İçindekiler:
Amerika Birleşik Devletleri'nde, kapsamlı bir federal yasa olmamasına rağmen, çeşitli federal ve eyalet veri ihlali bildirim yasaları vardır. Mayıs 2011'de Obama yönetimi, Kongre'ye federal bir veri ihlali bildirim şartı içeren kapsamlı bir siber güvenlik önerisi sundu. Bu siber güvenliği büyük ölçüde artırabilir, ancak Ocak 2012 itibariyle federal veri ihlali bildirim mevzuatı kabul edilmemiştir. Burada veri güvenliğine ve ihlalleri ele almak için oluşturulan mevzuata bakıyoruz. (Arka planda okumak için, bkz. BT Güvenliğinin Temel İlkeleri.)
Federal bir Dava Açma
ABD federal düzeyinde, belirli veri türleri için ihlal bildirimi gerektiren yasalar ve rehberlik vardır: Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik (HIPAA) Yasası ve Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi (HITECH) Yasası sağlık bilgileri, Finansal bilgiler için Gramm-Leach-Bliley Yasası ve federal kurumlar tarafından tutulan kişisel bilgiler için Yönetim ve Bütçe Ofisi (OMB) kılavuzu.
HITECH Yasasına göre, HIPAA kapsamındaki sağlık hizmeti sağlayıcıları, sağlık bilgileri ihlal edildiğinde hastaları "derhal" bilgilendirmelidir. İhlallerin 500'den fazla kişiyi etkilediği durumlarda Sağlık ve İnsan Hizmetleri Dairesi (HHS) ve medyaya bildirilmelidir. Kişisel sağlık bilgileri satıcılarının benzer ihlal bildirimi gereksinimleri vardır, ancak HHS yerine Federal Ticaret Komisyonu'nu bilgilendirmeleri gerekir.
Gramm-Leach-Bliley Yasası uyarınca federal bankacılık düzenleyicileri tarafından yayınlanan rehbere göre, bir banka veya başka bir finans kurumu veri ihlalinden haberdar olduğunda, bilginin kötüye kullanılma veya kötüye kullanılma olasılığını belirlemek için bir soruşturma yürütmelidir. Banka, kötüye kullanımın gerçekleştiğini veya makul bir şekilde mümkün olduğunu belirlerse, etkilenen müşterileri en kısa sürede bilgilendirmelidir.
Kolluk kuvveti bildirimin cezai soruşturmaya müdahale edeceğini belirlerse ve bankaya yazılı bir gecikme talebi sağlarsa, müşteri bildirimi gecikebilir. Banka, bildirim artık soruşturmaya müdahale etmeyecek olursa müşterilerini bilgilendirmelidir. Ancak, utanç veya bankaya rahatsızlık vermesi nedeniyle bildirim ertelenemez.
OMB rehberine göre, federal kurumların, kişisel olarak tanımlanabilir bilgileri içeren tüm veri ihlallerini bir keşif / tespit tarihinden itibaren bir saat içinde bildirmeleri gerekmektedir. Bununla birlikte, ajanslar, ajans dışındaki veri ihlallerini bildirme konusunda takdir yetkisine sahiptir. Kolluk kuvvetleri, ulusal güvenlik veya ajans ihtiyaçları için bildirimi geciktirebilirler.
California rüyası
Eyalet düzeyinde, veri ihlali bildirimi üzerine 46 eyalet yasasının (ve Columbia Bölgesi'nin) bir parçası vardır. California, 2002 yılında ilk veri ihlali bildirim yasasını çıkardı ve diğer birçok eyalet yasası için bir model olarak kullanıldı.
Kaliforniya yasalarına göre şirketler, müşterilere "makul olmayan bir gecikme olmaksızın, makul olmayan bir gecikmeden" veri ihlallerini yazılı olarak açıklamalıdır. Bildirimde bulunan kişi veya işletme, bildirimin 250.000 ABD dolarından daha fazla tutacağını veya 500.000'den fazla kişiyi etkileyeceğini gösterebiliyorsa, web sitesi yayınlama ve büyük eyalet çapında medyaya bildirim şeklinde yedek bir bildirim kullanılabilir. Tüzük, kişisel bilgilerin şifrelenmiş olduğu herhangi bir veri ihlali bildiriminden muaftır.
Bununla birlikte, Kaliforniya, diğer birçok eyaletten farklı olarak, tüketicilere veri ihlali derhal bildirilmemesine ilişkin cezaları içermez. Ulusal Eyalet Yasama Meclisleri, eyalet veri ihlali bildirim yasalarının bir listesini ve bu yasalara bağlantıları içerir.
Avrupa veya Göğüs
Avrupa'da, Avrupa Birliği 2009 yılında E-Gizlilik Direktifinde yapılan bir değişiklikle veri ihlali bildirim şartını onayladı. Avrupa Birliği üye ülkeleri 25 Mayıs 2011 tarihine kadar değişikliği ulusal hukuka uygulamak zorunda kaldılar.
Değişiklik, "kamuya açık elektronik iletişim hizmeti sağlayıcılarının" ulusal yetkililere, ihlalin farkına varır ulaşmaz müşterilere ciddi ekonomik kayıp ve sosyal zarara yol açabilecek kişisel bilgilerin ihlali konusunda bildirimde bulunmalarını şart koşmaktadır. Ayrıca, etkilenen müşteriler "gecikmeden" ihlal konusunda bilgilendirilmelidir. Bildirim, şirket tarafından alınan önlemler ve etkilenen müşteriler için önerilen eylemler hakkında bilgi içermelidir.
AB Veri Koruma Direktifinde, yalnızca elektronik iletişim servis sağlayıcıları değil, tüm şirketlerin kişisel bilgileri ihlal ettikten sonraki 24 saat içinde ulusal yetkilileri ve etkilenen müşterileri bilgilendirmesi şartı da dahil olmak üzere 2012 yılında değişiklik yapılması beklenmektedir.
AB E-Gizlilik Direktifinden önce gelen Birleşik Krallık Veri Koruma Yasası, veri ihlali bildirim şartı içermemesine rağmen şirketlerin verileri koruması için kapsamlı bir dizi gereksinime sahiptir.
Yasayı uygulamaktan sorumlu İngiltere Bilgi Komiseri Ofisi (ICO), şirketlerin bireylere potansiyel zarar verebilecek ihlaller olarak tanımlanan ciddi veri ihlallerini ICO'ya bildirmeleri gerektiğini söyledi. Ajans, İngiltere şirketlerinin şifrelenmemiş kişisel bilgilerin 1000 veya daha fazla kişiyi ihlal ettiğini bildirmesini bekleyeceğini söyledi. ICO, etkilenen tüketicileri bilgilendirmenin sorumluluğunun olmadığını, ancak şirketin "ilgili kişilerin açıkça menfaati olduğu veya bunu yapmak için güçlü bir kamu çıkarı argümanı olduğu yerlerde" ihlalin halka açılmasını önerebilir.
Veri İhlalleri ve Raporlama
Oldukça halka açık veri ihlallerine ve kamuoyu baskısına yanıt olarak, Amerikan ve Avrupa yasa koyucuları ve düzenleyicileri, tüm şirketlerin veri ihlallerini ulusal makamlara ve etkilenen tüketicilere rapor etmesini şart koşmaktadır. Ancak, Ocak 2012 itibariyle, bu çabaların hiçbiri, ABD veya Avrupa Birliği'nde kapsamlı veri ihlali bildirim yasaları ve düzenlemeleriyle sonuçlanmamıştır.
