Lille forretningsvejledning til databeskyttelse

Beskyttelse af små virksomheder.


Det er næsten umuligt at drive nogen form for virksomhed i dag uden at generere eller indsamle data. Nogle af disse data er kritiske data, der er nødvendige for at opretholde virksomhedens levetid, og nogle af dem vil uden tvivl være personlige kundedata.

For at sikre enhver virksomheds helbred skal begge punkter adresseres. Forretningsdata skal være tilgængelige og rigelige nok til at understøtte virksomhedens aktiviteter, men organisationer har også en forpligtelse til at holde kundedata private og sikre.

Hvis en virksomhed mister sine egne data, kan den muligvis finde sig selv ikke i stand til at udføre operationer effektivt eller overhovedet. Det er dårligt nok, men påvirker hovedsageligt kun virksomheden selv.

I modsætning hertil kunne en virksomhed, hvis en virksomhed mister sine kunders data, være føre til retssager herunder regeringsundersøgelser og bøder, samt civile sager og store skadelige domme. Selv en virksomheds aktiekurs kan blive påvirket negativt efter en offentlig dataovertrædelse. Denne artikel omhandler begge aspekter.

Principper for beskyttelse af data

Data vises ikke bare; det rejser. Data indsamles et sted, de overføres fra indsamlingsstedet til et lagringssted, de behandles på en eller anden måde, og de rejser til adgangspunkter efter behov af virksomheden. Denne proces kan være meget kompliceret, eller den kan være meget enkel. Et simpelt eksempel er at tage en ordre på et e-handelswebsted:

  1. Indsamlet: Webstedet indsamler personlige leveringsoplysninger og betalingsoplysninger på kassen siden.
  2. overført: Disse data overføres til webserveren og gemmes sandsynligvis i en database på denne server.
  3. Forarbejdet: Disse data kan behandles til understøttelse af supplerende funktioner, såsom reduktion af opgørelsen over de solgte varer, eller for at generere pakkesedler.
  4. Besøgt: Ordreudfyldere er nødt til at se nogle af disse data for at opfylde ordren og forberede dem til levering.

I hvert trin i denne proces er der muligheder for uautoriseret adgang eller datatab. Fortsætter med webstedets e-handelslager som eksempel, her er nogle trin, der skal tages, som kan hjælpe med at beskytte disse data.

Beskyttelse af data under transit

Denne type ordredata "transmitterer" mange gange. Den første transit er fra kundens webbrowser til e-handelswebserveren. I modsætning til den almindelige opfattelse ”besøger vi” ikke et websted, men stedet kommer webstedet til os. Websider downloades til vores computere, hvor vi interagerer med dem og sender data tilbage til webserveren.

I dette tilfælde har kunden indtastet deres kreditkortinfo i det sidste trin med udfyldning af indkøbskurvdata på deres egen computer og så er det transmitteret til webserveren. Disse følsomme kreditkortoplysninger sendes over internettet, hvilket er et meget uvenligt og farligt sted.

Data i sig selv er ubrugelige; det vil normalt blive overført mange gange i sin levetid. Medarbejdere med henblik på opfyldelse skal vide, hvad der blev bestilt, rederier skal vide kundens navn og adresse, kreditkortselskaber skal vide, hvor meget der skal debiteres kontoen.

Det er usandsynligt, at alt dette sker på et sted, hvilket betyder, at denne information sendes til et antal steder, og i nogle tilfælde måske til tredjepartorganisationer uden for organisationen, der indsamlede dataene i første omgang. Hver af disse overførsler skal ske via en sikret metode.

Løsninger

Den mest effektive måde at beskytte data på denne transittplads er at sikre, at dit websted bruger et SSL-certifikat og det dit websted bruger HTTPS-protokollen, i det mindste på sider, der indsamler følsomme data.

Dette trin sikrer, at data i transit mellem din webserver og din kundes browser er krypteret, når de krydser internettet. Hvis din kundes følsomme data blev opfanget af en dårlig fyr, ville han ikke være i stand til at gøre meget med det, fordi det ville være en krypteret klat med gibberish.

Hvis det af en eller anden grund ikke er muligt at bruge SSL-kryptering, kan du gøre det tilføj kryptering til næsten enhver dataoverførsel ved hjælp af et virtuelt privat netværk (VPN). Der er en række ting, du skal tage højde for, når du vælger en VPN til små virksomheder, så det lønner sig at gøre din research.

