Loi sur la notification des violations de données :comment élaborer une réponse sûre
Le nombre de violations de données signalées augmentant régulièrement chaque année, elles sont si fréquentes dans l'actualité qu'il est difficile de toutes les conserver. En 2017, Equifax a subi une violation massive et près de 150 millions de dossiers de clients (représentant près de la moitié de la population américaine) ont été volés. En 2018, Marriott International a été victime d'une infraction au cours de laquelle des centaines de millions de dossiers de clients, y compris des informations personnelles, des numéros de carte de crédit et même des numéros de passeport, ont été compromis.
Les violations de données affectent tous les types d'organisations - grandes et petites, populaires et peu connues. Alors que les brèches des grandes entreprises font l'actualité, vous entendez rarement parler de petites entreprises qui sont souvent vulnérables et peuvent se retrouver dans la ligne de mire des cybercriminels. La plupart impliquent un type de piratage, comme des attaques de phishing ou des logiciels malveillants, où un attaquant parvient à accéder à des informations protégées ou privées.
Lois sur la notification des violations de données – C'est compliqué
Si votre entreprise de fabrication subit une brèche, que ferez-vous ? Faut-il prévenir immédiatement les forces de l'ordre ? Avertir les clients ? Y a-t-il quelqu'un d'autre à informer? Combien de temps avez-vous ?
Les réponses sont compliquées. Bien qu'il n'existe aucune loi fédérale complète, chaque État et territoire a sa propre loi sur la notification des violations de données. Ces lois exigent que toute personne qui subit, ou même soupçonne, une violation d'informer les clients de tout ce qui implique des informations personnellement identifiables. Les lois exigent également de notifier les forces de l'ordre et de prendre des mesures spécifiques pour remédier à la situation. Mais les lois des États varient considérablement en ce qui concerne les types d'informations couvertes, le calendrier des notifications et les normes de déclaration. Qui doit se conformer et ce qui constitue même des données personnelles varie d'un État à l'autre. Ajoutant à la complexité, les exigences changent également, certains États ayant récemment mis à jour leurs lois.
Combien de temps ai-je pour signaler une violation de données ?
La plupart des lois sur la notification des données exigent que les entreprises informent leurs clients sans délai déraisonnable. La durée varie selon l'État et le secteur d'activité. Lorsqu'ils font face à une violation de données, les fabricants ont des responsabilités concurrentes - envers leur entreprise, les autres acteurs du secteur, les clients et les forces de l'ordre. Il existe même des circonstances où les forces de l'ordre enquêtent sur une violation et celle-ci doit être temporairement dissimulée.
Préparez-vous aux violations de données avant qu'elles ne se produisent
Traitez les plans de notification de violation de données comme vous le feriez pour tout autre plan en cas de catastrophe - n'attendez pas ! Puisqu'il n'y a pas de réponse unique et standard à une violation de données, les fabricants américains doivent comprendre les lois nationales et fédérales spécifiques qui s'appliquent à eux. Les fabricants doivent tenir compte des lois de tous les États où ils exercent leurs activités.
Heureusement, il existe plusieurs excellentes ressources vers lesquelles les fabricants peuvent se tourner pour plus de clarté. Plusieurs organisations résument les lois des États sur les violations de données, notamment la Conférence nationale des assemblées législatives des États, la gouvernance informatique et Perkins Coie.
Pour vous assurer que votre entreprise de fabrication respecte les lois sur la protection des données, vous devez rester au courant des réglementations en vigueur dans votre état et votre secteur. Une violation de données sera toujours un événement stressant. La connaissance de vos obligations et un plan en place peuvent atténuer une partie du stress et vous aider à éviter de lourdes amendes. Voici quelques conseils :
- Identifiez les lois de l'État et de l'industrie qui s'appliquent à votre entreprise
- Documentez les exigences de notification de violation de données qui affectent votre entreprise, ainsi que le ou les processus permettant de répondre à ces exigences dans le pire des cas
- Créez une politique autour des exigences de notification de violation qui affectent votre entreprise
- En cas de chevauchement des réglementations, utilisez la plus stricte pour la politique de votre entreprise
- Créez des ébauches de lettres de notification et d'e-mails à l'avance
- Créez une stratégie de communication claire pour les violations de données et transmettez-la à l'avance aux services juridiques et aux relations publiques de votre entreprise, si nécessaire
Le réseau national MEP est prêt à vous aider
Pour vous aider à comprendre les lois de votre État en matière de notification de violation de données et d'autres questions de cybersécurité, vous pouvez contacter l'un des 51 centres MEP, situés dans les 50 États et à Porto Rico, qui font partie du réseau national MEP TM .
Technologie industrielle
- Comment sécuriser la technologie cloud ?
- Comment les données permettent la chaîne d'approvisionnement du futur
- Comment créer une stratégie de Business Intelligence réussie
- Comment rendre les données de la chaîne d'approvisionnement fiables
- Comment la technologie Blockchain améliorera les soins de santé mobiles
- Comment les fabricants peuvent augmenter l'agilité dans un monde post-pandémique
- Comment l'IA résout le problème des données "sales"
- Métrologie à distance :voici comment collecter des données de fabrication critiques
- Qu'est-ce que le SPC :comment les fabricants stabilisent la production d'usinage