Als Frank Sinatra und Jay-Z beide sangen: „Wenn ich es hier schaffe, dann schaffe ich es überall.“ Dieser Text gilt insbesondere für Unternehmen, die private Daten von Einwohnern des Staates New York verarbeiten.
Die Gesetz zum Stoppen von Hacks und Verbessern der elektronischen Datensicherheit („SHIELD“) – verabschiedet im Juli 2019 – erweitert den Geltungsbereich des Gesetzes zur Meldung von Datenschutzverletzungen im Bundesstaat New York um:
- Eine erweiterte Definition dessen, was als „persönliche Informationen“ gilt
- Neue verbindliche Maßnahmen zur angemessenen schützen diese Daten
- Eine extraterritoriale Dimension
In einem Staat mit über 20 Millionen Einwohnern gilt das Gesetz nun für alle Personen und Unternehmen, die Informationen eines Einwohners von New York verarbeiten, unabhängig davon, ob die jeweilige Organisation tatsächlich in New York geschäftlich tätig ist.
Das New Yorker Gesetz zur Datenverletzung umfasste ursprünglich Personenbezogene Daten als „alle Informationen über eine natürliche Person, die aufgrund von Name, Nummer, Personenkennzeichen oder anderen Kennungen zur Identifizierung dieser natürlichen Person verwendet werden können.“
Der SHIELD Act hat die Definition dessen, was als „private Informationen“ gilt, effektiv erweitert: einschließlich Datenelementen wie Sozialversicherungsnummer; Führerscheinnummer oder Personalausweis; biometrische Informationen; Kontonummer; Kredit- oder Debitkartennummer in Kombination mit einem Sicherheits- oder Passcode.
Einen völlig neuen Anfang machen (zum Schutz der Daten)
Wie können Unternehmen die Bestimmungen des NY Shield Act einhalten? Sie benötigen Einblick in die Daten, die gemäß den neuen Anforderungen geschützt werden müssen, und die Fähigkeit, diese Daten zu bestimmen. wessen Es handelt sich um Daten. Darüber hinaus müssen die betroffenen Organisationen zwischen Mitarbeitern und Kunden unterscheiden können, nicht zuletzt, weil die Organisationen für beide unterschiedliche Datentypen speichern.
Der erste Schritt in diesem Prozess ist Wissen Ihre DatenOhne zu wissen, wessen Daten betroffen sind, ist die Umsetzung des Benachrichtigungsprozesses bei Datenschutzverletzungen – selbst bei unbefugtem Zugriff – eine gewaltige Herausforderung.
Die Fähigkeit, die Datenbestände einer Organisation genau zu inventarisieren – und die erweiterte Definition dessen, was personenbezogene Daten sind, in den Kontext zu stellen – ist von grundlegender Bedeutung, um festzulegen, welche Kontrollen implementiert und aufrechterhalten werden müssen, um die Auswirkungen eines Datenschutzverstoßes zu minimieren.
Sicherheit Bitte!
Der nächste Schritt zur Durchsetzung des SHIELD Act ist nun erfolgt – die Bestimmung zu den „angemessenen Sicherheitsanforderungen“ ist in Kraft getreten: Unternehmen, die personenbezogene Daten von Einwohnern New Yorks verarbeiten, müssen nun gesetzlich verpflichtet sein, angemessene Sicherheitsvorkehrungen zu entwickeln, umzusetzen und aufrechtzuerhalten, um die Sicherheit, Vertraulichkeit und Integrität dieser Daten zu schützen.
Die neuen angemessenen Sicherheitsanforderungen gemäß Abschnitt 899-bb des Allgemeinen Wirtschaftsgesetzes umfassen administrative, technische und physische Schutzmaßnahmen: Dazu gehören verbindliche Maßnahmen wie die Durchführung von Risikobewertungen, Schulungen für Mitarbeiter, die sorgfältige Prüfung von Lieferantenverträgen und die rechtzeitige Datenlöschung.
Die Nichteinhaltung dieser Anforderungen kann zu zivilrechtlichen Strafen von bis zu 145.000 TP5 für jeden Verstoß des Unternehmens und einzelner Mitarbeiter führen. Sollten diese Verstöße zu einem Datensicherheitsvorfall führen, können die Geldstrafen erheblich sein.
Acht Millionen Geschichten da draußen (und ihre persönlichen Daten)
Finanzorganisationen, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen, und Gesundheitsorganisationen, die dem Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) möglicherweise bereits vorbereitet, da diese Bundesgesetze Sicherheits- und Datenschutzbestimmungen enthalten Umgang mit personenbezogenen Daten. Allerdings müssen diese Organisationen weiterhin Rechenschaft über die Daten gemäß der erweiterten Definition personenbezogener Daten des SHIELD Act ablegen.
Alle anderen – also die vielen (vielen) Unternehmen, die in den Geltungsbereich des SHIELD Act fallen – müssen ihre Sicherheitslage und die Verwaltung ihrer Datenbestände überdenken.
Hier kommt BigID ins SpielDas Verständnis der erweiterten Definition personenbezogener Daten im Sinne des Gesetzes ist entscheidend, um sicherzustellen, dass geeignete Maßnahmen zum Schutz der Daten ergriffen werden. Organisationen müssen in der Lage sein:
- bestimmen WHO ist Einwohner des Staates New York;
- automatisieren ihr Wissen über wobei die Daten der Einwohner des Staates New York gespeichert werden; und
- genau bestimmen, wie Identifikatoren wie Kontonummer, Passwörter und biometrische Daten betreffen an diese Person.
BigID automatisiert die Erstellung eines Inventars personenbezogener Daten mithilfe von Machine-Learning-Verfahren. Diese Verfahren ermitteln den Speicherort, klassifizieren Identifikatoren präzise und stellen deren Zuordnung zu Personen her. Darüber hinaus ermöglicht die Inventarisierung personenbezogener Daten im Falle eines Vorfalls eine effizientere Benachrichtigung, da BigID Einblick in den Speicherort der Daten, die Eigentümer und die auf potenziell gefährdeten Datenquellen gespeicherten Identifikatoren bietet.
Letztlich liegt es an allen Organisationen, ihre Datenbestände schützen und sichernUnd für jeden, der ausdrücklich unter den SHIELD Act fällt, gilt, wie Taylor Swift weise sang: „Willkommen in New York."
Autor