Omkrets 81-VPN-startside.Perimeter 81 er SaferVPNs tilbud dedikeret til virksomheder.

Der er andre måder at overføre data sikkert på, f.eks. Af kryptering af filer inden afsendelse. Krypterede filer kan sikkert sendes via e-mail som en vedhæftet fil, selvom følsomme data aldrig skal sendes i kroppen af ​​en e-mail eller via ikke-krypterede vedhæftede filer.

Ældre offline-metoder, såsom faxer, bør ikke nedsættes. Faxmaskiner, der er tilsluttet de almindelige gamle telefonsystemer (POTS), transiterer ikke internettet på en let sporbar måde og giver mere sikkerhed end e-mail. Det er vigtigt at være sikker på, at der bruges en ægte faxmaskine i begge ender; moderne "e-mail til fax" -tjenester eller "skybaserede" faxtjenester kan være svære at skelne fra ordentlige POTS-faxforbindelser. Ulempen ved førstnævnte er, at disse tjenester bruger internettet til at overføre data, der eliminerer deres privatlivets fordel.

Sikring af gemt information

Når data er blevet gemt et eller andet sted, betragtes det som "i hvile." Data i hvile gemmes på en eller anden form for diskdrev i en database, i individuelle filer, såsom PDF-dokumenter, eller i en lang række andre formater. Når man overvejer, hvordan man beskytter dine data i hvile, kan dataformatet være vigtigt.

Der er to hovedmåder, hvorpå data i hvile kan fås ondsindet. En dårlig fyr kan bruge legitime midler til at få adgang til data som f.eks stjæle et arbejdsadgangskode fra en medarbejder gennem phishing.

Eller maskinen, der gemmer selve dataene, kan angribes, og diskens indhold kopieres et andet sted til undersøgelse senere. Det kan være svært at bede om brugernavne og adgangskoder ud af mennesker; undertiden er det meget lettere at bare stjæle hele computeren fra receptionen, mens den er uden opsyn.

Hvis data gemmes online, f.eks. I en e-handel, kan det være lettere at angribe et andet sted på serveren for at få adgang til filsystemet og kopier databasen end prøv at gætte en Magento-administratoradgangskode.

Undertiden er dataovertrædelsen en kriminel mulighed - der er tilfælde af kasserede computere, der stadig indeholder følsomme data på deres harddiske.

Løsninger

Data, der ikke er i brug, skal krypteres, indtil det er nødvendigt. Dette fungerer godt til data, der ikke behøver at få adgang til ofte. Det kan være sværere at administrere for data, som mange forskellige personer eller systemer har adgang til meget ofte.

For at beskytte mod adgang via loginoplysninger skal legitime personer, der får adgang til dataene, gøre det bruge stærke adgangskoder og individuelle konti. Flere personer, der bruger det samme brugernavn og adgangskode, gør det hele men umuligt at afgøre, hvordan eller hvornår overtrædelsen opstod. Adgangskodeadministratorer gør det ekstremt let at oprette og hente stærke adgangskoder, så der er lidt grund til at dele adgangskoder længere.

Klistret passwordadgangskodehåndtering.Sticky Password er kun en af ​​de store tilgængelige gratis adgangskodeadministratorer.

Beskyttelse mod nogen, der stjæler en fysisk maskine eller en virtuel kopi af data, indebærer fysisk sikkerhed og adgangskontrol.

  1. Fysisk sikkerhed: Lad aldrig bærbare computere være uden opsyn. Mange medarbejdere mener, at en virksomheds bærbar computer ikke er så vigtig som deres egen, fordi en virksomheds bærbar computer udskiftes, hvis de går tabt. Imidlertid kan dataene på en virksomheds bærbar computer være uvurderlige og når de først er gået tabt, kan det sætte virksomhedens fremtid i fare. Desktopcomputere skal være fysisk låst til noget stort. Der er en lang række computerslåse (såsom Kensington-låse) til rådighed til netop dette formål. Alle computerdiske på laptops eller andre enheder skal krypteres for at gøre det så svært som muligt for en dårlig fyr at gendanne data fra det.
  2. Adgangskontrol: Hvor det er muligt, skal computere, der behandler følsomme data og lagerenheder, holdes i et begrænset område. Der bør ikke være noget ikke-it-personale med fysisk adgang til fillagringsserverne, for eksempel, så serveren skal placeres i et låst rum. Hvis offentligheden er på premisset som en del af normale forretningsaktiviteter, skal alle unødvendige computere og lagerenheder fjernes fra offentligt syn. Tyve kan stjæle hele bankmaskiner ved at gå ned gennem væggene med en frontlæsser. Hvor sikker er dit modtagelsesområde?

