lovgivning om varsling av statlige data og brudd på disse lovene.
Europa eller byste
I Europa godkjente EU et krav om varsling av data om brudd i en 2009-endring av direktivet om e-personvern. EUs medlemsland måtte frem til 25. mai 2011 for å implementere endringen i nasjonal lovgivning.
Endringen krever at "tilbydere av offentlig tilgjengelige elektroniske kommunikasjonstjenester" skal varsle nasjonale myndigheter om brudd på personlig informasjon som kan føre til betydelig økonomisk tap og sosial skade for kundene "så snart" de blir klar over bruddet. De berørte kundene bør også varsles om bruddet "uten forsinkelse." Varslingen skal inneholde informasjon om tiltak som foretas av selskapet, samt anbefalte handlinger for de berørte kundene.
Endringer i EUs databeskyttelsesdirektiv forventes i 2012, inkludert et krav om at alle selskaper, ikke bare leverandører av elektroniske kommunikasjonstjenester, gir beskjed til nasjonale myndigheter og berørte kunder innen 24 timer etter brudd på personlig informasjon.
Den britiske databeskyttelsesloven, som går foran EUs direktiv om personvern, har et omfattende sett med krav til selskaper for å beskytte data, selv om det ikke inneholder et krav om varsling av data.
Storbritannias informasjonskommissærs kontor (ICO), som er ansvarlig for gjennomføringen av loven, har sagt at selskaper bør rapportere alvorlige datainnbrudd, definert som brudd som kan forårsake potensiell skade for enkeltpersoner, til ICO. Byrået sa at det ville forvente britiske selskaper å varsle det om brudd på ukryptert personlig informasjon på 1000 eller flere individer. ICO sa at det ikke er sitt ansvar å informere berørte forbrukere, men det kan anbefale at selskapet offentliggjør bruddet "der det tydeligvis er i interessene til de berørte individer, eller det er et sterkt argument for allmenne interesser å gjøre det."
Dataovertredelser og rapportering
Som svar på høyt publiserte datainnbrudd og offentlig press, vurderer amerikanske og europeiske lovgivere og tilsynsmyndigheter krav om at alle selskaper rapporterer datainnbrudd til nasjonale myndigheter og berørte forbrukere. Fra januar 2012 hadde imidlertid ingen av disse anstrengelsene resultert i omfattende lover og forskrifter om varsling av varsel om data i verken USA eller EU.