________________________________________________
De auteur van dit artikel is een informatiebeveiligingsspecialist, geen advocaat. De meningen in dit artikel mogen niet worden opgevat als juridisch advies. De lezer dient een bevoegde advocaat te raadplegen als een advocaat vereist is met betrekking tot FS 501.171.
________________________________________________
Cybercriminelen struinen het internet af op zoek naar openingen in computersystemen om misbruik van te maken. Ze willen vertrouwelijke informatie van bedrijven en organisaties stelen, wijzigen, vernietigen of op een andere manier onrechtmatig toegang verschaffen. Kwetsbaarheden en bedreigingen nemen toe. Wetshandhavers zijn er niet in geslaagd om “een deuk te slaan” in cybercriminaliteit.
Wetgevers in Florida hebben echter besloten wie het leeuwendeel van de verantwoordelijkheid zou moeten hebben voor het beschermen van PII (of persoonlijk identificeerbare informatie). Individuen hebben nu de verantwoordelijkheid om vertrouwelijke informatie te beschermen als ze een “gedekte entiteit” of een bedrijf in Florida zijn.
Weet u wat de wet (FS 501.171) vereist? Bent u een “Florida Entiteit?” Is uw gegevensverwerkingssysteem geconfigureerd om te voldoen aan de privacywetgeving van Florida? Kunt u aantonen dat u de “redelijke maatregelen” hebt genomen die wettelijk vereist zijn om de vertrouwelijke informatie die u bezit over werknemers, klanten en anderen te beschermen?
Is uw informatiesysteem krachtig genoeg om een āācyberaanval af te schrikken?
Zou u zich met succes kunnen verdedigen tegen een compliance-audit?
Wat kan je nog meer doen?
U kunt een advocaat raadplegen om te bepalen of u gedekt bent door de bepalingen van Florida’s Information Privacy Act. Het verstandige en voorzichtige zou zijn om aan te nemen dat als u vertrouwelijke persoonlijke gegevens over mensen verkrijgt of bewaart, u waarschijnlijk wordt beschouwd als een gedekte entiteit.
De wet van Florida bevat een lange definitie van wat wordt beschermd. Dit zijn: elk materiaal, ongeacht de fysieke vorm, waarop persoonlijke informatie op welke manier dan ook is vastgelegd of bijgehouden, inclusief maar niet beperkt tot geschreven of gesproken woorden, grafisch weergegeven, gedrukt of elektromagnetisch verzonden, dat door een persoon wordt verstrekt voor de doel van het kopen of huren van een product of het verkrijgen van een dienst.
Persoonlijke informatie die onder de privacywetgeving van Florida valt, omvat iemands sofinummer, rijbewijs- of identiteitskaartnummer, paspoortnummer, militaire identiteitskaart of identiteitskaart, andere soortgelijke documenten die worden gebruikt om de identiteit te verifiƫren. Ook inbegrepen zijn financiƫle rekeningnummers, creditcard- of debetkaartnummers met eventuele beveiligingscodes, toegangscodes of wachtwoorden die nodig zijn om toegang tot een individuele rekening mogelijk te maken; alle informatie met betrekking tot iemands medische geschiedenis, mentale of fysieke toestand, of medische behandeling of diagnose door een zorgverlener van een persoon; of het nummer van de zorgverzekering of het verzekeringsidentificatienummer van een persoon en een unieke identificatiecode die door een zorgverzekeraar wordt gebruikt om de persoon te identificeren.
Opslag van vertrouwelijke informatie lijkt alle “papieren” of papieren dossiers te omvatten en die opgeslagen door een clouddienst. De Gedekte Entiteit is als enige verantwoordelijk voor het beveiligen van de informatie die zij heeft verzameld en kan haar verantwoordelijkheden niet overdragen aan een derde partij (zoals een cloudopslagbedrijf).
FS 501.171 stelt dat elke gedekte entiteit, overheidsentiteit of derde partij redelijke maatregelen moet nemen om gegevens in elektronische vorm die persoonlijke informatie bevatten, te beschermen en te beveiligen.
De wet bepaalt onder meer hoe overtredingen aan de autoriteiten worden gemeld (inclusief het aantal gecompromitteerde documenten en meldingsvereisten). Eventuele boetes zijn inbegrepen.
Florida Information Privacy Law, FS 501.171, vereist dat organisaties redelijke stappen ondernemen om vertrouwelijke informatie te behandelen. De wet schrijft echter niet specifiek de details voor van het informatiebeleid en de te gebruiken procedures.
Er zijn een aantal controles en normen voor informatiebeveiliging, die geen van allen kracht van wet hebben. Velen worden echter beschouwd als zeer robuuste beveiligingsmodellen die in het bedrijfsleven en de industrie worden gebruikt. Organisaties dienen naar de mening van de auteur in ieder geval een informatiebeveiligingsbeleid te hebben.
Anders is begeleiding van het management waarschijnlijk afwezig. Voldoen aan de test “redelijke” beschermende maatregelen onder FS 501.171 zou moeilijk zijn als de organisatie niet had gesproken over hoe zij formeel omging met vertrouwelijke informatie.
U moet altijd agressieve actie ondernemen tegen potentiƫle indringers en vertrouwelijke informatie in uw bezit beschermen.