Beskyttelse af data mod uautoriseret adgang

Uautoriseret adgang henviser til en uautoriseret person, der får adgang til data. Dette kan betyde en dårlig fyr, der har formået at infiltrere netværket, eller det kan betyde, at en legitim medarbejder får adgang til data, som de ikke har ret til. Der er to koncepter på arbejde her: godkendelse og godkendelse.

  1. Godkendelse: Godkendelse involverer bestemmelse af en brugers identifikation, men har intet at gøre med, hvad personen har lov til at gøre. I de fleste tilfælde leveres et brugernavn og en adgangskodekombination til at logge på et system. Indehaveren af ​​dette brugernavn og adgangskode er en legitim medarbejder, og systemet skal behørigt registrere, at personen har logget ind.
  2. Bemyndigelse: Autorisation finder sted efter godkendelse. Autorisation bestemmer, om en godkendt person har adgang til en ressource. Før personen afgør om en bruger har adgang til en ressource, skal personen autentificeres for at bekræfte deres identifikation.

Her er et eksempel for at illustrere: Nancy logger ind på sin arbejdsstation og er nu en godkendt bruger. Hun sender derefter et dokument til en netværksprinter, og det udskrives, fordi hun er autoriseret til at bruge denne printer. Nancy forsøger derefter at få adgang til virksomhedens personalefiler og nægtes adgang, fordi hun ikke er autoriseret til at se disse filer.

Løsninger

For at sikre, at godkendelses- og autorisationsprocesser er effektive, hvert computersystem skal oprette revisionslogfiler. Auditlogfiler giver et spor, der giver mulighed for, at efterforskere kan gå tilbage i tiden og se, hvem der er logget ind på forskellige systemer, og hvad de forsøgte at gøre, mens de var logget ind.

Det er også vigtigt, at ingen deler brugernavne og adgangskoder, som diskuteret ovenfor. Hvis brugernavne og adgangskoder deles mellem ansatte, er der ingen måde at forhindre uautoriseret adgang eller finde ud af, hvem der har adgang til hvad. Hvis alle bruger det samme brugernavn, godkendes alle, og dette brugernavn skal have tilladelse til at gøre alt.

Admin brugernavn.Ideelt set skal ingen bruge brugernavnet "admin", da det er så let at gætte.

Det er uundgåeligt, at samtaler om adgangskontrol fokuserer på at holde de slemme fyre ude. Men det er det lige så vigtigt, at de gode fyre ikke bliver spærret. Hvis du ender i en situation, hvor systemadministratorer eller andre kritiske mennesker er låst ud, kan situationen hurtigt forværres, indtil alle bliver spærret og virksomheden ikke kan fortsætte.

Hvert kritisk system skal have mindst to administratorer eller en administrator og mindst en anden person, der er kompetent til at udføre aktiviteter på administrator-niveau, hvis de rigtige legitimationsoplysninger gives.

Begrænsning af risikoen for datatab

Virkningen af ​​datatab kan variere fra ”har ikke engang bemærket” helt op til ”Jeg er blevet kaldt til en kongreshøring for at vidne.” tab af kritiske forretningsdata kan ødelægge en virksomhed og forårsage det uoprettelige driftsskader. Derudover kan datatab forårsage forlegenhed, resultere i skade på et virksomheds omdømme og endda drastisk påvirke aktiekurserne i årevis.

Udtrykket "tab" bruges i denne forstand til at betyde data, der er blevet ødelagt, ikke data, der er blevet brudt og afsløret andetsteds. Computere lagrer data på meget rudimentære måder ved hjælp af magnetik, halvlederchips eller laser ‘grober’ for det meste. Hver af disse metoder har sine dårlige dage, og data kan simpelthen blive forvirrede og uoprettelige.

Menneskelig fejl, såsom overskrivning af vigtige filer eller ved en fejltagelse af formatering af en harddisk, kan også ødelægge data for evigt. Computere er også ikke immun mod fysiske katastrofer og data er gået tabt på grund af brandsprinkleranlæg, der oversvømmer kontorer eller elektriske overspændinger, der har ødelagt drevene uden reparation.

