Innehållsförteckning:
I USA finns det olika lagar om anmälan om anmälan av federala och statliga uppgifter, även om det inte finns någon omfattande federal lag. I maj 2011 lade Obama-administrationen fram ett omfattande cybersecurity-förslag till kongressen som innehåller ett krav på anmälan om federalt dataöverträdelse. Detta skulle kunna förbättra cybersäkerheten kraftigt, men från och med januari 2012 hade ingen lagstiftning om anmälan om dataöverträdelse antagits. Här tittar vi på datasäkerhet och lagstiftningen som införs för att hantera överträdelser. (För bakgrundsläsning, se De grundläggande principerna för IT-säkerhet.)
Att göra ett federalt mål
På den amerikanska federala nivån finns det lagar och riktlinjer som kräver anmälan om överträdelser för specifika typer av uppgifter: lagen om hälsoförsäkring och ansvarlighet (HIPAA) och lagen om hälsoinformationsteknik för ekonomisk och klinisk hälsa (HITECH) för information om hälsovård, Gramm-Leach-Bliley Act för finansiell information, och Office of Management and Budget (OMB) vägledning för personlig information som innehas av federala myndigheter.
Enligt HITECH-lagen måste leverantörer av hälsovårdstjänster som omfattas av HIPAA meddela patienterna "omedelbart" när deras hälsoinformation har åsidosatts. Institutionen för hälsa och mänskliga tjänster (HHS) och media måste meddelas i fall där överträdelser berör mer än 500 individer. Leverantörer av personlig hälsoupplysning har liknande krav på anmälan om brott, men måste informera Federal Trade Commission, snarare än HHS.
Enligt vägledning som utfärdats av federala banktillsynsmyndigheter enligt Gramm-Leach-Bliley Act, när en bank eller annan finansiell institution blir medveten om ett dataintrång, bör den genomföra en utredning för att fastställa sannolikheten för att informationen har använts eller kommer att missbrukas. Om banken fastställer att missbruk har inträffat eller är rimligt möjligt bör den meddela de drabbade kunderna så snart som möjligt.
Kundmeddelande kan försenas om brottsbekämpning fastställer att anmälan kommer att störa en brottsutredning och ger banken en skriftlig begäran om förseningen. Banken ska meddela sina kunder så snart anmälan inte längre kommer att störa utredningen. Meddelanden kan dock inte försenas på grund av förlägenhet eller besvär för banken.
Enligt OMBs vägledning är federala myndigheter skyldiga att rapportera alla dataöverträdelser som involverar personlig identifierbar information inom en timme efter upptäckt / upptäckt. Emellertid har myndigheter diskretion när det gäller rapportering av dataöverträdelser utanför byrån. De kan försena anmälan för brottsbekämpning, nationell säkerhet eller byråbehov.
Kalifornien drömmer
På statsnivå finns det ett lapptäcke av 46 statliga lagar (och District of Columbia) om anmälan om dataöverträdelse. Kalifornien antog den första lagen om anmälan om dataöverträdelse 2002 och den har använts som en modell för många andra statliga lagar.
Enligt lagen i Kalifornien måste företag avslöja ett dataöverträdelse till kunder "så snart som möjligt utan orimlig försening" skriftligen. Om den anmälande personen eller företaget kan visa att anmälan skulle kosta mer än $ 250 000 eller påverka mer än 500 000 personer, kan ett ersättningsmeddelande i form av en webbplatsuppläggning och anmälan till stora statliga medier användas. I stadgan undantas från anmälan alla dataöverträdelser där den personliga informationen var krypterad.
Till skillnad från många andra stater inkluderar Kalifornien emellertid inte påföljder för underlåtenhet att snabbt meddela konsumenterna om ett dataintrång. National Conference of State Legislatures upprätthåller en lista över lagar om anmälan om statlig information och länkar till dessa lagar.
Europa eller byst
I Europa godkände Europeiska unionen ett krav på anmälan om dataintrång i en ändring från 2009 till sitt direktiv om e-sekretess. Europeiska unionens medlemsländer hade fram till 25 maj 2011 att genomföra ändringen i nationell lagstiftning.
Ändringen kräver att "leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster" meddelar de nationella myndigheterna om ett brott mot personlig information som kan leda till betydande ekonomisk förlust och social skada för kunderna så snart "de blir medvetna om överträdelsen. De berörda kunderna bör också informeras om överträdelsen "utan dröjsmål." Meddelandet ska innehålla information om företagets åtgärder, samt rekommenderade åtgärder för de drabbade kunderna.
Ändringar av EU: s dataskyddsdirektiv förväntas under 2012, inklusive krav på att alla företag, inte bara leverantörer av elektroniska kommunikationstjänster, meddelar nationella myndigheter och berörda kunder inom 24 timmar efter överträdelse av personlig information.
Den brittiska lagen om dataskydd, som föregår EU: s direktiv om e-integritet, har en omfattande uppsättning krav för företag att skydda uppgifter, även om de inte innehåller ett krav på anmälan om uppgifter.
Det brittiska informationskommissariatets kontor (ICO), som ansvarar för genomförandet av lagen, har sagt att företag bör rapportera allvarliga dataöverträdelser, definierade som överträdelser som kan orsaka potentiell skada för individer, till ICO. Byrån sade att den skulle förvänta sig brittiska företag att underrätta den om brott mot okrypterad personlig information på 1 000 eller fler individer. ICO sade att det inte är dess ansvar att informera berörda konsumenter, men det kan rekommendera att företaget offentliggör överträdelsen "där det är tydligt i de berörda individernas intresse eller det finns ett starkt argument för allmänintresse att göra det."
Dataöverträdelser och rapportering
Som svar på mycket publicerade dataöverträdelser och offentligt press överväger amerikanska och europeiska lagstiftare och tillsynsmyndigheter krav på att alla företag rapporterar dataöverträdelser till nationella myndigheter och berörda konsumenter. Från och med januari 2012 hade emellertid inget av dessa ansträngningar resulterat i omfattande lagar och förordningar för anmälan av uppgifter om varken USA eller Europeiska unionen.
