I slutningen af juni, 2018, Californien bestået AB 375, en forbruger privacy act, der kunne have mere indflydelse på AMERIKANSKE virksomheder end Eu ‘ s Generel Forordning om databeskyttelse (GDPR), der trådte i kraft i Maj 2018. Californiens lov har ikke nogle af GDPR ‘ s mest besværlige krav, såsom det smalle 72-timers vindue, hvor et firma skal rapportere et brud. I andre henseender går det dog endnu længere.CCPA tager et bredere syn end GDPR på, hvad der udgør private data., Udfordringen for sikkerhed, derefter, er at finde og sikre, at private data.
Hvad er CCPA?
California Consumer Privacy Act (CCPA) er en lov, der giver enhver forbruger i Californien mulighed for at kræve at se alle de oplysninger, et firma har gemt på dem, samt en komplet liste over alle tredjeparter, som data deles med. Derudover giver Californiens lov forbrugerne mulighed for at sagsøge virksomheder, hvis retningslinjerne for beskyttelse af personlige oplysninger overtrædes, selvom der ikke er nogen overtrædelse.,
Hvilke virksomheder, der ikke CCPA påvirke?
alle virksomheder, der betjener indbyggere i Californien og har mindst $25 millioner i årlig omsætning, skal overholde loven. Derudover falder virksomheder af enhver størrelse, der har personoplysninger om mindst 50.000 mennesker, eller som indsamler mere end halvdelen af deres indtægter fra salg af personoplysninger, også under loven. Virksomheder behøver ikke at være baseret i Californien eller have en fysisk tilstedeværelse der for at falde ind under loven. De behøver ikke engang at være baseret i USA.,
en ændring foretaget i April fritager “forsikringsinstitutioner, agenter og supportorganisationer”, da de allerede er underlagt lignende regler i henhold til Californiens lov om Forsikringsinformation og beskyttelse af personlige oplysninger (IIPPA).
Hvornår skal mit firma overholde CCPA?
loven trådte i kraft den 1.januar 2020, men håndhævelsen begyndte den 1. juli.
Hvad sker der, hvis mit firma ikke overholder CCPA?
virksomheder har 30 dage til at overholde loven, når regulatorer underretter dem om en overtrædelse., Hvis problemet ikke er løst, er der en bøde på op til $7,500 pr. “Hvis du tænker på, hvor mange poster der er berørt i et brud, øges det virkelig meget hurtigt,” siger Debra Farber, senior director for privacy strategy hos BigID. Da lovforslaget blev sat sammen og vedtaget på bare en uge, vil det sandsynligvis se nogle ændringer, tilføjer hun. “Ting som de fine beløb vil sandsynligvis ændre sig.”
Der er også en anden potentiel økonomisk risiko, siger Farber. “Lovforslaget giver en persons ret til at sagsøge, for første gang” hun siger. “Og det tillader gruppesøgsmål retssager for skader .,”
igen er der et 30-dages vindue, der starter, når forbrugerne giver skriftlig meddelelse til et firma om, at de mener, at deres privatlivsrettigheder er blevet krænket. “Hvis det ikke er helbredt, og retsadvokaten afviser at retsforfølge, kan de medbringe en klassedragt,” siger Farber. “Og det er ikke kun omkring brud.”
for eksempel specificerer loven, at virksomheder skal have en klart synlig sidefod på websebsteder, der giver forbrugerne mulighed for at fravælge datadeling. Hvis denne sidefod mangler, kan forbrugerne sagsøge., De kan også sagsøge, hvis de ikke kan finde ud af, hvordan deres oplysninger er blevet indsamlet eller få kopier af disse oplysninger. “Det kan være omkring noget,” siger Farber.
Den lov, der tildeler specifikke sanktioner bør uautoriseret adgang forekomme, enten gennem et brud, exfiltration, tyveri, eller “afsløring som et resultat af virksomhedens overtrædelse af pligten til at gennemføre og opretholde rimelige sikkerhedsprocedurer og-praksis”, Som i øjeblikket er skrevet, AB 375 giver mulighed for bøder på $100 til $750 per forbruger per hændelse eller faktiske skader, uanset om den er større.,
“Tilføj alle de andre omkostninger i forbindelse med brud-IT-svar, kriminalteknik og gendannelse, juridisk, anmeldelse osv. – og dette kan skubbe et brud ind i en eksistentiel trussel mod mange virksomheder,” siger Chris Prevost, leder af runtime security solutions architecture hos Imperva.
generelt, hvis et firma tog de nødvendige skridt for at overholde GDPR, er det det meste af vejen der for California Consumer Privacy Act. I det mindste er det tættere, end hvis det ikke er klar til GDPR, siger Eric Dieterich, leder af datasikkerhedspraksis hos Focal Point Data Risk, LLC., “Nogle multinationale selskaber foretog ændringer for deres europæiske markeder, men måske rullede det ikke ud til USA-baserede aktiviteter, så der kan være en scoping ændring,” siger han.
hvilke data dækker CCPA?