I en alder af små computere mister folk USB-sticks og taber deres telefoner dagligt på toiletter. I et øjeblik af uopmærksomhed kan en enkelt medarbejder klikke på et ondsindet link i en e-mail og sparke et verdensomspændende ransomware-angreb, som irreversibelt krypterer hver enkelt fil.

Nogle gange sker der overhovedet intet, og diskdrevet når bare slutningen af ​​livet og mislykkes. Der er bogstaveligt talt en uendelig liste over måder, hvorpå data kan ødelægges.

Løsninger

Når man accepterer, at datatab er en uundgåelig risiko, er det fornuftigt at sikre, at kritiske data sikkerhedskopieres. Oprettelse af en pålidelig backup-plan, der tidligere var en arket kunst, som kun erfarne systemadministratorer kunne trække af. I ekstreme tilfælde kan det stadig være sandt, men i disse dage næsten enhver kan købe sikkerhedskopier på stedet for et par dollars om måneden. Der er et par spørgsmål, som du vil stille potentielle backup-virksomheder, og du vil også være meget sikker på, at dine sikkerhedskopier bliver krypteret.

iDrive-startside.iDrive er kun en af ​​mange muligheder for cloud-sikkerhedskopi og -lagring,

Hvis dine oplysninger er særligt følsomme, eller hvis dine brancheforskrifter ikke tillader cloud-backup, er der andre alternativer.

Sikkerhedskopier, der opbevares på stedet, kan være nyttige til menneskelige fejltyper af situationer, der kræver en hurtig løsning, f.eks. gendannelse af en enkelt fil. Imidlertid gør sikkerhedskopier på stedet ikke meget for dig, hvis kontoret er oversvømmet, der er en brand, eller sikkerhedskopierne bliver stjålet.

Som sådan er sikkerhedskopiering på stedet en kritisk del af enhver sikkerhedskopieringsplan, og selvom cloud-backup-tjenester er den nemmeste måde at opnå dette, er der ingen grund til, at betroede medarbejdere ikke kan medtage krypterede sikkerhedskopier med jævne mellemrum. Husk, at når dataene forlader lokalerne, skal de stadig beskyttes, så stærk kryptering er afgørende.

Din branche har muligvis også dataopbevaringslove, hvilket betyder, at du muligvis skal beholde gamle data, som du ikke længere bruger for at være kompatible. Jo længere data opbevares, jo flere muligheder er der for at de ødelægges. Derfor er langtidsopbevaringsdata en ideel kandidat til offsite-opbevaring.

Beskyttelse af medarbejderejede enheder

En overordnet bekymring, der komplicerer alle aspekter af databeskyttelse, er spredning af fjernarbejdere eller arbejdstagere med Bring Your Own Device (BYOD) enheder. Der kan være en fordel ved at tillade fjernarbejde, da det åbner talentpoolen, så de bedste arbejdere kan ansættes. Det øger også antallet af steder, hvor virksomhedsdata kan gå tabt eller kompromitteres.

BYOD og eksterne enheder generelt har en risiko for datatab og datalækage. Telefoner og tabletter er små og følger med os overalt, og de går ofte tabt eller beskadiges.

Løsninger

Ideelt set vil eksterne medarbejdere bruge Virtual Network Computing (VNC) til at få adgang til deres desktops på kontoret. Selv hvis fjernarbejderen aldrig kommer til kontoret, der kun tillader adgang gennem VNC giver større kontrol over hvad fjernarbejderen kan gøre.

VNC-servere kan konfigureres til at afvise filoverførsler, og da VNC ikke opretter en egentlig netværksforbindelse, ligesom en VPN gør, er fjernarbejderens computer aldrig tilsluttet arbejdsnetværket. Dette kan hjælpe med at forhindre spredning af malware til kontornetværket, hvis fjernarbejderens computer er blevet inficeret. Tilladelse af adgang via en VPN-forbindelse giver lettere adgang til flere kontorressourcer, men har også den højere risiko for infektion og datatyveri, da fjerncomputeren rent faktisk vil dele kontornetværket til en vis grad.

Hvis du tillader BYOD, er det en god ide at implementere et MDM-system (mobile device management), som kan gøre ting som fjern eksternt alle data fra telefonen og find telefonen, hvis den er forsvundet.

ManageEngine Mobile Device Manager Plus-startside.ManageEngine Mobile Device Manager Plus er et eksempel på MDM-software.

