eind juni 2018 heeft Californië AB 375 aangenomen, een wet inzake consumentenprivacy die meer gevolgen zou kunnen hebben voor Amerikaanse bedrijven dan de Algemene Verordening Gegevensbescherming van de Europese Unie (GDPR) die in mei 2018 van kracht werd. De Californische wet heeft niet een aantal van de meest bezwarende eisen van de GDPR, zoals de smalle 72-uursvenster waarin een bedrijf een inbreuk moet melden. In andere opzichten gaat het echter nog verder.

CCPA neemt een bredere kijk op wat privégegevens zijn dan de GDPR., De uitdaging voor de veiligheid, dan, is het lokaliseren en beveiligen van die persoonlijke gegevens.

Wat is de CCPA?

De California Consumer Privacy Act (CCPA) is een wet die elke Californische consument toestaat om te eisen dat alle informatie die een bedrijf op hen heeft opgeslagen, evenals een volledige lijst van alle derden die gegevens worden gedeeld met. Bovendien staat de Californische wet consumenten toe om bedrijven aan te klagen als de privacyrichtlijnen worden geschonden, zelfs als er geen schending is.,

welke bedrijven hebben invloed op de CCPA?

alle bedrijven die inwoners van Californië bedienen en een jaarlijkse omzet van ten minste $25 miljoen hebben, moeten voldoen aan de wet. Bovendien vallen bedrijven van elke omvang die persoonsgegevens hebben van ten minste 50.000 personen of die meer dan de helft van hun inkomsten uit de verkoop van persoonsgegevens verzamelen, ook onder de wet. Bedrijven hoeven niet in Californië te zijn gevestigd of fysiek aanwezig te zijn om onder de wet te vallen. Ze hoeven niet eens in de Verenigde Staten gevestigd te zijn.,

een wijziging van April stelt “verzekeringsinstellingen, agenten, en ondersteunende organisaties” vrij, aangezien zij reeds onderworpen zijn aan soortgelijke voorschriften onder de California ‘ s Insurance Information and Privacy Protection Act (IIPPA).

Wanneer moet mijn bedrijf voldoen aan de CCPA?

de wet trad in werking op 1 januari 2020, maar de handhaving begon op 1 juli.

Wat gebeurt er als mijn bedrijf niet voldoet aan de CCPA?

ondernemingen hebben 30 dagen de tijd om aan de wet te voldoen zodra de regelgevers hen in kennis stellen van een overtreding., Als het probleem niet is opgelost, is er een boete van maximaal $7.500 per record. “Als je bedenkt hoeveel records bij een inbreuk worden getroffen, neemt het echt heel snel toe”, zegt Debra Farber, senior director privacy strategy bij BigID. Aangezien het wetsvoorstel in slechts een week werd opgesteld en aangenomen, zal het waarschijnlijk een aantal amendementen zien, voegt ze eraan toe. “Dingen zoals de boete bedragen zijn waarschijnlijk te veranderen.”

Er is ook een ander potentieel financieel risico, zegt Farber. “Het wetsvoorstel voorziet in het recht van een individu om een proces aan te spannen, voor de eerste keer”, zegt ze. “En het laat class action rechtszaken voor schade.,”

nogmaals, er is een venster van 30 dagen dat begint wanneer de consumenten een bedrijf schriftelijk melden dat zij geloven dat hun privacyrechten zijn geschonden. “Als het niet is genezen, en de procureur-generaal weigert te vervolgen, dan kunnen ze een class action suit te brengen,” Farber zegt. “En het gaat niet alleen om breuken.”

bijvoorbeeld, de wet bepaalt dat bedrijven een duidelijk zichtbare voettekst op websites moeten hebben die consumenten de mogelijkheid biedt om af te zien van het delen van gegevens. Als die voettekst ontbreekt, kunnen consumenten een proces aanspannen., Ze kunnen ook aanklagen als ze niet kunnen achterhalen hoe hun informatie is verzameld of kopieën van die informatie te krijgen. “Het kan overal zijn,” zegt Farber.

de wet kent specifieke sancties toe indien ongeautoriseerde toegang plaatsvindt, hetzij door een inbreuk, exfiltratie, diefstal, of “openbaarmaking als gevolg van de schending van de verplichting van het bedrijf om redelijke beveiligingsprocedures en-praktijken te implementeren en te handhaven”, zoals momenteel geschreven staat AB 375 toe voor boetes van $100 tot $750 per consument per incident, of werkelijke schade, afhankelijk van wat groter is.,

“voeg alle andere inbreukgerelateerde kosten toe — It-respons, forensics en recovery, legal, notification, enzovoort — en dit kan een inbreuk in het domein van een existentiële bedreiging voor veel bedrijven duwen,” zegt Chris Prevost, hoofd Runtime security solutions architecture bij Imperva.

