Als u of uw cliënten zich bezighouden met belastingvoorbereiding, zijn er drie letters waarop u zich moet concentreren. Oké, de IRS is waarschijnlijk het eerste waar je aan denkt. Maar als Voorgestelde FTC-schikking met TaxSlayer advies, vergeet andere belangrijke letters niet: GLB.
Volgens de Gramm-Leach-Bliley Act moeten “financiële instellingen” – meer over wat dit betekent – voldoen aan Privacyregels en het Beschermingsregels. De Privacyregel vereist dat bedrijven die onder de richtlijn vallen, kennisgevingen aan consumenten verstrekken waarin zij hun privacybeleid en -praktijken uitleggen. (De Privacyregel bestaat al sinds 2001. Na de Dodd-Frank Act was het Consumer Financial Protection Bureau verantwoordelijk voor de implementatie van de Regel. In 2014 implementeerde het CFPB zijn versie, genaamd Reg P.)
De Safeguards Rule schrijft voor dat financiële instellingen de veiligheid, vertrouwelijkheid en integriteit van klantinformatie beschermen door een alomvattend, schriftelijk informatiebeveiligingsprogramma te implementeren en te onderhouden. Knip- en plakopdrachten werken niet. Dit programma moet administratieve, technische en fysieke veiligheidsmaatregelen omvatten die passen bij de omvang van het bedrijf, de aard en reikwijdte van zijn activiteiten en de gevoeligheid van de klantinformatie in kwestie. Bedrijven moeten bijvoorbeeld de risico’s beoordelen die zich kunnen voordoen met klantinformatie en vervolgens beveiligingsmaatregelen implementeren om deze risico’s aan te pakken.
Nu terug naar wat de FTC zegt dat belastingmoordenaars de regel hebben overtreden – en niet hebben gedaan. TaxSlayer biedt consumenten belastingaangifte- en aangiftediensten die webgebaseerd zijn en beschikbaar zijn via de app van het bedrijf. Om belastingaangifte in te dienen, moeten consumenten uiteraard bijna alles invoeren, behalve hun bloedgroep en favoriete ijssmaak. We hebben het over namen, burgerservicenummers, telefoonnummers, adressen, inkomen, burgerlijke staat, echtgenoot, kinderen, schulden, ziektekostenverzekering, banknamen, rekeningnummers, enz.
Gedurende een periode van twee maanden in 2015 was TaxSlayer het doelwit van een lijstvalidatieaanval, waardoor aanvallers op afstand toegang konden krijgen tot de accounts van ongeveer 8.800 TaxSlayer-gebruikers. (Een lijstvalidatieaanval, ook wel credential stuffing genoemd, is wanneer hackers inloggegevens van de ene site stelen en deze vervolgens – vertrouwend op het feit dat sommige consumenten dezelfde wachtwoorden op meerdere sites gebruiken – gebruiken om toegang te krijgen tot accounts op andere populaire sites.) In een onbekend aantal gevallen gebruiken criminelen de gegevens om fiscale identiteitsdiefstal te plegen. Ze dienden valse aangiften in met gewijzigde routenummers en in eigen zak gestoken restituties waar ze geen recht op hadden. En hoe rommelig kan dit zijn voor de consumenten die er het slachtoffer van worden. Lange vertragingen bij het verkrijgen van legitieme terugbetalingen, het bevriezen of opschorten van hun krediet, en urenlang proberen identiteitsdiefstal op te sporen.
In klacht ingediendDe FTC beweerde dat Tax Killers de Privacy Rule en Reg P hadden geschonden door klanten niet de juiste privacykennisgevingen te verstrekken. Bovendien heeft TaxSlayer de Safeguards Rule geschonden door niet te beschikken over een schriftelijk informatiebeveiligingsprogramma, niet de noodzakelijke risicobeoordelingen uit te voeren en geen waarborgen te implementeren om deze risico’s te beheersen – met name het risico dat een aanvaller op afstand zijn of haar gestolen inloggegevens zou gebruiken om het TaxSlayer-account van een consument over te nemen en fiscale identiteitsdiefstal te plegen.
Tax Killers volgen de schikkingen in verschillende andere GLB-zaken en moeten zich aan de regels houden en zullen de komende tien jaar elke twee jaar onafhankelijke beoordelingen ondergaan. U kunt opmerkingen over indienen voorgestelde oplossing uiterlijk op 29 september 2017.
Wat betekent de TaxSlayer-zaak voor andere bedrijven?
- Het kan zijn dat u of uw cliënten door GLB worden beschermd zonder dat zij zich dat realiseren. GLB’s definitie van een “financiële instelling” is breder dan veel zakenmensen denken. Uiteraard omvat dit ook bedrijven die kluizen, tellers en kettingpennen hebben die zelden werken. Maar als u klanten heeft die zich bezighouden met belastingplanning of belastingvoorbereiding, worden zij waarschijnlijk ook beschermd door de Gramm-Leach-Bliley Act. Welke stappen heeft u ondernomen om hen te helpen hieraan te voldoen?
- Geef uw privacyverklaring op. Reg P vereist dat u uw privacyverklaring op een zodanige wijze presenteert dat van consumenten wordt verwacht dat zij deze ook daadwerkelijk ontvangen. Een link naar uw privacybeleid op de startpagina is niet voldoende. Er is een modelmelding die de informatie identificeert die u moet verstrekken.
- Gebruik de juiste authenticatieprocedures. De Safeguards Rule bevat concrete richtlijnen voor het structureren van uw informatiebeveiligingsprogramma en de FTC-klacht schetst voorbeelden waarin de authenticatiepraktijken van Tax Killer zouden hebben gefaald. Volgens de FTC eindigde de credential stuffing-aanval tegen TaxSlayer toen het bedrijf multi-factor authenticatie implementeerde, waarbij gebruikers hun gebruikersnaam en wachtwoord moesten invoeren en vervolgens hun apparaten moesten authenticeren door een code in te voeren die het bedrijf naar hun e-mail of telefoon had gestuurd. Hebben uw klanten nagedacht over de beveiligingsvoordelen van meervoudige authenticatie?
- Beveiligingsregels worden niet in een downtime opgebouwd. Zodra een bedrijf dat onder dit programma valt, een schriftelijk informatiebeveiligingsprogramma heeft, omvat de Beschermingsregel doorlopende verplichtingen. Bedrijven moeten bijvoorbeeld hun programma’s evalueren en aanpassen om rekening te houden met veranderingen in hun bedrijfsvoering, monitoring- of testresultaten en andere relevante factoren. Uw bedrijf of uw klanten hebben mogelijk in 2003 beschermingsmaatregelen geïmplementeerd toen GLB nog het nieuwe kind in de buurt was. Maar wat hebben ze de laatste tijd gedaan om hun programmering actueel te houden?