Det er også ønskeligt at bruge en MDM-løsning, der giver mulighed for datasegregering. Deling af arbejde og personlige kontakter i den samme adressebog skaber for eksempel en stor risiko for datalækage, fordi det er let at forkert vælge en personlig kontakt som modtager og ved et uheld sende følsomme virksomhedsoplysninger.

Planlægning for utilgængelighed af data

I løbet af erhvervslivet kan der være tidspunkter, hvor kontoret ikke er tilgængeligt. Små begivenheder som en brand i kontorbygningen kan gøre dit kontor utilgængeligt i et par dage. Store begivenheder, såsom orkanen Sandy i 2012, kan tage underjordiske områder af en bygning ud i årevis.

Udøvelsen af ​​planlægning af begivenheder som denne falder ind under konceptet Business Continuity Planning (BCP). BCP-planlægning forsøger at besvare følgende spørgsmål: "Hvordan ville vi drive forretning, hvis vores kontor / servere / butik ikke var tilgængelig i en længere periode?"

Løsning

Offsite-sikkerhedskopier kan spille en stor rolle i BCP-planlægningen. Hvis der findes aktuelle offsite-sikkerhedskopier, kan det være muligt for medarbejdere at arbejde hjemmefra eller andre fjerntliggende steder ved hjælp af disse data for at holde tingene i gang. Andre overvejelser kan omfatte failover-telefonnumre, der kan videresendes til medarbejdernes mobiltelefoner for at holde telefonerne åbne.

At vide, hvordan man får adgang til dine data

Dette kan virke som et fjollet spørgsmål. Desværre kan vi af erfaring attestere, at det ikke er tilfældet. Mange små virksomheder har været afhængige af en fejl fra tredjepart for at passe på deres data gennem årene og har i nogle tilfælde ingen idé om, hvor noget af det faktisk er lagret. En del af enhver ordentlig plan for forebyggelse af datatab er at vide, hvor dine data skal begynde med.

Overvej vores enkle e-handelswebsted igen. På et absolut minimum har det følgende:

  1. Registrar konto: En domæneregistrator er et firma, der sælger domænenavne. Dit domænes navneservere styres af din domæneregistrator. Navneservere er et kritisk kontrolelement på dit websted, så du skal vide, hvem det er og have kontooplysninger.
  2. Hosting-konto: Din webstedsfiler findes fysisk på en webserver et sted i verden. Virksomheden, der leverer denne service til dig, er din webhost. Sørg for, at du ved, hvem din webhost er, og at du har kontooplysninger.
  3. Email konto: Din webhost er muligvis ikke din e-mail-vært. Mange virksomheder bruger tredjeparts e-mail-udbydere som Google. Sørg for, at du ved, hvor din e-mail er, og at du har kontooplysninger.
  4. Backups: Hvis du allerede har opsætning af sikkerhedskopier, hvor skal de så hen? Hvis du ikke har adgang til dem og ved, hvordan du gendanner filer, gør disse sikkerhedskopier dig ikke meget godt.

De samme typer spørgsmål bør stilles om alle dine datasystemer, indtil du har en ret god forståelse af, hvor alle dine data er. Det er den værste tid at prøve at finde disse oplysninger i en nødsituation.

Bortset fra det praktiske behov for at kende disse ting, kan din branche også regulere de geografiske regioner, hvor du har lov til at gemme data.

Overvejelser om kundedata efter land

Kundedata kræver normalt særlig hensyntagen. Det er en ting at miste dine interne regneark. Juridisk set er det en helt anden ting, at dine kundedata bliver stjålet eller brugt ukorrekt. Over 80 lande har en slags fortrolighedslovgivning, der gælder for virksomheder, der indsamler kundedata. De grundlæggende forpligtelser i de fleste af disse handlinger koger ned til disse punkter:

  1. Få tilladelse til at indsamle kundedata, før du gør det.
  2. Indsamle så lidt information som muligt.
  3. Brug data på den måde, du har tilladelse til.
  4. Beskyt oplysninger mod uautoriseret adgang.
  5. Gør data tilgængelige for dine kunder.

Her er en meget hurtig oversigt over den generelle tilstand af privatlivets lovgivning i USA, UK, Canada og Australien. Det giver nogle fingerpeg om, hvilken type beskyttelsesorganisationer der forventes at give kundedata, samt en fornemmelse af sanktionerne for overtrædelser.

