Als uw bedrijf valt onder de Gramm-Leach Bliley van de FTC Beveiligingsregelis nu een wijziging van de regel van kracht die onder de dekking vallende bedrijven verplicht om bepaalde datalekken en andere beveiligingsgebeurtenissen aan de FTC te melden – en we hebben het u gemakkelijk gemaakt om dit te melden.
Normen voor het beschermen van klantinformatie – vrienden noemen het de Safeguards Rule – weerspiegelt de intentie van het Congres dat bedrijven “de veiligheid en vertrouwelijkheid van de niet-openbare persoonlijke informatie van die klanten beschermen.” Als onderdeel van haar jarenlange inspanningen om de regels te herzien om ervoor te zorgen dat ze gelijke tred houden met de technologie en de tijd, heeft de FTC de Safeguards Rule onder de toezichtmicroscoop geplaatst. Na substantiële inbreng van consumentengroepen, leden uit de industrie en anderen heeft de FTC bepaalde updates aangekondigd die op 9 juni 2023 van kracht werden. In oktober 2023 werden de FTC heeft herziene bepalingen aangekondigd met betrekking tot het melden van datalekken en beveiligingsincidentenmaar gaf bedrijven zes maanden de tijd om zich voor te bereiden op de veranderingen die op maandag 13 mei 2024 van kracht werden.
Eerste dingen eerst. Wie valt onder de Safeguards Rule? Het antwoord luidt: “financiële instellingen” die onder de jurisdictie van de FTC vallen. Maar als ‘financiële instelling’ beelden oproept van depositobewijzen, geldautomaten en balpennen die aan marmeren tafelbladen zijn vastgeketend, denk dan nog eens goed na. De definitie is breder dan dat en omvat een grote verscheidenheid aan entiteiten die mogelijk over vertrouwelijke financiële informatie van consumenten beschikken. De regel specificeert 13 verschillende soorten bedrijven – hypotheekverstrekkers, betaaldagverstrekkers, financieringsmaatschappijen, hypotheekmakelaars, accountbeheerders, cheque-incassanten, bankoverboekers, incassobureaus, kredietadviseurs en andere financiële adviseurs, belastingvoorbereidingsbedrijven, niet-federaal verzekerde kredietverenigingen en beleggingsadviseurs die zich niet hoeven te registreren bij de SEC – maar zelfs die lijst is niet uitputtend. FTC-waarborgregel: wat uw bedrijf moet weten biedt informele personeelsbegeleiding om u te helpen bepalen of de Regel op u van toepassing is.
Wat moeten bedrijven doen nu de rapportagevereiste van de Safeguards Rule van kracht is? Het lezen van de herziene regel zou de eerste stap moeten zijn in uw compliance-inspanningen, maar hier is een miniatuurschets. Het amendement vereist dat financiële instellingen de FTC zo snel mogelijk – en niet later dan 30 dagen na ontdekking – op de hoogte stellen van een inbreuk op de beveiliging waarbij de informatie van ten minste 500 consumenten betrokken is. Hier ziet u hoe de regel een incident definieert dat een melding activeert:
Een verwerving van niet-gecodeerde klantinformatie zonder toestemming van de persoon op wie de informatie betrekking heeft. Klantgegevens worden voor dit doel als niet-versleuteld beschouwd als de coderingssleutel door een onbevoegde persoon werd geopend. Er wordt aangenomen dat ongeautoriseerde verwerving ook ongeoorloofde toegang tot niet-gecodeerde klantinformatie omvat, tenzij u over betrouwbaar bewijs beschikt dat aantoont dat er geen ongeoorloofde verwerving van dergelijke informatie heeft plaatsgevonden of redelijkerwijs niet had kunnen plaatsvinden.
Als dat bij uw bedrijf gebeurt, willen wij het u zo gemakkelijk mogelijk maken om te voldoen aan de meldplichten uit de Safeguards Rule. U moet een nieuw onlineformulier gebruiken waarin in duidelijke taal wordt uitgelegd welke specifieke informatie u moet verstrekken.
Uiteraard bevat de Safeguards Rule al voorzieningen om de veiligheid in uw bedrijf te helpen vergroten. Lezen FTC-waarborgregel: wat uw bedrijf moet weten voor details. Houd er ook rekening mee dat naleving van de Safeguard Rule geen vervanging is voor verplichtingen op grond van andere staats- en federale wetten.