in het algemeen, als een bedrijf de nodige stappen heeft ondernomen om te voldoen aan de GDPR, dan is het het grootste deel van de weg die er is voor de California Consumer Privacy Act. Tenminste, het is dichterbij dan als het niet klaar is voor GDPR, zegt Eric Dieterich, data privacy Practice leader bij Focal Point Data Risk, LLC., “Sommige multinationals maakten veranderingen voor hun Europese markten, maar misschien niet uit te rollen naar de Amerikaanse activiteiten, dus er kan een scoping verandering,” zegt hij.

welke gegevens vallen onder de CCPA?

de Californische wet hanteert een bredere benadering van wat gevoelige gegevens zijn dan de GDPR. Bijvoorbeeld, olfactorische informatie wordt gedekt, evenals browsegeschiedenis en records van interacties van een bezoeker met een website of applicatie.,ometric informatie

  • Internet of andere elektronische netwerk activiteit van informatie, waaronder, maar niet beperkt tot, de browsergeschiedenis, zoekgeschiedenis en de informatie over de consument de interactie met een website, applicatie of reclame
  • Geolocatie data
  • Audio -, elektronische, optische, thermische, olfactorische of soortgelijke informatie
  • Professionele of werk-gerelateerde informatie
  • Onderwijs informatie, gedefinieerd als informatie die niet openbaar beschikbaar is persoonlijk identificeerbare informatie (PII), zoals gedefinieerd in de Family Educational Rights and Privacy Act (20 U.,S. C. section 1232g, 34 C. F. R. Part 99)
  • gevolgtrekkingen uit een van de in deze onderverdeling geïdentificeerde informatie om een profiel over een consument te creëren dat de voorkeuren, kenmerken, psychologische trends, Voorkeuren, predisposities, gedrag, attitudes, intelligentie, vaardigheden en vaardigheden van de consument weergeeft

    • een amendement, AB 874, dat momenteel in afwachting is van de handtekening van de gouverneur, zou openbare, geà dentificeerde en geaggregeerde consumenteninformatie vrijstellen van classificatie als PII., Openbaar beschikbare informatie wordt gedefinieerd als gegevens die beschikbaar zijn en worden bijgehouden uit overheidsdossiers.

    De CCPA had oorspronkelijk betrekking op werknemers-en consumentengegevens. Een amendement dat in April is aangenomen, stelt echter gegevens van werknemers vrij van de verordening. Een ander amendement, AB 25, stelt persoonlijke informatie die wordt verzameld van sollicitanten, eigenaren, directeuren, functionarissen, medisch personeel en aannemers gedeeltelijk vrij. Deze vrijstelling zou op 1 januari 2021 aflopen. AB 25 wachtte op de handtekening van de gouverneur bij dit schrijven.

    Wat zijn de belangrijkste privacybepalingen in de CCPA?,

    bedrijven moeten consumenten toestaan ervoor te kiezen hun gegevens niet met derden te delen. Dat betekent dat bedrijven nu in staat zullen moeten zijn om de gegevens die ze verzamelen te scheiden op basis van de privacy keuzes van de gebruikers.

    bovendien kan een bedrijf gebruikers geen gelijke dienst weigeren, maar kan het wel stimulansen bieden aan gebruikers die persoonlijke informatie verstrekken. “Deze bepaling kan worden gewijzigd, maar zoals vandaag vermeld, het geeft u de mogelijkheid om kortingen te bieden aan mensen die bereid zijn om hun gegevens gedeeld of verkocht aan derden,” zegt Dieterich., “Traditioneel, systemen zijn niet zo ontworpen dat uw prijsstructuur kan veranderen, afhankelijk van uw privacy keuzes. Dat is een nieuw concept met zeer technische implicaties.”

    een ander groot verschil met de GDPR is dat de Californische wet klanten veel meer toegang geeft tot hun records, zegt Subra Ramesh, SVP van producten bij Dataguise. Een Californische consument heeft het recht om uit te vinden welke informatie een bedrijf verzamelt over hen. De meeste bedrijven zullen moeite hebben om die informatie bij elkaar te krijgen., “Ten eerste, de hoeveelheid gegevens die ze verzamelen is al enorm en blijft groeien, vaak in de honderden tot duizenden terabytes, en met enterprise-level organisaties verwerking van petabytes aan gegevens,” zegt hij.

    die gegevens zijn opgeslagen in meerdere opslagplatforms, in verschillende bestandstijden. “De meeste bestanden zoeken tools missen de mogelijkheid om te zoeken in de moderne bestanden repository ecosystemen zo wijdverspreid vandaag,” zegt Aaron Ganek, CEO van Cloudtenna. “Cross-silo file management is een grote uitdaging., Het is moeilijk om de context voor elk bestand te begrijpen als ze verspreid zijn in verschillende repositories.”Bovendien worden complianceproblemen geassocieerd met het samenbrengen van gegevens, zegt hij. “Legacy enterprise tools worstelen om de ongelijksoortige machtigingen en beveiligingsmodellen te observeren, het schenden van de wetten en voorschriften die ze worden gebruikt om te voldoen.”

    dan is er de tijdslimiet., “Na het verzoek om toegang heeft een bedrijf 45 dagen om hen een uitgebreid rapport te verstrekken over het soort informatie dat ze hebben, is het verkocht, en aan wie, en als het is verkocht aan derden in de afgelopen 12 maanden, moet het de namen en adressen van de derden de gegevens worden verkocht aan,” zegt John Tsopanis, privacy product manager bij 1touch.io dat kun je in Europa niet doen.”

    aangezien de regel betrekking heeft op de voorafgaande 12 maanden van records, moeten bedrijven beginnen met het voldoen aan zes maanden vanaf nu, zegt hij., Dan, op 1 januari 2020, elk bedrijf moet elk ander bedrijf ze verkopen gegevens aan te geven. “Het zal het privacylandschap in Amerika voor altijd veranderen”, zegt Tsopanis.

    wat betekent de CCPA voor beveiliging?