Australien

Lille forretningsvejledning til databeskyttelse

Ligesom Canada og Storbritannien, har Australien en føderal lov om privatlivets fred, der også kaldes fortrolighedsloven. Det blev først vedtaget i 1988 og er blevet ændret og udvidet siden da. Handlingen er baseret på begrebet 13 australske privatlivsprincipper.

Lovgivning

Fortrolighedsloven omfattede oprindeligt kun håndteringen af ​​private oplysninger fra regeringsorganer og offentlige entreprenører. Det er siden blevet udvidet til også at omfatte virksomheder i den private sektor.

Alle australske virksomheder med et samlet salg på over 3.000.000 AUD har forpligtelser i henhold til privatlivets fred. En lille liste over virksomheder såsom sundhedsrelaterede og finansielle virksomheder er også underlagt handlingen uanset det samlede salg.

At give kunderne deres oplysninger

Princip 12 i fortrolighedsloven handler om "Adgang til og korrektion af personlige oplysninger." Med få undtagelser skal en persons anmodning om deres personlige oplysninger leveres, men der er ingen angivet frist til at gøre det. Agenturets anmodninger skal håndteres inden for 30 dage, men hvis anmoderen er en person, er det eneste krav at "give adgang til oplysningerne på den måde, som den enkelte har anmodet om, hvis det er rimeligt og praktisk muligt at gøre det."

sanktioner

Der er forskellige sanktioner for overtrædelse af loven om privatlivets fred, afhængigt af hvor grov overtrædelsen er. Monetære værdier for overtrædelser er ikke angivet i Privacy Act. Snarere tildeles overtrædelser et antal sanktionsenheder baseret på overtrædelsens alvor. Alvorlige overtrædelser tildeles 2.000 strafenheder, mens der tildeles mindre alvorlige lovovertrædelser så få som 120 straf enheder.

Afsnit 4AA i den australske forbrydelseslov dikterer værdien af ​​en sanktionsenhed i australske dollars og opdateres fra tid til anden. I øjeblikket er en enkelt strafenhed 210 AUD (med forbehold af indeksering), hvilket betyder, at alvorlige lovovertrædelser kan være i området 420.000 AUD. I virkeligheden kræver domstolene i Australien undertiden kun en undskyldning.

Canada

Canadisk flag

Lovgivning

Canadas føderale databeskyttelsesregler for virksomheder er indeholdt i PIPEDA-loven om personlig beskyttelse og elektroniske dokumenter. Nogle provinser som Alberta, British Columbia og Quebec har deres egne provinsielle databeskyttelsesretsakter, der er ens nok til, at PIPEDA ikke finder anvendelse på virksomheder i disse provinser. Afhængig af hvilken provins du driver forretning i, skal du derfor være bekendt med PIPEDA eller en af ​​følgende provinsielle lovgivningsmæssige retsakter:

  • Alberta: Lov om beskyttelse af personlige oplysninger
  • British Columbia: Lov om beskyttelse af personoplysninger
  • Quebec: * En handling, der respekterer beskyttelsen af ​​personlige oplysninger i
    den private sektor *

Derudover har Canada en separat privatlivslov, der kontrollerer, hvordan den føderale regering skal håndtere personlige oplysninger inden for statslige agenturer.

PIPEDA kræver, at organisationer opnår samtykke, inden de indsamler personlige oplysninger. Det er dog interessant at bemærke, at PIPEDA ikke gælder for personer, der indsamler personoplysninger til personlig brug, eller organisationer, der indsamler personlige oplysninger til journalistisk brug.

Office of Privacy Commissioner i Canada opretholder en oversigt over de forskellige canadiske føderale og provinsielle personlige handlinger.

At give kunderne deres oplysninger

Oplysninger indeholdt af føderale agenturer kan anmodes om ved at udfylde en formular til anmodning om information. Kontakt denne organisation for at anmode om personlige oplysninger, der er indeholdt af en anden type organisation. Det provinsielle eller territoriale ombudsmandskontor kan hjælpe.

sanktioner

PIPEDA-krænkere kan idømme bøder på op til $ 100.000 pr. Overtrædelse for bevidst at have overtrådt handlingen.

Det Forenede Kongerige

Britisk flag - Union jackBritisk flag - Union jack - UK

Lovgivning

Det Forenede Kongeriges føderale beskyttelseslov er den passende navngivne Data Protection Act. I modsætning til Canada gælder den britiske databeskyttelseslov overalt for både erhvervslivet og regeringen.

