Gesetze zur Meldung von Datenschutzverletzungen:So erstellen Sie eine selbstbewusste Antwort

Da die Zahl der gemeldeten Datenschutzverletzungen jedes Jahr stetig zunimmt, sind sie so häufig in den Nachrichten, dass es schwierig ist, sie alle auf dem Laufenden zu halten. Im Jahr 2017 erlitt Equifax einen massiven Verstoß, und fast 150 Millionen Kundendatensätze (die fast die Hälfte der US-Bevölkerung darstellen) wurden gestohlen. Im Jahr 2018 erlebte Marriott International eine Sicherheitsverletzung, bei der Hunderte Millionen von Kundendatensätzen – einschließlich personenbezogener Daten, Kreditkartennummern und sogar Reisepassnummern – kompromittiert wurden.

Datenschutzverletzungen betreffen alle Arten von Organisationen – große und kleine, beliebte und wenig bekannte. Während die Sicherheitsverletzungen großer Unternehmen die Schlagzeilen machen, hört man selten von kleineren Unternehmen, die oft angreifbar sind und im Fadenkreuz von Cyberkriminellen landen können. Bei den meisten handelt es sich um eine Art von Hacking, wie Phishing-Angriffe oder Malware, bei der ein Angreifer erfolgreich Zugang zu geschützten oder privaten Informationen erhält.

Gesetze zur Meldung von Datenschutzverletzungen – es ist kompliziert

Was werden Sie tun, wenn in Ihrem Fertigungsunternehmen ein Sicherheitsverstoß auftritt? Sollten Sie sofort die Strafverfolgungsbehörden benachrichtigen? Kunden benachrichtigen? Gibt es sonst noch jemanden zu informieren? Wie lange hast du Zeit?

Die Antworten sind kompliziert. Obwohl es keine umfassenden Bundesgesetze gibt, hat jeder Staat und jedes Territorium sein eigenes Gesetz zur Meldung von Datenschutzverletzungen. Diese Gesetze verlangen von jedem, der einen Verstoß erleidet oder sogar vermutet, Kunden über alles zu informieren, was personenbezogene Daten betrifft. Die Gesetze verlangen auch, die Strafverfolgungsbehörden zu benachrichtigen und spezifische Schritte zu unternehmen, um die Situation zu beheben. Die einzelstaatlichen Gesetze unterscheiden sich jedoch erheblich, wenn es um die Art der erfassten Informationen, den Zeitpunkt der Benachrichtigungen und die Berichtsstandards geht. Wer einhalten muss und was überhaupt personenbezogene Daten sind, ist von Staat zu Staat unterschiedlich. Zusätzlich zur Komplexität ändern sich auch die Anforderungen, da einige Bundesstaaten kürzlich ihre Gesetze aktualisiert haben.

Wie viel Zeit habe ich, um eine Datenschutzverletzung zu melden?

Die meisten Gesetze zur Datenbenachrichtigung verlangen, dass Unternehmen Kunden ohne unangemessene Verzögerung benachrichtigen. Die Dauer variiert je nach Bundesland und Branche. Beim Umgang mit Datenschutzverletzungen haben Hersteller konkurrierende Verantwortlichkeiten – gegenüber ihrem Unternehmen, gegenüber anderen in der Branche, gegenüber Kunden und den Strafverfolgungsbehörden. Es gibt sogar Umstände, in denen die Strafverfolgung einen Verstoß untersucht und dieser vorübergehend verschwiegen werden muss.

Vorbereiten auf Datenschutzverletzungen, bevor sie passieren

Behandeln Sie Pläne zur Benachrichtigung über Datenschutzverletzungen wie jeden anderen Katastrophenplan – warten Sie nicht! Da es keine einheitliche Standardreaktion auf eine Datenschutzverletzung gibt, müssen US-Hersteller die für sie geltenden einzelstaatlichen und bundesstaatlichen Gesetze kennen. Hersteller müssen die Gesetze in allen Staaten beachten, in denen sie geschäftlich tätig sind.

Glücklicherweise gibt es mehrere hervorragende Ressourcen, an die sich Hersteller wenden können, um Klarheit zu schaffen. Mehrere Organisationen fassen staatliche Datenschutzgesetze zusammen, darunter die National Conference of State Legislatures, IT Governance und Perkins Coie.

Um sicherzustellen, dass Ihr produzierendes Unternehmen die Datenschutzgesetze einhält, sollten Sie sich über die aktuellen Vorschriften für Ihr Bundesland und Ihre Branche informieren. Eine Datenschutzverletzung wird immer ein stressiges Ereignis sein. Wenn Sie sich Ihrer Verpflichtungen bewusst sind und einen Plan aufgestellt haben, können Sie den Stress reduzieren – und Ihnen helfen, hohe Geldstrafen zu vermeiden. Hier sind einige Tipps:

• Identifizieren Sie die bundesstaatlichen und branchenspezifischen Gesetze, die für Ihr Unternehmen gelten
• Dokumentieren Sie die Benachrichtigungsanforderungen bei Datenschutzverletzungen, die Ihr Unternehmen betreffen, zusammen mit den Prozessen, um diese Anforderungen im schlimmsten Fall zu erfüllen
• Erstellen Sie eine Richtlinie zu den Benachrichtigungspflichten bei Verstößen, die Ihr Unternehmen betreffen
• Wenn sich Vorschriften überschneiden, verwenden Sie die strengste für die Richtlinie Ihres Unternehmens
• Erstellen Sie im Voraus Entwürfe von Benachrichtigungsschreiben und E-Mails
• Entwickeln Sie eine klare Kommunikationsstrategie für Datenschutzverletzungen und leiten Sie diese gegebenenfalls im Voraus an die Rechts- und PR-Abteilungen Ihres Unternehmens weiter

Das nationale Netzwerk des MEP ist bereit, Ihnen zu helfen

Wenn Sie die Gesetze zur Benachrichtigung über Datenschutzverletzungen Ihres Bundesstaates und andere Fragen zur Cybersicherheit verstehen möchten, können Sie sich an eines der 51 MEP-Zentren in allen 50 Bundesstaaten und in Puerto Rico wenden, die Teil des MEP National Network ^TM .