Californiens lov tager en bredere tilgang til, hvad der udgør følsomme data end GDPR. For eksempel er olfaktoriske oplysninger dækket, samt bro .serhistorik og registreringer af en besøgendes interaktion med et websiteebsted eller en applikation.,ometric oplysninger
En ændring, AB 874, som i øjeblikket afventer governor ‘ s signatur ville fritage offentligt tilgængelige, deidentified og samlede oplysninger til forbrugerne fra at blive klassificeret som personlige OPLYSNINGER., Offentligt tilgængelige oplysninger defineres som tilgængelige data og vedligeholdes fra offentlige registre.CCPA dækkede oprindeligt medarbejder såvel som forbrugerdata. Et ændringsforslag, der blev vedtaget i April, fritager imidlertid medarbejderdata fra forordningen. En anden ændring, AB 25, delvist fritager personlige oplysninger indsamlet fra jobansøgere, ejere, direktører, officerer, medicinsk personale, og entreprenører. Denne undtagelse udløber den 1. januar 2021. AB 25 ventede på guvernørens underskrift ved denne skrivning.
Hvad er de vigtigste bestemmelser om privatlivets fred i CCPA?,
virksomheder skal give forbrugerne mulighed for at vælge ikke at dele deres data med tredjeparter. Det betyder, at virksomheder nu skal være i stand til at adskille de data, de indsamler, i henhold til brugernes privatlivsvalg.
selvom et firma ikke kan nægte brugere lige service, kan det desuden tilbyde incitamenter til brugere, der leverer personlige oplysninger. “Denne bestemmelse kan muligvis ændres, men som nævnt i dag giver den dig muligheden for at tilbyde rabatter til folk, der er villige til at få deres data delt eller solgt til tredjepart,” siger Dieterich., “Traditionelt er systemer ikke designet, så din prisstruktur kan ændre sig afhængigt af dine privatlivsvalg. Det er et nyt koncept, der har meget tekniske konsekvenser.”
en anden stor forskel med GDPR er, at Californiens lov giver kunderne meget større adgang til deres poster, siger Subra Ramesh, SVP for produkter hos Dataguise. En forbruger i Californien har ret til at finde ud af, hvilke oplysninger en virksomhed indsamler om dem. De fleste virksomheder vil have problemer med at trække disse oplysninger sammen., “For det første er mængden af data, de indsamler, allerede massiv og fortsætter med at vokse, ofte i hundreder til tusinder værd af terabyte, og med organisationer på virksomhedsniveau, der behandler petabyte med data,” siger han.
at data er indeholdt i flere lagringsplatforme i forskellige filtider. “De fleste filsøgningsværktøjer mangler evnen til at søge på tværs af de moderne filopbevaringsøkosystemer, der er så udbredt i dag,” siger Aaron Ganek, administrerende direktør for Cloudtenna. “Cross-silo filhåndtering er en stor udfordring., Det er svært at forstå kontekst for hver fil, hvis de er spredt i forskellige arkiver.”Derudover er overholdelsesproblemer forbundet med at samle data, siger han. “Legacy enterprise tools kæmper for at observere de forskellige tilladelser og sikkerhedsmodeller og overtræder de meget Love og regler, de bliver brugt til at opfylde.”
så er der fristen., “Efter anmodning om adgang, en virksomhed har 45 dage til at give dem en omfattende rapport om, hvilken type information de har, blev det solgt og til hvem, og hvis det blev solgt til tredjeparter i løbet af de seneste 12 måneder, skal det give navne og adresser på de tredjeparter de data, der er solgt til,” siger John Tsopanis, privatlivets fred, product manager hos 1touch.io. “Du kan ikke gøre det i Europa.”
da reglen dækker de foregående 12 måneders poster, er virksomheder nødt til at begynde at overholde seks måneder fra nu, siger han., Derefter skal hver virksomhed den 1. januar 2020 afsløre alle andre virksomheder, de sælger data til. “Det vil ændre privatlivets landskab i Amerika for evigt,” siger Tsopanis.
hvad betyder CCPA for sikkerhed?
