Wilt u de Privacy Shield-held van uw bedrijf zijn? Vier voorgestelde FTC-schikkingen acties voorstellen die u kunt ondernemen om ervoor te zorgen dat uw bedrijf aan het Privacy Shield voldoet.
De EU-VS-privacyschildkader stelt bedrijven in staat consumentengegevens op wettige wijze over te dragen van landen van de Europese Unie naar de Verenigde Staten. (Er is ook een Zwitsers-Amerikaans raamwerk.) Het ministerie van Handel beheert beide kaders, terwijl de FTC valse of bedrieglijke verklaringen van bedrijven over hun deelname of naleving betwist.
In afzonderlijke klachten beweert de FTC dat vier bedrijven – Klik op Labs, Inc.een in Seattle gevestigde website- en app-serviceprovider; Stimuleringsdiensteneen ontwikkelaar uit Minnesota van beloningsprogramma’s voor werknemers; Wereldwijde gegevenskluiseen bedrijf voor gegevensopslag en -herstel in Dallas; en IT-dienstenbedrijf uit North Carolina TDARX – misleidende Privacy Shield-claims heeft geuit.
De FTC zegt dat Click Labs en Incentive Services zelfcertificeringsaanvragen hebben ingediend bij het ministerie van Handel voor zowel de EU-VS als de Zwitsers-Amerikaanse raamwerken, maar er niet in zijn geslaagd deze af te ronden. Desondanks beweerden beide bedrijven op hun websites dat ze zich aan de regels hielden.
Volgens de zaken tegen Global Data Vault en TDARX lieten deze bedrijven, hoewel ze ooit deelnemers waren aan het EU-VS-privacyschild, hun certificeringen vervallen – wat betekent dat de beweringen die ze in hun privacybeleid over hun status maakten vals waren. Bovendien wordt in de klachten beweerd dat zij, terwijl zij deelnemers waren, er niet in zijn geslaagd de jaarlijkse zelfbeoordeling of de externe verificatie van de naleving uit te voeren die vereist is voor alle deelnemers aan het Privacy Shield. Hoe zit het met de gegevens die zij ontvingen gedurende de tijd dat zij deelnamen? Het raamwerk geeft voormalige deelnemers drie opties: Bevestig de voortdurende naleving van de Privacy Shield-principes voor die informatie, geef deze terug of verwijder deze. De FTC zegt dat Global Data Vault en TDARX er niet in zijn geslaagd een van de drie te doen.
De voorgestelde schikkingen verbieden de bedrijven een verkeerde voorstelling te geven van hun deelname aan of naleving van het EU-VS Privacy Shield-raamwerk of enig ander privacy- of gegevensbeveiligingsprogramma dat wordt gesponsord door een overheid, zelfregulerende groep of standaardbepalende organisatie. Bovendien moeten Global Data Vault en TDARX de Privacy Shield-bescherming toepassen op persoonlijke informatie die zij hebben verzameld tijdens deelname aan het programma, de informatie retourneren of verwijderen. Zodra de schikkingen in het Federal Register verschijnen, heb je 30 dagen de tijd om een openbare reactie in te dienen.
Hoe kunt u uw bedrijf helpen een raamwerkfout te voorkomen? Overweeg deze drie stappen:
- Deelname aan het kader is vrijwillig, maar maak pas melding van deelname nadat de aanvraag van uw bedrijf is geaccepteerd.
- Zet een herinnering in uw agenda om jaarlijks het vereiste hercertificeringsproces en uw jaarlijkse verificatie af te ronden.
- Als uw bedrijf ervoor kiest zich terug te trekken uit deelname, verwijder dan de Privacy Shield-referenties van uw website, inclusief uw privacybeleid. Denk er bovendien over na hoe uw bedrijf de informatie die is verzameld terwijl u deelnam, op passende wijze zal beschermen – of veilig zal teruggeven of verwijderen.
Bezoek de FTC’s Privacy Shield-pagina voor meer middelen.
