De voorwaarden van een FTC-schikking zijn uiteraard alleen op dat bedrijf van toepassing. Maar goed geïnformeerde bedrijven weten dat er veel kan worden geleerd van de vermeende misstap van iemand anders. De FTC’s wetshandhaving optreden tegen Upromise is geen uitzondering.
Volgens de klacht introduceerde het lidmaatschapsprogramma voor spaargelden een werkbalk die de persoonlijke gegevens van gebruikers verzamelde zonder de omvang van wat er aan de hand was adequaat bekend te maken. Volgens de voorwaarden van het voorgestelde bevel zal Upromise gebruikers informeren over hoe ze de werkbalken die al op hun computers staan kunnen verwijderen, de gebruikers toestemming geven voordat ze werkbalken installeren of opnieuw inschakelen, en zal het in de toekomst duidelijk haar gegevensverzamelingspraktijken bekendmaken. De schikking verbiedt ook verkeerde voorstellingen over de privacy en veiligheid van persoonlijke informatie van mensen, en vereist dat Upromise een alomvattend informatiebeveiligingsprogramma implementeert, inclusief om de twee jaar onafhankelijke veiligheidsbeoordelingen voor de komende twintig jaar.
Wat moeten deze zaak en andere recente wetshandhavingsacties voor uw bedrijf betekenen?
Weet het voordat het een poging is. Voordat je de sleutel omdraait, moet je weten hoeveel paarden je onder de motorkap hebt. Op dezelfde manier moet u ervoor zorgen dat u, voordat u nieuwe technologie uitrolt (zoals een werkbalk of een app), duidelijk weet welke informatie deze verzamelt. Sterker nog, u kunt besluitvorming, verificatie en monitoring op het gebied van gegevensbeveiliging in het ontwerpproces inbouwen. Het is meestal gemakkelijker om het vanaf het begin goed te doen dan een oplossing te reverse-engineeren dagen vóór de levering of als reactie op een veiligheids-‘oeps’.
Maak het zorgvuldig. Nog niet zo lang geleden gingen marketeers ervan uit dat hoe meer informatie ze verzamelden, hoe beter – en als iets technologisch haalbaar was, met volle kracht vooruit. Maar het risico van een kostbare inbreuk op de beveiliging of een verontrustend dataprobleem heeft slimme managers geleerd dat die mentaliteit
Vertel het. Over het algemeen geeft de wet bedrijven flexibiliteit bij het vormgeven van hun gegevensverzamelingsprogramma’s. Maar de beste praktijk is om gebruikers te vertellen wat u verzamelt, dit te communiceren in woorden die gewone mensen zullen begrijpen, en uw verklaarde beleid te respecteren.
Houd uw serviceproviders in de gaten. Volgens de klacht van de FTC tegen Upromise heeft het bedrijf een dienstverlener ingehuurd om de werkbalk en de functie voor gepersonaliseerde aanbiedingen te ontwikkelen, wat aanleiding gaf tot zorgen over het verzamelen van gegevens. Maar op grond van de FTC-wet kunnen bedrijven aansprakelijk zijn voor wat anderen namens hen doen. Als onderdeel van het ‘soepele’ informatiebeveiligingsprogramma vereist het voorgestelde bevel dat Upromise redelijke stappen onderneemt om ‘dienstverleners te selecteren en te behouden die in staat zijn om persoonlijke informatie op passende wijze te beschermen’ en om contractvoorwaarden op te nemen die dienstverleners verplichten ‘passende waarborgen te implementeren en te handhaven’. De bestelbepaling is alleen juridisch bindend voor Upromise, maar het is een goed advies om te overwegen de volgende keer dat u met een extern bedrijf werkt.
