Als uw bedrijf wordt beschermd door Gramm-Leach Bliley van de FTC BeschermingsregelsWijzigingen in de regel die onder de dekking vallende bedrijven verplichten bepaalde datalekken en andere beveiligingsgebeurtenissen aan de FTC te melden, zijn nu van kracht – en we hebben het gemakkelijker voor u gemaakt om deze te melden.
Normen voor het beschermen van klantinformatie – vrienden noemen het de Safeguards Rule – weerspiegelt de intentie van het Congres voor bedrijven om “de veiligheid en vertrouwelijkheid van de niet-openbare persoonlijke informatie van die klanten te beschermen.” Als onderdeel van haar langetermijninspanningen om de regelgeving te herzien om ervoor te zorgen dat deze gelijke tred houdt met de technologische ontwikkelingen en de tijd, heeft de FTC de Safeguards Rule onder toezicht van de toezichthouder geplaatst. Na substantiële input te hebben ontvangen van consumentengroepen, leden uit de industrie en anderen, kondigde de FTC bepaalde updates aan die op 9 juni 2023 van kracht werden. In oktober 2023 kondigde de FTC De FTC heeft herziene bepalingen aangekondigd met betrekking tot het melden van datalekken en beveiligingsincidentenmaar geeft de zakenwereld zes maanden de tijd om zich voor te bereiden op de veranderingen die op maandag 13 mei 2024 van kracht worden.
Eerste dingen eerst. Wie valt onder de Waarborgverordening? Het antwoord luidt: “financiële instellingen” die vallen onder de jurisdictie van de FTC. Maar als ‘financiële instelling’ beelden oproept van depositobewijzen, geldschieters en pennen vastgeketend aan marmeren tafels, denk dan nog eens goed na. Deze definitie is breder dan dat en omvat een grote verscheidenheid aan entiteiten die mogelijk over vertrouwelijke financiële informatie van een consument beschikken. De regelgeving definieert 13 verschillende soorten bedrijven – hypotheekverstrekkers, betaaldagverstrekkers, financieringsmaatschappijen, hypotheekmakelaars, accountserviceproviders, cheque-incassanten, bankoverschrijvingen, incassobureaus, krediet- en andere financiële adviseurs, belastingvoorbereidingsbedrijven, kredietverenigingen die niet federaal verzekerd zijn, en beleggingsadviseurs die zich niet hoeven te registreren bij de SEC – maar zelfs die lijst is niet uitputtend. FTC-beschermingsregels: wat uw bedrijf moet weten biedt informeel personeelsadvies om u te helpen bepalen of deze Regels op u van toepassing zijn.
Wat moeten bedrijven doen nu de rapportagevereisten van de Safeguards Rule van kracht zijn? Lezen Herziene regelgeving zou de eerste stap moeten zijn in uw compliance-inspanningen, maar hier is een kleine schets. Het amendement vereist dat financiële instellingen de FTC zo snel mogelijk – en niet later dan 30 dagen na ontdekking – op de hoogte stellen van een inbreuk op de beveiliging waarbij de informatie van ten minste 500 consumenten betrokken is. Zo definiëren de regels incidenten die meldingen activeren:
Verwerving van niet-gecodeerde klantinformatie zonder toestemming van de persoon op wie de informatie betrekking heeft. Klantgegevens worden voor dit doel als niet-gecodeerd beschouwd als de coderingssleutel toegankelijk is voor een onbevoegde persoon. Onder ongeoorloofde verwerving wordt tevens verstaan ongeoorloofde toegang tot niet-gecodeerde klantinformatie, tenzij u over betrouwbaar bewijs beschikt dat aantoont dat er geen ongeoorloofde verkrijging van dergelijke informatie heeft plaatsgevonden of dat dit waarschijnlijk niet zal gebeuren.
Als dit bij uw bedrijf het geval is, willen wij het u gemakkelijk maken om te voldoen aan de rapportageverplichtingen uit de Regeling Waarborging. U moet het nieuwe onlineformulier gebruiken waarin in eenvoudige taal wordt uitgelegd welke specifieke informatie u moet verstrekken.
Uiteraard bevat de Beschermingsverordening al bepalingen om de veiligheid in uw bedrijf te helpen verbeteren. Lezen FTC-beschermingsregels: wat uw bedrijf moet weten voor details. Houd er bovendien rekening mee dat naleving van de Safeguards Rule de verplichtingen op grond van andere staats- en federale wetten niet vervangt.
