Sisällysluettelo:
- Liittovaltion tapauksen tekeminen
- Kalifornian unelma
- Eurooppa tai rintakuva
- Tietojen rikkomukset ja raportointi
Yhdysvalloissa on useita liittovaltion ja osavaltioiden tietosuojarikkomusten ilmoittamista koskevia lakeja, vaikka kattavaa liittovaltion lakia ei ole. Toukokuussa 2011 Obaman hallinto esitti kongressille kattavan kyberturvallisuusehdotuksen, joka sisältää liittovaltion tietosuojarikkomusten ilmoittamista koskevan vaatimuksen. Tämä voisi parantaa huomattavasti verkkoturvallisuutta, mutta tammikuusta 2012 lähtien liittovaltion tietosuojarikkomusten ilmoittamista koskevaa lakia ei ollut annettu. Tässä tarkastellaan tietoturvaa ja rikkomusten torjumiseksi laadittavaa lainsäädäntöä. (Katso taustatietoja IT-tietoturvan perusperiaatteista.)
Liittovaltion tapauksen tekeminen
Yhdysvaltain liittovaltion tasolla on lakeja ja ohjeita, jotka edellyttävät tietotyyppien rikkomusilmoitusta: sairausvakuutusten siirrettävyyttä ja vastuullisuutta (HIPAA) koskevaa lakia ja terveydenhuollon tietoja koskevaa terveyttä koskevaa tietotekniikkaa (HITECH) koskevaa lakia, Gramm-Leach-Bliley -laki taloudellisia tietoja varten ja hallinto- ja budjettivirasto (OMB) -ohjeet liittovaltion virastojen hallussa oleville henkilökohtaisille tiedoille.
HITECH-lain mukaan HIPAA: n piiriin kuuluvien terveydenhuollon tarjoajien on ilmoitettava potilaille "viipymättä", kun heidän terveystietojaan on rikottu. Terveyden ja ihmisten palveluiden laitokselle (HHS) ja tiedotusvälineille on ilmoitettava tapauksista, joissa rikkomukset koskevat yli 500 henkilöä. Henkilökohtaisten terveystietojen myyjillä on samanlaiset rikkomusilmoitusvaatimukset, mutta heidän on ilmoitettava asiasta liittovaltion kauppakomissiolle HHS: n sijaan.
Liittovaltion pankkivalvontaviranomaisten Gramm-Leach-Bliley -lain nojalla antamien ohjeiden mukaan kun pankki tai muu finanssilaitos saa tietoonsa tietorikkomuksen, sen olisi suoritettava tutkimus selvittääkseen tietojen väärinkäytön tai väärinkäytön todennäköisyyttä. Jos pankki toteaa väärinkäytön tapahtuneen tai on kohtuudella mahdollista, sen tulee ilmoittaa asiasta asiaankuuluville asiakkaille mahdollisimman pian.
Asiakasilmoitus voi viivästyä, jos lainvalvontaviranomaiset toteavat, että ilmoitus häiritsee rikostutkintaa, ja toimittaa pankille kirjallisen viivästyspyynnön. Pankin tulee ilmoittaa asiasta asiakkailleen heti, kun ilmoitus ei enää häiritse tutkimusta. Ilmoitusta ei kuitenkaan voida viivyttää hämmennyksen tai pankille aiheutuvien haittojen vuoksi.
OMB: n ohjeiden mukaan liittovaltion virastojen on ilmoitettava kaikista tietosuojarikkomuksista, joihin liittyy henkilökohtaisesti tunnistettavia tietoja yhden tunnin kuluessa löytämisestä / havaitsemisesta. Virastoilla on kuitenkin harkintavalta ilmoittaa tietovirheistä viraston ulkopuolella. Ne voivat viivästyttää ilmoitusta lainvalvonnan, kansallisen turvallisuuden tai viraston tarpeita varten.
Kalifornian unelma
Valtion tasolla on rikki 46 osavaltion lakia (ja Columbian piirikunta) tietojen rikkomuksista ilmoittamisesta. Kalifornia antoi ensimmäisen tietosuojarikkomusilmoituslain vuonna 2002, ja sitä on käytetty mallina monille muille osavaltion laeille.
