Als Frank Sinatra und Jay-Z beide sangen: „Wenn ich es hier schaffe, dann schaffe ich es überall.“ Dieser Text gilt insbesondere für Unternehmen, die private Daten von Einwohnern des Staates New York verarbeiten.
Die Gesetz zum Stoppen von Hacks und Verbessern der elektronischen Datensicherheit („SHIELD“) – verabschiedet im Juli 2019 – erweitert den Geltungsbereich des Gesetzes zur Meldung von Datenschutzverletzungen im Bundesstaat New York um:
- Eine erweiterte Definition dessen, was als „persönliche Informationen“ gilt
- Neue verbindliche Maßnahmen zur angemessenen schützen diese Daten
- Eine extraterritoriale Dimension
In einem Staat mit über 20 Millionen Einwohnern gilt das Gesetz nun für alle Personen und Unternehmen, die Informationen eines Einwohners von New York verarbeiten, unabhängig davon, ob die jeweilige Organisation tatsächlich in New York geschäftlich tätig ist.
Das New Yorker Gesetz zur Datenverletzung umfasste ursprünglich Personenbezogene Daten als „alle Informationen über eine natürliche Person, die aufgrund von Name, Nummer, Personenkennzeichen oder anderen Kennungen zur Identifizierung dieser natürlichen Person verwendet werden können.“
Der SHIELD Act hat die Definition dessen, was als „private Informationen“ gilt, effektiv erweitert: einschließlich Datenelementen wie Sozialversicherungsnummer; Führerscheinnummer oder Personalausweis; biometrische Informationen; Kontonummer; Kredit- oder Debitkartennummer in Kombination mit einem Sicherheits- oder Passcode.
Einen völlig neuen Anfang machen (zum Schutz der Daten)
Wie können Organisationen Erreichen Sie die Einhaltung des NY Shield ActSie benötigen Einblick in die Daten, die gemäß den neuen Anforderungen geschützt werden müssen – und die Möglichkeit, bestimmen wessen Daten ist es. Darüber hinaus müssen die betroffenen Organisationen in der Lage sein, zwischen Mitarbeitern und Kunden zu unterscheiden, nicht zuletzt, weil die Organisationen für beide unterschiedliche Arten von Daten speichern.
Der erste Schritt in diesem Prozess ist Wissen Ihre DatenOhne zu wissen, wessen Daten betroffen sind, ist die Umsetzung des Benachrichtigungsprozesses bei Datenschutzverletzungen – selbst bei unbefugtem Zugriff – eine gewaltige Herausforderung.
Die Fähigkeit, die Datenbestände einer Organisation genau zu inventarisieren – und die erweiterte Definition dessen, was personenbezogene Daten sind, in den Kontext zu stellen – ist von grundlegender Bedeutung, um festzulegen, welche Kontrollen implementiert und aufrechterhalten werden müssen, um die Auswirkungen eines Datenschutzverstoßes zu minimieren.
Sicherheit Bitte!
Der nächste Schritt zur Durchsetzung des SHIELD Act ist nun erfolgt – die Bestimmung zu den „angemessenen Sicherheitsanforderungen“ ist in Kraft getreten: Unternehmen, die personenbezogene Daten von Einwohnern New Yorks verarbeiten, müssen nun gesetzlich verpflichtet sein, angemessene Sicherheitsvorkehrungen zu entwickeln, umzusetzen und aufrechtzuerhalten, um die Sicherheit, Vertraulichkeit und Integrität dieser Daten zu schützen.
Die neuen angemessenen Sicherheitsanforderungen gemäß Abschnitt 899-bb des Allgemeinen Wirtschaftsgesetzes umfassen administrative, technische und physische Schutzmaßnahmen: Dazu gehören verbindliche Maßnahmen wie die Durchführung von Risikobewertungen, Schulungen für Mitarbeiter, die sorgfältige Prüfung von Lieferantenverträgen und die rechtzeitige Datenlöschung.
Die Nichteinhaltung dieser Anforderungen kann zu zivilrechtlichen Strafen von bis zu 145.000 TP5 für jeden Verstoß des Unternehmens und einzelner Mitarbeiter führen. Sollten diese Verstöße zu einem Datensicherheitsvorfall führen, können die Geldstrafen erheblich sein.
Acht Millionen Geschichten da draußen (und ihre persönlichen Daten)
Finanzorganisationen, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen, und Gesundheitsorganisationen, die dem Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) möglicherweise bereits vorbereitet, da diese Bundesgesetze Sicherheits- und Datenschutzbestimmungen enthalten Umgang mit personenbezogenen Daten. Allerdings müssen diese Organisationen weiterhin Rechenschaft über die Daten gemäß der erweiterten Definition personenbezogener Daten des SHIELD Act ablegen.
Alle anderen – also die vielen (vielen) Unternehmen, die in den Geltungsbereich des SHIELD Act fallen – müssen ihre Sicherheitslage und die Verwaltung ihrer Datenbestände überdenken.
Hier kommt BigID ins SpielDas Verständnis der erweiterten Definition personenbezogener Daten im Sinne des Gesetzes ist entscheidend, um sicherzustellen, dass geeignete Maßnahmen zum Schutz der Daten ergriffen werden. Organisationen müssen in der Lage sein:
- bestimmen WHO ist Einwohner des Staates New York;
- automatisieren ihr Wissen über wobei die Daten der Einwohner des Staates New York gespeichert werden; und
- genau bestimmen, wie Identifikatoren wie Kontonummer, Passwörter und biometrische Daten betreffen zu dieser Person.
BigID wurde entwickelt, um den Prozess der Erstellung eines Inventars persönlicher Informationen zu automatisieren, indem Techniken des maschinellen Lernens Damit lässt sich der Speicherort bestimmen, Kennungen präzise klassifizieren und feststellen, wie diese Kennungen mit Einzelpersonen korreliert sind. Darüber hinaus kann die Inventarisierung personenbezogener Daten im Falle eines Vorfalls einen optimierten Meldeprozess bei Datenschutzverletzungen ermöglichen, da BigID Einblicke darüber erhält, wo sich die Daten befinden, wem sie gehören und welche Kennungen in einer Datenquelle gespeichert sind, die Ziel eines unbefugten Zugriffs sein könnte.
Letztlich liegt es an allen Organisationen, ihre Datenbestände schützen und sichernUnd für jeden, der ausdrücklich unter den SHIELD Act fällt, gilt, wie Taylor Swift weise sang: „Willkommen in New York."
Autor
