תוכן עניינים:
בארצות הברית ישנם חוקים שונים בנושא הפרות נתונים על פדרליות ומדינות, אף שאין חוק פדרלי מקיף. במאי 2011 הגיש ממשל אובמה בפני הקונגרס הצעה מקיפה לאבטחת סייבר הכוללת דרישת הודעה על הפרת נתונים. זה יכול לשפר במידה ניכרת את אבטחת הסייבר, אך נכון לינואר 2012, לא התקבלו שום חקיקה בנושא התראה על הפרות נתונים פדרליות. כאן אנו מסתכלים על אבטחת מידע ועל החקיקה שמתקבלת לטיפול בפרצות. (לקריאת רקע ראו העקרונות הבסיסיים של אבטחת IT.)
עריכת תיק פדרלי
ברמה הפדרלית בארה"ב ישנם חוקים והנחיות המחייבים התראה על הפרת מידע על סוגים ספציפיים: חוק הניידות וחבות האחריות (HIPAA) וחוק טכנולוגיית המידע לבריאות כלכלית וקלינית (HITECH) למידע על שירותי בריאות, חוק Gramm-Leach-Bliley למידע פיננסי והנחיות משרד הניהול והתקצוב (OMB) למידע אישי המוחזק על ידי סוכנויות פדרליות.
על פי חוק HITECH, ספקי שירותי הבריאות המכוסים ב- HIPAA חייבים להודיע למטופלים "מייד" כאשר הופר מידע הבריאותי שלהם. יש ליידע את מחלקת שירותי הבריאות והשירותים האנושיים (HHS) ואת התקשורת במקרים בהם הפרות פוגעות ביותר מ- 500 אנשים. לספקים של מידע בריאותי אישי יש דרישות להתראות דומות על הפרות, אך עליהם ליידע את נציבות הסחר הפדרלית, ולא HHS.
על פי הנחיות שהוצאו על ידי הרגולטורים בבנקאות הפדרלית במסגרת חוק Gramm-Leach-Bliley, כאשר בנק או מוסד פיננסי אחר מתוודעים להפרת נתונים, עליו לבצע בדיקה בכדי לקבוע את הסבירות שהמידע עבר שימוש או ישמש לרעה. אם הבנק קבע כי שימוש לרעה התרחש או אפשרי באופן סביר, עליו להודיע ללקוחות המושפעים בהקדם האפשרי.
הודעה של לקוחות עשויה להתעכב אם אכיפת החוק תקבע כי הודעה תפריע לחקירה פלילית ותעביר לבנק בקשה בכתב לעיכוב. על הבנק להודיע ללקוחותיו ברגע שההודעה כבר לא תפריע לחקירה. עם זאת, לא ניתן לעכב את ההודעה בגלל מבוכה או אי נוחות לבנק.
על פי הנחיות ה- OMB, סוכנויות פדרליות נדרשות לדווח על כל הפרות הנתונים הכרוכות במידע המאפשר זיהוי אישי תוך שעה מרגע גילוי / גילוי. עם זאת, לסוכנויות שיקול דעת על דיווח על הפרות נתונים מחוץ לסוכנות. הם יכולים לעכב הודעה בנוגע לאכיפת החוק, ביטחון לאומי או סוכנות.
קליפורניה חולמת
ברמה הממלכתית יש טלאים של 46 חוקים ממלכתיים (ומחוז קולומביה) בנושא התראה על הפרת נתונים. קליפורניה חוקקה את חוק ההודעות הראשון על הפרות נתונים בשנת 2002, והיא שימשה כמודל לחוקים רבים אחרים במדינה.
על פי החוק בקליפורניה, על חברות לגלות הפרת נתונים ללקוחות "בהקדם האפשרי, ללא עיכוב בלתי סביר" בכתב. אם האדם או העסק שיודע יכול להדגים כי הודעה תעלה יותר מ- 250, 000 $ או תשפיע על יותר מ- 500, 000 אנשים, ניתן להשתמש בהודעה תחליף בצורת פרסום באתר והודעה לתקשורת מרכזית גדולה במדינה. החוק פוטר מהודעה כל הפרת נתונים בה הוצפן המידע האישי.
עם זאת, קליפורניה, שלא כמו מדינות רבות אחרות, אינה כוללת עונשים בגין אי הודעתם של הצרכנים מייד על הפרת נתונים. הוועידה הארצית לחקיקת המדינה מחזיקה רשימה של חוקים בנושא הפרת נתונים על מדינות וקישורים לחוקים אלה.
אירופה או חזה
באירופה האיחוד האירופי אישר דרישת הודעה על הפרת נתונים בתיקון לשנת 2009 להוראת הפרטיות האלקטרונית שלו. המדינות החברות באיחוד האירופי היו צריכות עד 25 במאי 2011 ליישם את התיקון בחוק הלאום.
התיקון מחייב את "ספקי שירותי התקשורת האלקטרוניים הזמינים לציבור" להודיע לרשויות הלאומיות על הפרת מידע אישי שעלול לגרום לאובדן כלכלי משמעותי ולפגיעה חברתית בלקוחות "ברגע שהם" מודעים להפרה. כמו כן, יש להודיע ללקוחות המושפעים על ההפרה "ללא דיחוי." על ההודעה לכלול מידע על צעדים שננקטים על ידי החברה, כמו גם פעולות מומלצות עבור הלקוחות המושפעים.
שינויים בהנחיית האיחוד האירופי להגנת המידע צפויים בשנת 2012, כולל דרישה כי כל החברות, ולא רק ספקי שירותי תקשורת אלקטרוניים, יודיעו לרשויות הלאומיות והלקוחות שהושפעו תוך 24 שעות מהפרת המידע האישי.
לחוק ההגנה על נתונים בבריטניה, שקודם להנחיית הפרטיות האלקטרונית של האיחוד האירופי, יש קבוצה מקיפה של דרישות לחברות להגנה על נתונים, אם כי אין בהן דרישת התראה על הפרת נתונים.
משרד נציבות המידע בבריטניה (ICO), האחראי על ביצוע המעשה, אמר כי על חברות לדווח על הפרות נתונים חמורות, המוגדרות כהפרות העלולות לגרום נזק פוטנציאלי לאנשים, למס הכנסה. הסוכנות אמרה כי היא תצפה מחברות בבריטניה להודיע לה על הפרות של מידע אישי שאינו מוצפן על 1, 000 אנשים או יותר. ב- ICO נמסר כי אין באחריותה ליידע את הצרכנים המושפעים, אך היא עשויה להמליץ לחברה לפרסם את ההפרה לציבור "במקום שברור שהיא האינטרס של האנשים הנוגעים בדבר או שיש טיעון אינטרס ציבורי חזק לעשות זאת."
הפרות נתונים ודיווח
בתגובה להפרות נתונים מתוקשרות ולחץ ציבורי, מחוקקים ורגולטורים אמריקאים ואירופאים שוקלים דרישות שכל החברות ידווחו על הפרות נתונים לרשויות הלאומיות והצרכנים שנפגעו. עם זאת, החל מינואר 2012, אף אחד מאותם מאמצים לא הביא לחוקי התקנות להפרות מידע מקיפה על הפרות בארצות הברית או באיחוד האירופי.