AB 375 er lys på krav omkring sikkerhed og brud respons i forhold til GDPR. Som tidligere nævnt definerer loven sanktioner for virksomheder, der udsætter forbrugerdata på grund af brud eller sikkerhedsfald. Det giver også domstole mulighed for at tilbyde “påbud eller erklærende lettelse,” eller “enhver anden lettelse, som Retten finder passende.,”
virksomheder er ikke forpligtet til at rapportere overtrædelser under AB 375, og forbrugerne skal indgive klager, før bøder er mulige. Det bedste handlingsforløb for sikkerhed er derfor at vide, hvilke data AB 375 definerer som private data og tage skridt til at sikre dem. Igen behøver enhver organisation, der overholder GDPR, sandsynligvis ikke at tage yderligere skridt for at overholde AB 375 med hensyn til sikring af data.,ab 375-kravene til sporing, adgang til og lagring af data betyder, at sikkerhedsteams bliver nødt til at arbejde tæt sammen med databaseadministratorer, siger Terry Ray, senior Vice president og kollega hos Imperva, en cybersikkerhedsleverandør. Alle værktøjer, der er udvalgt til at hjælpe med at håndtere AB 375, skal ikke kun have fuld synlighed i data, der er gemt på tværs af hele det heterogene virksomhedsmiljø, men også sikre, at adgangen til disse data er korrekt sikret., “Endelig har de brug for disse værktøjer til at samarbejde med den nye forbrugerportal ved at dele specifikke forbrugerdata med den verificerbare forbruger, der anmoder om det,” siger han.
hvis dataene gemmes hos skyudbydere, bliver problemet bare værre. For eksempel kan medarbejdere oprette en fildelingskonto for at holde styr på marketing-eller salgskontakter. “Det er ikke overraskende, at de store teknologiselskaber som Google og Facebook modsatte sig regningen,” siger Kevin Bocek, VP for sikkerhedsstrategi og trusselsinformation hos Venafi., “Det er utroligt vanskeligt at kontrollere privatlivets fred og personlige oplysninger, der flyder mellem maskiner, og en stor udfordring for alle virksomheder.”
et igangværende arbejde
lovforslaget blev sat sammen på bare syv dage, fordi lovgivere ønskede at undgå et valginitiativ til at vedtage en endnu strengere lov, der var imod mange tech-virksomheder. “Lige nu er mange af bestemmelserne og definitionerne i konflikt med hinanden,” siger Andy Dale, general counsel og VP for global privacy hos sessionm., et problematisk område er, om en virksomhed kan opkræve forbrugere forskellige priser baseret på deres privatlivsindstillinger. For eksempel har mange virksomheder en mulighed, hvor en forbruger kan opgradere til et betalt niveau, hvor de ikke ser nogen annoncer. Her er loven som i øjeblikket skrevet lidt modstridende.
“Hvis forbrugeren udøver sine rettigheder i henhold til forordningen, virksomhederne ikke kan give et andet niveau eller kvalitet af produkter, varer eller tjenesteydelser til forbrugerne,” siger Pravin Kothari, administrerende DIREKTØR for CipherCloud., “På den anden side af den mønt, der i henhold til forordningen virksomheder er ikke forbudt at opkræve en forbruger til en anden pris eller rate, eller ved at tilvejebringe et andet niveau eller kvaliteten af varer eller ydelser til forbrugeren, hvis denne forskel er rimeligt forhold til den værdi, der leveres til forbrugeren af forbrugerens data.”
det ser ud til, at Californien forsøger at definere en ramme, hvor forbrugerne kan få betalt for at dele deres data, siger Kothari. “På dette område er lovgivningen lidt visionær,” siger han. “Vi ser i praksis, hvordan dette rent faktisk fungerer.,”
Mere om CCPA:
- 9 CCPA spørgsmål hver CISO bør være forberedt på at besvare
- CCPA er en mulighed for at få dine data i sikkerhed i orden
- Hvad er “rimelig sikkerhed”? Og hvordan man opfylder kravet
- bliv seriøs omkring beskyttelse af forbrugerdata
- hvordan Borger ejerskab af data påvirker forretningen fremadrettet