Indholdsfortegnelse:
I USA er der forskellige føderale og statslige overtrædelseslovgivningslovgivning, selvom der ikke er nogen omfattende føderal lov. I maj 2011 forelagde Obama-administrationen et omfattende cybersecurity-forslag til kongressen, der indeholder et krav om anmeldelse af føderale dataovertrædelser. Dette kunne i høj grad forbedre cybersikkerheden, men fra januar 2012 var der ikke vedtaget nogen føderal lovgivning om anmeldelse af anmeldelse af data. Her ser vi på datasikkerhed og lovgivningen, der er ved at blive indrettet til at tackle overtrædelser. (For baggrundslæsning, se De grundlæggende principper for IT-sikkerhed.)
At lave en føderal sag
På det amerikanske føderale niveau er der love og retningslinjer, der kræver anmeldelse af overtrædelse for specifikke typer data: loven om sundhedsforsikring og ansvarlighed (HIPAA) og loven om sundhedsinformationsteknologi for økonomisk og klinisk sundhed (HITECH) til information om sundhedsydelser, Gramm-Leach-Bliley Act for finansiel information og Office of Management and Budget (OMB) vejledning til personlige oplysninger, der er i besiddelse af føderale agenturer.
I henhold til HITECH-loven skal udbydere af sundhedsydelser, der er omfattet af HIPAA, underrette patienterne "straks", når deres sundhedsoplysninger er blevet brudt. Department of Health and Human Services (HHS) og medierne skal underrettes i tilfælde, hvor overtrædelser rammer mere end 500 personer. Sælgere af personlige sundhedsoplysninger har lignende krav om anmeldelse af overtrædelser, men skal underrette Federal Trade Commission snarere end HHS.
I henhold til vejledning udstedt af føderale bankregulerende myndigheder i henhold til Gramm-Leach-Bliley Act, skal en bank eller anden finansiel institution blive opmærksom på et dataovertrædelse, bør det foretage en undersøgelse for at bestemme sandsynligheden for, at informationen er blevet eller vil blive misbrugt. Hvis banken bestemmer, at der er foretaget misbrug eller er rimeligt muligt, skal den underrette de berørte kunder så hurtigt som muligt.
Kundemeddelelse kan blive forsinket, hvis retshåndhævelse bestemmer, at anmeldelse vil forstyrre en kriminel efterforskning og giver banken en skriftlig anmodning om forsinkelse. Banken skal underrette sine kunder, så snart anmeldelse ikke længere forstyrrer undersøgelsen. Underretningen kan dog ikke udsættes på grund af forlegenhed eller ulempe for banken.
I henhold til OMB-vejledningen er føderale agenturer forpligtet til at rapportere alle dataovertrædelser, der involverer personligt identificerbare oplysninger inden for en time efter opdagelse / afsløring. Agenturer har imidlertid skønsbeføjelse til rapportering af dataovertrædelser uden for agenturet. De kan forsinke anmeldelse for retshåndhævelse, national sikkerhed eller agenturets behov.
Californien drømmer
På statsniveau er der et lappepapir af 46 statslige love (og District of Columbia) om anmeldelse af dataovertrædelse. Californien vedtog den første lov om anmeldelse af dataovertrædelse i 2002, og den er blevet brugt som en model for mange andre statslige love.
I henhold til Californien-loven skal virksomhederne afsløre en dataovertrædelse til kunderne "så hurtigt som muligt uden urimelig forsinkelse" skriftligt. Hvis den anmeldende person eller virksomhed kan demonstrere, at anmeldelse vil koste mere end $ 250.000 eller påvirke mere end 500.000 mennesker, kunne en erstatningsmeddelelse i form af en webstedsopslag og anmeldelse til større statslige medier anvendes. Statutten fritager for anmeldelse af ethvert brud på data, hvori de personlige oplysninger blev krypteret.
I modsætning til mange andre stater inkluderer Californien dog ikke sanktioner for manglende straks at underrette forbrugerne om en dataforbrud. National Conference of State Legislatures opretholder en liste over lovgivning om anmeldelse af statsdata, der er brudt, og links til disse love.
Europa eller buste
I Europa godkendte Den Europæiske Union et krav om anmeldelse af dataovertrædelse i en ændring fra 2009 til sit direktiv om e-privatliv. Den Europæiske Unions medlemslande havde indtil den 25. maj 2011 til at gennemføre ændringen i national lovgivning.
Ændringen kræver "udbydere af offentligt tilgængelige elektroniske kommunikationstjenester" til at underrette de nationale myndigheder om et brud på personlige oplysninger, der kan resultere i betydeligt økonomisk tab og social skade for kunderne, så snart "de bliver opmærksomme på overtrædelsen. De berørte kunder skal også underrettes om overtrædelsen "uden forsinkelse." Meddelelsen skal indeholde oplysninger om de foranstaltninger, virksomheden træffer, samt anbefalede handlinger for de berørte kunder.
Ændringer i EU's databeskyttelsesdirektiv forventes i 2012, herunder et krav om, at alle virksomheder, ikke kun udbydere af elektroniske kommunikationstjenester, underretter de nationale myndigheder og berørte kunder inden for 24 timer efter et brud på personlige oplysninger.
Den britiske databeskyttelseslov, der går forud for EU's direktiv om e-privatliv, har et omfattende sæt krav for virksomheder til at beskytte data, selvom det ikke indeholder et krav om anmeldelse af data.
Den britiske informationskommissærs kontor (ICO), der er ansvarlig for gennemførelsen af retsakten, har sagt, at virksomhederne skal rapportere alvorlige dataovertrædelser, defineret som overtrædelser, der kan forårsage potentiel skade for enkeltpersoner, til ICO. Agenturet sagde, at det ville forvente, at britiske virksomheder vil underrette det om brud på ukrypterede personlige oplysninger om 1.000 eller flere personer. ICO sagde, at det ikke er dets ansvar at informere berørte forbrugere, men det kan anbefale, at virksomheden offentliggør overtrædelsen, "hvor det klart er i de berørte enkeltpersoner, eller der er et stærkt argument for almen interesse for at gøre det."
Overtrædelse af data og rapportering
Som svar på stærkt offentliggjorte dataovertrædelser og offentligt pres overvejer amerikanske og europæiske lovgivere og tilsynsmyndigheder krav om, at alle virksomheder rapporterer dataforbrud til nationale myndigheder og berørte forbrugere. Fra januar 2012 havde imidlertid ingen af disse bestræbelser resulteret i omfattende lovgivning og forskrifter om anmeldelse af underretning om data i hverken De Forenede Stater eller Den Europæiske Union.
