Uiteraard zijn de schikkingsbepalingen van de FTC alleen van toepassing op die bedrijven. Maar bedrijven met kennis van zaken weten dat er veel te leren is van vermeende misstappen van anderen. FTC wetshandhaving optreden tegen Upromise was geen uitzondering.
Volgens de klacht introduceerde het lidmaatschapsprogramma voor universiteitsbesparingen een werkbalk die de persoonlijke gegevens van gebruikers verzamelde zonder voldoende bekend te maken wat er gebeurde. Onder de voorwaarden van het voorgestelde bevel zal Upromise gebruikers informeren over hoe ze werkbalken die al op hun computers staan kunnen verwijderen, gebruikers toestemming geven voordat ze een werkbalk installeren of opnieuw inschakelen, en zal het haar toekomstige praktijken voor gegevensverzameling duidelijk bekendmaken. De schikking verbiedt ook een verkeerde voorstelling van zaken over de privacy en veiligheid van de persoonlijke informatie van een individu, en vereist dat Upromise een alomvattend informatiebeveiligingsprogramma implementeert, inclusief onafhankelijke veiligheidsbeoordelingen gedurende de komende twintig jaar.
Welke impact zullen deze zaak en andere recente handhavingsmaatregelen hebben op uw bedrijf?
Weet dit voordat je begint. Voordat u de sleutel omdraait, moet u weten hoeveel paarden u heeft. Zorg er op dezelfde manier voor dat u, voordat u nieuwe technologie lanceert, zoals een werkbalk of app, duidelijk begrijpt welke informatie deze verzamelt. Beter nog: neem besluitvorming, verificatie en monitoring van gegevensbeveiliging op in het ontwerpproces. Het is meestal gemakkelijker om een oplossing in een vroeg stadium te implementeren dan een oplossing enkele dagen vóór de levering of als reactie op een veiligheids-‘oeps’ te reverse-engineeren.
Maak het zorgvuldig. Nog niet zo lang geleden gingen marketeers ervan uit dat hoe meer informatie ze verzamelden, hoe beter – en dat als iets technologisch haalbaar was, ze onderweg zouden zijn. Maar het risico van kostbare inbreuken op de beveiliging of verontrustende gegevensfouten heeft slimme managers die mentaliteit geleerd
Zeg het maar. Over het algemeen bieden deze wetten bedrijven flexibiliteit bij het ontwerpen van hun gegevensverzamelingsprogramma’s. Maar de beste praktijk is om gebruikers te vertellen wat u verzamelt, dit te communiceren in woorden die gewone mensen kunnen begrijpen, en uw beleid te respecteren.
Houd uw serviceprovider in de gaten. Volgens de klacht van de FTC tegen Upromise heeft het bedrijf dienstverleners ingehuurd om werkbalken en gepersonaliseerde aanbiedingsfuncties te ontwikkelen die aanleiding gaven tot bezorgdheid over het verzamelen van gegevens. Maar volgens de FTC-wet kunnen bedrijven aansprakelijk zijn voor wat anderen in hun naam doen. Als onderdeel van haar informatiebeveiligingsprogramma vereist het voorgestelde bevel dat Upromise redelijke stappen onderneemt om “dienstverleners te selecteren en te behouden die in staat zijn persoonlijke informatie op passende wijze te beschermen” en om contractuele voorwaarden op te nemen die dienstverleners verplichten “passende waarborgen te implementeren en te handhaven.” Bestelvoorwaarden zijn alleen juridisch bindend voor Upromise, maar zijn een goed advies om te overwegen de volgende keer dat u met een extern bedrijf werkt.
