De kans is groot dat uw bedrijf persoonlijke informatie verzamelt over klanten, werknemers en / of partners. Dit betekent dat u verplicht bent om die informatie te beschermen. Nalaten dit te doen kan leiden tot juridische problemen of zelfs faillissement. Helaas zijn veel bedrijven de afgelopen jaren in deze situaties terechtgekomen.
Jane Hils Shea, technologie- en gegevensprivacyadvocaat voor Frost Brown Todd zei in een e-mailinterview met Small Business Trends: "De frequentie en omvang van datalekken staat op een recordniveau, zowel wat betreft het aantal schendingen als het aantal individuele records gecompromitteerd, en de kosten in verband met de gegevens-inbreuk reactie neemt toe. "
$config[code] not foundDit is wat uw bedrijf moet weten over persoonlijke informatie en hoe het te beschermen.
Wat is persoonlijke informatie?
Persoonlijk identificeerbare informatie of gevoelige persoonlijke gegevens kan alles zijn dat wordt gebruikt om de persoonlijke identiteit van een persoon te identificeren. Bijvoorbeeld:
- Naam
- Burgerservicenummer
- Contactgegevens
- betalingsinformatie
- IP adres
De kans is groot dat uw bedrijf al wat van deze informatie over uw klanten verzamelt. Telkens wanneer iemand met een creditcard betaalt of zich aanmeldt voor uw e-maillijst met zijn naam en contactgegevens, krijgt u toegang tot persoonlijke informatie.
Dit betekent dat u beleid moet hebben om deze informatie te beschermen en klanten te laten weten hoe u deze gegevens wilt gebruiken. Dit is wat je moet weten.
Waarom is persoonlijke informatie belangrijk voor uw kleine onderneming?
Er zijn wetten en regels die bedrijven ertoe verplichten aan bepaalde normen te voldoen als het gaat om het opslaan en beschermen van persoonlijke informatie. In de meeste gevallen bent u gebonden aan de feitelijke taal die u gebruikt in uw eigen privacybeleid. Het is dus belangrijk dat u precies beschrijft hoe u van plan bent om persoonlijke informatie die u verzamelt te gebruiken en dat klanten ermee instemmen dat beleid te voeren wanneer zij zaken met u doen. Er zijn echter ook andere normen die van toepassing zijn op specifieke industrieën.
Shea zegt: "Een online bedrijf dat persoonlijke gegevens verzamelt over personen die zich in de Verenigde Staten bevinden, is primair gebonden aan de beloften die in het privacybeleid van de website zijn gedaan. INDIEN een bedrijf deel uitmaakt van de financiële dienstverlening of de gezondheidszorg, kan het onderworpen zijn aan de vereisten van de Gramm-Leach-Bliley Act (GLBA) of de Health Information Protection and Portability Act (HIPAA). Als het gegevens over kinderen onder de 13 jaar verzamelt, kan het aansprakelijk zijn volgens de Children's Online Privacy en Protection Act (COPPA). "
Betalingen zijn een ander belangrijk gebied waarop bedrijven hun beveiligingsinspanningen moeten richten. Shea legt uit: "Bedrijven die creditcards accepteren, moeten er zeker van zijn dat ze voldoen aan de standaarden voor gegevensbeveiliging van betaalkaarten (PCI-DSS). Alle bedrijven die met een creditcard betalen, moeten volgens hun kaartverwerkingsovereenkomst de PCI-DSS hebben geïmplementeerd en onderhouden. "
Online bedrijven moeten zich ook bewust zijn van internationale wetten of wetten die zich richten op persoonlijke informatie van klanten buiten de Verenigde Staten, zoals de GDPR-wetgeving die eerder dit jaar van kracht werd voor de EU.
Als het gaat om het beschermen van persoonlijke gegevens, vereisen de regels voor identiteitsdiefstal van de Fair Credit Reporting Act dat bepaalde bedrijven schriftelijke anti-diefstalbeschermingsprogramma's hebben. En veel leverancierservicecontracten vereisen ook dat bedrijven standaard beveiligingsprocedures implementeren als onderdeel van hun contractafspraken.
Hoe kan uw bedrijf persoonlijke gegevens beschermen?
Er zijn veel stappen die u kunt en moet nemen om de gevoelige gegevens en persoonlijk identificeerbare informatie die u verzamelt over klanten, werknemers en verkopers te beschermen. Uw exacte plan hangt af van welke gegevens u feitelijk verzamelt. Maar er is één essentieel principe dat van toepassing is op vrijwel elk bedrijf.
Shea zegt: "De belangrijkste regel en de eerste stap voor een bedrijf om te beschermen tegen gegevensinbreuken is om" uw gegevens te kennen ". Een sterk programma voor informatiebeveiliging begint met een gegevensinventaris en een gegevenskaart. Deze oefening vertelt een bedrijf welke persoonlijke gegevens hij verzamelt en verwerkt over zijn klanten en zijn werknemers, en identificeert waar het zich in zijn systeem bevindt, zodat het die gegevens het beste kan beschermen. Verder moet het begrijpen hoe de persoonsgegevens worden verwerkt en verzonden, hoe lang deze worden bewaard en wat de verplichtingen voor gegevensverwijdering zijn. "
Ze heeft ook een handvol concrete stappen aangeboden die je kunt gebruiken. Bijvoorbeeld:
- Verwijder alle gegevens van uw systeem die u niet gebruikt of die u moet bewaren om juridische of nalevingsredenen.
- Ontwikkel een datadered reactieplan.
- Ontwikkel een business resilience-plan en maak back-ups van essentiële gegevens in een betrouwbare cloudserver.
- Codering toevoegen voor de overdracht en opslag van gevoelige persoonlijke gegevens.
- Train medewerkers op beveiligingsbewustzijn.
- Vereist dat medewerkers sterke wachtwoorden, tweefactorauthenticatie en andere preventieve beveiligingspraktijken gebruiken.
- Neem contact op met uw leveranciers over hun beveiligingsmaatregelen en -praktijken.
- Gebruik EMV-chipkaarttechnologie om het risico op kaartfraude te verminderen.
Foto via Shutterstock
Meer in: Wat is 2 Opmerkingen ▼
