Gevolgen NY Shield Act
Een serie over cybersecurity.
Op 21 maart trad in de staat New York (Verenigde Staten) de Stop Hacks and Improve Electronic Data Security Act (“SHIELD Act”) in werking. Deze Amerikaanse wet heeft óók gevolgen voor Nederlandse organisaties als die beschikken over persoonsgegevens van inwoners van New York. De wet heeft namelijk extraterritoriale werking en is daarom niet alleen van toepassing op bedrijven in de VS, maar ook op andere bedrijven waar ook ter wereld die beschikken over persoonsgegevens van ingezetenen van New York.
Shield Act
De Shield Act regelt een groot aantal onderwerpen rondom het toezicht op het beschermen van privacy van gegevens en consumentenbescherming. ''Voor financiële instellingen in Nederland is het voornamelijk van belang dat er een meldingsplicht geldt indien er een datalek plaatsvindt dat mede betrekking heeft op de persoonlijke informatie van een ingezetene van New York,'' legt Debby Meijer-van der Leest uit, zij is legal consultant bij adviesbureau Charco & Dique.
Persoonsgegevens onder de Shield Act
De Shield Act hanteert de volgende definities van persoonlijke informatie:
- Social Security nummer;
- Rijbewijsnummer of nummer op een ander identiteitsbewijs;
- Rekeningnummer;
- Debit- en creditcard informatie, waaronder:
- Beveiligingscode;
- Toegangsgegevens;
- Wachtwoord;
- Het nummer van de kaart (indien daarmee zonder aanvullende informatie toegang kan worden verkregen tot de achterliggende gegevens);
- Andere informatie waarmee toegang wordt verleend tot financiële informatie, zoals bankrekeningen;
- Biometrische informatie vanuit gezichtsherkenning en andere middelen die data genereren, zoals:
- Vingerafdruk;
- Stem – print;
- Irisscan.
''Data die versleuteld is, wordt niet aangemerkt als persoonlijke informatie indien geen toegang is verkregen tot de sleutel. Ook informatie die openbaar beschikbaar is wordt niet gezien als persoonlijke informatie,” vult Meijer-van der Leest aan.
Wanneer melden?
Op grond van de gewijzigde regelgeving is een organisatie verplicht een datalek van persoonsgegevens direct na het ontdekken te melden aan de natuurlijke persoon waarvan de persoonsgegevens in het datalek zijn betrokken. De melding moet in ieder geval de volgende informatie bevatten:
- Contactinformatie van het persoon/bedrijf dat de melding doet;
- Telefoonnummer en websites van overheidsinstanties die informatie verstrekken over hoe om te gaan met een datalek en het voorkomen van identiteitsfraude;
- Een overzicht van de persoonsgegevens die zijn ingezien of verkregen door een onbevoegd persoon, of waarvan het vermoeden bestaat dat deze onbevoegd zijn ingezien of verkregen.
Twee uitzonderingen
De Shield Act kent twee uitzonderingen op de bovengenoemde verplichting:
1) Indien het een schending (datalek) betreft die onopzettelijk is veroorzaakt door iemand die bevoegd toegang had tot de informatie en er redelijkerwijs wordt vastgesteld dat de blootstelling waarschijnlijk niet zal leiden tot misbruik of schade.
2) Indien er op grond van andere regelgeving omtrent datalekken al een melding is gedaan aan de betreffende natuurlijke personen.
Een melding van een datalek aan de natuurlijke persoon onder de Shield Act mag per e-mail worden gedaan tenzij dat niet gepast is, bijvoorbeeld omdat het datalek betrekking heeft op e-mailadressen en wachtwoorden.
Als het datalek betrekking heeft op de persoonlijke informatie van meer dan 500 ingezetenen van New York, dan moet ook de NY Procureur-Generaal (Attorney General), het New York Department of State en de politie binnen tien dagen worden geïnformeerd.
Shield Act versus AVG
“In de AVG is kortgezegd bepaald dat – afhankelijk van het risico dat betrokkenen schade berokkend wordt – het datalek aan de Autoriteit Persoonsgegevens moet worden gemeld. Voor financiële instellingen geldt dat de betrokkene moet worden geïnformeerd vanuit de zorgplicht van de Wet op het financieel toezicht en niet vanuit de AVG,” zegt Meijer-van der Leest.
''Onder de Shield Act is het eigenlijk omgekeerd,'' gaat ze verder. ''Ieder datalek moet worden gemeld aan de betrokken ingezetene van New York, ongeacht de impact, schade of ernst. Tenzij een van de twee hierboven genoemde uitzonderingen van toepassing zijn.'' De autoriteiten van NEw York hoeven pas geïnformeerd te worden als er meer dan 500 ingezeten betrokken zijn.
Lees ook: De digitale handgranaat
De artikelen in deze serie:
- Offer beveiliging nooit op voor productiviteit
- Laat je hacken of betaal hoge boetes
- Gevolgen NY Shield Act
- Vier op tien trapt in phishing
- In control van cyber risk? 5 stappen
- KPN roept financials op zich in Cyber Security te verdiepen
(bron: Charco & Dique)