Hoe beïnvloedt de New York SHIELD-wet de privacy van onze privégegevens?
Enigszins begrijpelijk betekent de huidige pandemie van het coronavirus dat op dit moment niet zoveel mensen nadenken over gegevensbeveiliging. Desalniettemin zal het virus binnenkort (hopelijk) worden verslagen en moeten we terug naar ons normale leven. Daarom werd, ondanks de blokkering, op 21 maart de SHIELD-wet van New York officieel van kracht. Laten we eens kijken hoe dit de cyberbeveiligingswereld kan beïnvloeden.
Table of Contents
Wat is de SHIELD-wet?
SHIELD staat voor Stop Hacks en Improve ELectronic Data-beveiliging en werd ondertekend in juli 2019. Het werd geaccepteerd door de staat New York, maar het is belangrijk op te merken dat het van invloed is op alle organisaties die de persoonlijke informatie van New Yorkers verwerken. Nagesynchroniseerd als een uitbreiding op de bestaande wet op de melding van datalekken, zijn enkele van de bepalingen ervan de afgelopen maanden van kracht geweest, maar pas eind maart werden de laatste officieel gemaakt.
Het doel is ervoor te zorgen dat bedrijven meer doen om de persoonsgegevens van consumenten te beschermen, en het moet gezegd worden dat dit niet de eerste handeling van dit type is. De GDPR (of Algemene Verordening Gegevensbescherming) van de Europese Unie werd geïmplementeerd in mei 2018 en een maand later ondertekende Californië zijn eigen California Consumer Privacy Act (CCPA). Juridische experts zeggen dat de veranderingen die SHIELD introduceert vergelijkbaar zijn met wat de EU en The Golden State hebben.
Hoe verandert de SHIELD-handeling de manier waarop bedrijven met onze gegevens omgaan?
Volgens de wet- en privacyblog AdLawAccess.com kunt u de bepalingen van SHIELD in drie categorieën verdelen.
Bedrijven moeten eerst nadenken over het implementeren van administratieve initiatieven, waaronder het aanwijzen van een of meer werknemers die verantwoordelijk zijn voor het beveiligingsprogramma van het bedrijf, het organiseren van trainingssessies zodat het personeel beter voorbereid is om gegevens veilig te verwerken, gelijke tred te houden met de huidige trends op het gebied van cyberbeveiliging, en het beoordelen van de risico's die ze opleveren.
Vanuit technisch oogpunt moeten bedrijven de risico's die verbonden zijn aan hun netwerkinfrastructuur en de softwareproducten die ze gebruiken beoordelen en proberen te beperken. Ze worden ook geadviseerd om na te denken over het ontwerp van hun gegevensverwerkingsmechanismen en over het incidentresponsplan in het geval dat het ergste gebeurt.
Last but not least moeten organisaties een aantal fysieke beveiligingen implementeren, waaronder mechanismen die ongeautoriseerde toegang detecteren en voorkomen en de veilige verwijdering van privégegevens waarborgen.
De nieuwe wet brengt ook enkele wijzigingen aan in de vereisten voor bedrijven die te maken hebben gehad met cyberbeveiligingsincidenten, en breidt enkele definities uit die zijn vastgelegd in de huidige wetten. De wet schrijft voor dat de omvang van de veranderingen die organisaties moeten doorvoeren, afhankelijk is van de omvang van hun bedrijf.
Werkt SHIELD echt?
Bedrijven zullen waarschijnlijk kennis nemen van de nieuwe wet. New York is een belangrijk economisch gebied en er zullen maar weinig organisaties zijn die hierin willen stoppen. Sommigen zullen het onvermijdelijk onmogelijk vinden om aan de nieuwe regels te voldoen en zullen waarschijnlijk besluiten de staat te verlaten, maar de meerderheid zal proberen hun verdediging te verbeteren en betere beveiligingspraktijken te implementeren, niet alleen voor hun in New York gevestigde gebruikers, maar voor iedereen. Dit moet toch goed nieuws zijn. Zal het al onze problemen oplossen?
Er zijn mensen die de geldigheid van wetten als GDPR, CCPA en SHIELD in twijfel trekken, en ze hebben niet helemaal gelijk. De nieuwe wetten hebben gebruikers gemakkelijker toegang gegeven tot informatie over de manier waarop met hun gegevens wordt omgegaan, en ze hebben bedrijven ook gedwongen hun beschermingsmechanismen te versterken. Degenen die faalden, hebben behoorlijk hoge boetes gekregen.
Helaas heeft dit alles de eindeloze stroom van datalekken en lekken niet gestopt. Bedrijven blijven zelfs dwaze fouten maken en de resultaten zijn soms behoorlijk verwoestend. Dus nee, SHIELD is geen wondermiddel. Het zal bedrijven er hopelijk toe brengen robuustere beveiligingsstrategieën te ontwikkelen, maar het zal hen niet immuun maken voor incidenten op het gebied van cyberbeveiliging. Bedrijven moeten dit ook beseffen en ze moeten zien welke aanvullende maatregelen ze kunnen nemen om hun gebruikers te beschermen. Hoe eerder ze het doen, hoe beter.