At give kunderne deres oplysninger

UK-borgere har ret til at finde ud af, hvilke oplysninger en organisation har om dem. Ikke alle oplysninger skal dog frigives. Data, der ikke skal frigives, indeholder oplysninger om:

  • information om kriminel efterforskning
  • militære poster
  • skattesager eller
  • retlige og ministerielle aftaler

Organisationer kan også opkræve penge for at give disse oplysninger til folk. Den britiske informationskommissærs kontor kan tilbyde rådgivning og vejledning samt undersøge klager til datahåndtering.

sanktioner

Den britiske databeskyttelseslov indeholder bøder op til 500.000 GBP og endog retsforfølgning for overtrædelser.

Forenede Stater

USA-flag

De Forenede Stater er noget unikke, idet de har mindre privatlivslovgivning på føderalt niveau end de fleste andre lande. I stedet er de fleste personlige handlinger i USA industriel eller statsbaseret. Det kan derfor være svært at finde de love, der kan gælde for en bestemt virksomhed. Et godt sted at starte er den amerikanske føderale handelskommissions side om privatliv og sikkerhed.

Lovgivning

De Forenede Staters privatlivslov fra 1974 kontrollerer, hvordan oplysninger kan indsamles, bruges og videregives af føderale agenturer. Til dels hedder det:

Intet agentur må videregive nogen fortegnelse, der er indeholdt i et system med optegnelser på nogen måde til kommunikation til nogen person eller til et andet agentur, undtagen i henhold til en skriftlig anmodning fra eller med forudgående skriftligt samtykke fra den person, til hvem posten er registreret relaterer.

Loven viser derefter flere undtagelser fra dette direktiv. Nogle af dem, såsom fritagelsen for ”rutinemæssig brug”, kan synes lidt bredt i det 21. århundrede.

Størstedelen af ​​USAs privatlivslovgivning er relateret til industrier eller genereret på statsniveau. Derfor er det vigtigt for en organisation at vurdere, hvilke stater den vil blive betragtet som operativ i, og også om der er nogen branche-specifikke privatlivsregler, der gælder på et hvilket som helst regeringsniveau.

Nogle store føderale amerikanske personlige handlinger er:

  • Health Insurance Portability and Accountability Act (HIPPA): denne handling angår administration af sundhedsvæsen i USA.
  • Børns lov om beskyttelse af personlige oplysninger (COPPA): denne handling omhandler onlineindsamling af data om børn under 13 år i USA.
  • Retfærdige og nøjagtige kredittransaktioner (FACTA): denne handling omhandler kreditbureaueres forpligtelse til at give kreditoplysninger og værktøj til forebyggelse af svig til amerikanske borgere.

At give kunderne deres oplysninger

US Privacy Act dikterer, at enkeltpersoner har ret til at indhente de oplysninger, som føderale organisationer har om dem. For at indgive en anmodning vil folk kontakte det relevante agentur. For private virksomheder ville kravet om, at en organisation skal levere poster til enkeltpersoner, stole på eksistensen af ​​lovgivning, der gælder for denne branche eller stat. Igen, det bedste sted at starte vil sandsynligvis være De Forenede Staters Federal Trade Commission-websted.

sanktioner

Den føderale privatlivslov indeholder sanktioner, men da fortrolighedsloven kun gælder for den amerikanske føderale regering, er det ikke tilfældet for andre organisationer. Sanktionerne for krænkelser af privatlivets fred i USA afhænger af, hvilken handling der blev overtrådt, og hvilke sanktioner der er indeholdt deri.

Afsluttende kommentarer

Den hastighed, som datatab og brud på har fundet sted i de sidste par år er alarmerende. De fleste af disse overtrædelser er mulige, fordi organisationer simpelthen ikke forventer det. Ransomware-angreb på verdensplan skal lykkes, fordi medarbejderne stadig klikker på ondsindede links i e-mails. Virksomheder mister deres online bestillingsevne i flere dage i stedet for timer, fordi de ikke ved, hvem de skal kontakte, når deres websted går ned. Alt dette kan afbødes meget pænt med kryptering, sikkerhedskopiering og noget systemkendskab.

Billedkredit: “Internet Cyber” af Gerd Altmann licenseret under CC BY 2.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

− 1 = 1