Kalifornian lain mukaan yritysten on paljastettava tietosuojaloukkaukset asiakkaille "mahdollisimman pian ilman kohtuutonta viivytystä" kirjallisessa muodossa. Jos ilmoituksen tekijä tai yritys pystyy osoittamaan, että ilmoittaminen maksaisi yli 250 000 dollaria tai koskisi yli 500 000 ihmistä, voidaan käyttää korvaavaa ilmoitusta verkkosivustona lähettämisen ja ilmoituksen suurille valtakunnallisille tiedotusvälineille muodossa. Lakisääntö vapauttaa ilmoittamisesta kaikista tietosuojavirheistä, joissa henkilötiedot on salattu.
Toisin kuin monissa muissa osavaltioissa, Kaliforniassa ei kuitenkaan ole seuraamuksia siitä, ettei kuluttajille ilmoiteta viipymättä tietosuojarikkomuksista. Kansallinen valtionlainsäädäntökonferenssi ylläpitää luetteloa valtion rikkomuksista ilmoittamista koskevista laeista ja linkkejä niihin.
Eurooppa tai rintakuva
Euroopassa Euroopan unioni hyväksyi tietosuojarikkomusten ilmoittamista koskevan vaatimuksen sähköisen tietosuojadirektiivin vuoden 2009 muutoksella. Euroopan unionin jäsenmaiden oli 25. toukokuuta 2011 saakka saatettava muutokset osaksi kansallista lainsäädäntöään.
Tarkistuksessa vaaditaan "yleisesti saatavilla olevien sähköisen viestinnän palvelujen tarjoajia" ilmoittamaan kansallisille viranomaisille henkilökohtaisten tietojen loukkauksista, jotka voivat aiheuttaa merkittäviä taloudellisia menetyksiä ja sosiaalisia haittoja asiakkaille "heti, kun" he saavat tiedon rikkomuksesta. Lisäksi asiaankuuluville asiakkaille tulisi ilmoittaa rikkomuksesta "viipymättä". Ilmoituksen tulisi sisältää tiedot yrityksen toteuttamista toimenpiteistä sekä suositellut toimenpiteet asianomaisille asiakkaille.
EU: n tietosuojadirektiiviin odotetaan muutoksia vuonna 2012, mukaan lukien vaatimus, että kaikki yritykset, ei vain sähköisen viestinnän palveluntarjoajat, ilmoittavat kansallisille viranomaisille ja asiaan vaikuttaville asiakkaille 24 tunnin sisällä henkilökohtaisten tietojen loukkauksista.
Ison-Britannian tietosuojalaissa, joka edeltää EU: n sähköisen tietosuojadirektiivin säännöksiä, on yrityksille kattava joukko vaatimuksia tietojen suojaamiseksi, vaikka se ei sisällä tietojen rikkomusilmoitusvaatimusta.
Lain täytäntöönpanosta vastaava Yhdistyneen kuningaskunnan tiedotusviraston toimisto (ICO) on sanonut, että yritysten olisi ilmoitettava ICO: lle vakavista tietorikkomuksista, jotka määritellään rikkomuksiksi, jotka voivat aiheuttaa haittaa yksilöille. Virasto ilmoitti odottavansa Yhdistyneen kuningaskunnan yritysten ilmoittavan sille salaamattomien henkilökohtaisten tietojen rikkomuksista vähintään 1000 henkilöllä. ICO: n mukaan vastuulla ei ole tiedottaa asiaankuuluville kuluttajille, mutta se voi suositella, että yritys julkistaisi rikkomisen "silloin, kun se on selvästi asianomaisten henkilöiden edun mukaista tai jos siihen on vahva yleisen edun mukainen peruste".
Tietojen rikkomukset ja raportointi
Vastauksena erittäin julkistettuihin tietorikkomuksiin ja julkiseen painostukseen amerikkalaiset ja eurooppalaiset lainsäätäjät ja sääntelijät harkitsevat vaatimuksia, joiden mukaan kaikki yritykset ilmoittavat tietorikkomuksista kansallisille viranomaisille ja asiaan vaikuttaville kuluttajille. Tammikuusta 2012 alkaen yksikään näistä yrityksistä ei kuitenkaan ollut johtanut kattaviin tietosuojarikkomusten ilmoittamista koskeviin lakeihin ja asetuksiin Yhdysvalloissa tai Euroopan unionissa.
