Als u of uw klanten zich bezighouden met belastingvoorbereiding, zijn er drie letters waarop u zich moet concentreren. Oké, de IRS is misschien het eerste waar je aan denkt. Maar zoals de FTC’s voorgestelde schikking met TaxSlayer suggereert, vergeet die andere belangrijke letters niet: GLB.
Volgens de Gramm-Leach-Bliley Act moeten “financiële instellingen” – meer over wat dat in een ogenblik betekent – voldoen aan de Privacyregel en de Beveiligingsregel. De Privacyregel vereist dat bedrijven die onder de richtlijn vallen, kennisgevingen aan consumenten verstrekken waarin hun privacybeleid en -praktijken worden uitgelegd. (De Privacyregel bestaat al sinds 2001. In de nasleep van de Dodd-Frank Act werd het Consumer Financial Protection Bureau verantwoordelijk voor de implementatie van de Regel. In 2014 voert het CFPB zijn versie in, genaamd Reg P.)
De Safeguards Rule schrijft voor dat financiële instellingen de veiligheid, vertrouwelijkheid en integriteit van klantinformatie beschermen door een uitgebreid schriftelijk informatiebeveiligingsprogramma te implementeren en te onderhouden. Een knip-en-plakwerkje volstaat niet. Het programma moet administratieve, technische en fysieke veiligheidsmaatregelen omvatten die passen bij de omvang van het bedrijf, de aard en reikwijdte van zijn activiteiten en de gevoeligheid van de klantinformatie in kwestie. Bedrijven moeten bijvoorbeeld beoordelen hoe de informatie van klanten in gevaar kan komen en vervolgens veiligheidsmaatregelen implementeren om deze risico’s aan te pakken.
Nu terug naar wat de FTC zegt dat TaxSlayer deed – en niet deed – wat in strijd was met de regels. TaxSlayer biedt consumenten belastingaangifte- en aangiftediensten die zowel webgebaseerd zijn als beschikbaar zijn via de app van het bedrijf. Om belastingaangifte in te dienen, moeten consumenten natuurlijk vrijwel alles invoeren, behalve hun bloedgroep en favoriete ijssmaak. We hebben het over naam, burgerservicenummer, telefoonnummer, adres, inkomen, burgerlijke staat, echtgenoot, kinderen, schulden, ziektekostenverzekering, banknamen, rekeningnummers, enz.
Gedurende een periode van twee maanden in 2015 werd TaxSlayer onderworpen aan een lijstvalidatieaanval, waardoor aanvallers op afstand toegang kregen tot de accounts van ongeveer 8.800 TaxSlayer-gebruikers. (Bij een lijstvalidatieaanval, ook bekend als credential stuffing, stelen hackers inloggegevens van één site en gebruiken ze deze vervolgens – gebaseerd op het feit dat sommige consumenten hetzelfde wachtwoord op meerdere sites gebruiken – om toegang te krijgen tot accounts op andere populaire sites.) In een onbekend aantal gevallen gebruikten criminelen de gegevens om fiscale identiteitsdiefstal te plegen. Ze dienden valse aangiften in met gewijzigde routenummers en betaalden restituties in hun zak die ze niet verschuldigd waren. En wat een puinhoop heeft dat achtergelaten voor de gedupeerde consumenten. Lange vertragingen bij het verkrijgen van hun rechtmatige terugbetalingen, het bevriezen of vasthouden van hun tegoed, en eindeloze uren proberen het ID-diefstal-ei te ontrafelen.
In de voorgestelde klachtbeweert de FTC dat TaxSlayer de Privacyregel en Reg P heeft geschonden door klanten niet de privacykennisgevingen te geven die zij verschuldigd waren. Bovendien heeft TaxSlayer de Safeguards Rule geschonden door niet over een schriftelijk informatiebeveiligingsprogramma te beschikken, door niet de noodzakelijke risicobeoordeling uit te voeren en door geen waarborgen in te voeren om deze risico’s te beheersen – met name het risico dat aanvallers op afstand gestolen inloggegevens zouden gebruiken om de TaxSlayer-accounts van consumenten over te nemen en fiscale identiteitsdiefstal te plegen.
TaxSlayer volgt de schikkingen in verschillende andere GLB-zaken en moet aan de regels voldoen en zal de komende tien jaar om de twee jaar aan onafhankelijke beoordelingen worden onderworpen. U kunt een opmerking indienen over de voorgestelde schikking uiterlijk op 29 september 2017.
Wat betekent de TaxSlayer-zaak voor andere bedrijven?
- Het kan zijn dat u of uw cliënten onder GLB vallen, maar dat u dit niet eens weet. GLB’s definitie van “financiële instelling” is breder dan veel bedrijven denken. Zeker, het heeft betrekking op bedrijven met kluizen, tellers en geketende balpennen die zelden werken. Maar als u klanten heeft die zich bezighouden met belastingplanning of belastingvoorbereiding, is de kans groot dat zij ook onder de Gramm-Leach-Bliley Act vallen. Welke stappen heeft u ondernomen om hen te helpen hieraan te voldoen?
- Lever uw privacyverklaringen aan. Reg P vereist dat u uw privacyverklaring op een manier aanlevert waarvan redelijkerwijs kan worden verwacht dat consumenten deze ook daadwerkelijk ontvangen. Een link naar uw privacybeleid op uw startpagina is onvoldoende. Er is een modelaankondiging waarmee de informatie wordt geïdentificeerd die u moet verstrekken.
- Gebruik de juiste authenticatieprocedures. De Safeguards Rule bevat concrete richtlijnen voor het opstellen van uw informatiebeveiligingsprogramma en de klacht van de FTC schetst gevallen waarin de authenticatiepraktijken van TaxSlayer naar verluidt tekortschoten. Volgens de FTC eindigde de credential stuffing-aanval op TaxSlayer toen het bedrijf multi-factor authenticatie implementeerde, waarbij gebruikers hun gebruikersnamen en wachtwoorden moesten invoeren en vervolgens hun apparaat moesten authenticeren door een code in te voeren die het bedrijf naar hun e-mail of telefoon had gestuurd. Hebben uw klanten nagedacht over de beveiligingsvoordelen van multi-factor authenticatie?
- De Safeguards Rule bouwt geen laurierrusttijd in. Zodra de gedekte bedrijven over een schriftelijk informatiebeveiligingsprogramma beschikken, omvat de Safeguards Rule doorlopende verplichtingen. Bedrijven moeten bijvoorbeeld hun programma’s evalueren en aanpassen in het licht van veranderingen in hun bedrijfsvoering, de resultaten van monitoring of testen, en andere relevante factoren. Uw bedrijf of uw klanten hebben wellicht in 2003 voorzorgsmaatregelen getroffen, toen GLB nog de nieuweling in de buurt was. Maar wat hebben ze onlangs gedaan om hun programma actueel te houden?