    AB 375 is licht op de eisen rond beveiliging en inbreuk reactie in vergelijking met de GDPR. Zoals eerder vermeld, de wet definieert sancties voor bedrijven die consumentengegevens bloot te stellen als gevolg van een inbreuk of beveiliging vervallen. Het staat rechtbanken ook toe om “voorlopige of declaratoire maatregelen” aan te bieden, of “elke andere maatregel die de rechtbank gepast acht.,”

    bedrijven zijn niet verplicht inbreuken op AB 375 te melden en consumenten moeten klachten indienen voordat boetes mogelijk zijn. De beste manier van handelen voor beveiliging is dan om te weten wat Data AB 375 definieert als private data en stappen te ondernemen om deze te beveiligen. Ook hier hoeft een organisatie die voldoet aan de AVG waarschijnlijk geen verdere actie te ondernemen om te voldoen aan AB 375 op het gebied van beveiliging van gegevens.,

    de AB 375-vereisten rond het volgen, benaderen en opslaan van gegevens betekenen dat beveiligingsteams nauw moeten samenwerken met databasebeheerders, zegt Terry Ray, senior vice president en fellow bij Imperva, een cybersecurity-leverancier. Alle tools die worden geselecteerd om met AB 375 om te gaan, moeten niet alleen volledig inzicht hebben in de gegevens die zijn opgeslagen in de gehele heterogene bedrijfsomgeving, maar er ook voor zorgen dat de toegang tot deze gegevens goed wordt beveiligd., “Tot slot zullen ze deze tools nodig hebben om samen te werken met het nieuwe consumentenportaal door specifieke consumentengegevens te delen met de verifieerbare consument die erom vraagt”, zegt hij.

    als de gegevens bij cloudproviders worden opgeslagen, wordt het probleem alleen maar erger. Medewerkers kunnen bijvoorbeeld een file-sharing account instellen om marketing-of verkoopcontacten bij te houden. “Het is niet verwonderlijk dat de grote tech bedrijven zoals Google en Facebook tegen het wetsvoorstel,” zegt Kevin Bocek, VP van security strategy and threat intelligence bij Venafi., “Het beheersen van de privacy en persoonlijke informatie die tussen machines stroomt is ongelooflijk moeilijk, en een grote uitdaging voor alle bedrijven.”

    a work in progress

    Het wetsvoorstel werd in slechts zeven dagen samengesteld omdat wetgevers een initiatief wilden vermijden om een nog strengere wet aan te nemen die door veel tech-bedrijven werd tegengewerkt. “Op dit moment zijn veel Bepalingen en definities met elkaar in strijd”, zegt Andy Dale, general counsel en VP global privacy bij SessionM.,

    een probleem is of een bedrijf consumenten verschillende prijzen kan aanrekenen op basis van hun privacyinstellingen. Bijvoorbeeld, veel bedrijven hebben een optie waar een consument kan upgraden naar een betaalde tier waar ze geen advertenties te zien. Hier is de wet zoals die momenteel is geschreven een beetje tegenstrijdig.

    “als de consument zijn rechten uit hoofde van de verordening uitoefent, kunnen bedrijven de consument geen ander niveau of andere kwaliteit van producten, goederen of diensten aanbieden”, zegt Pravin Kothari, CEO van CipherCloud., “Anderzijds is het ondernemingen volgens de verordening niet verboden een consument een andere prijs of tarief aan te rekenen of een ander niveau of kwaliteit van goederen of diensten aan de consument te leveren, indien dat verschil redelijkerwijs verband houdt met de waarde die de consument door de gegevens van de consument wordt verstrekt.”

    Het lijkt erop dat Californië een raamwerk probeert te definiëren waar consumenten betaald kunnen worden voor het delen van hun gegevens, zegt Kothari. “Op dit gebied is de wetgeving een beetje visionair”, zegt hij. “We zullen in de praktijk zien hoe dit uitpakt.,”

    meer over CCPA:

    • 9 CCPA-vragen elke CISO moet bereid zijn om
    • te beantwoorden de CCPA is een kans om uw gegevensbeveiliging op orde te krijgen
    • Wat is “redelijke beveiliging”? En hoe aan de eis te voldoen
    • serieus worden over de bescherming van consumentengegevens
    • Hoe de eigendom van gegevens door burgers van invloed is op de toekomst van het bedrijfsleven

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *