FTC minder os om retten til at blive glemt
Indholdsfortegnelse:
'Internettet glemmer aldrig' er en advarsel om, at det, du gør online, kan komme tilbage til at hjemsøge dig senere. Det er også en almindelig myte, da indhold ofte forsvinder, enten ved et uheld eller med vilje. Prøv bare at få adgang til de online diskussionsfora, du plejede at læse tilbage i 1998. Eller årtier med MTV News.
I nogle tilfælde vil folk dog gerne have, at deres digitale oplysninger forsvinder – især når de hostes af virksomheder, de ikke længere har tillid til. FTC gjorde det lidt nemmere i oktober, da det afgjort a sag med Marriott International. Dette forlig gør det muligt for forbrugerne at kræve, at Marriott International sletter deres optegnelser. Kan dette danne præcedens i USA, som europæiske forbrugere har nydt godt af i årevis?
Da kriminelle tjekkede ind - og tjekkede millioner af poster ud
I 2018 afslørede Marriott, at ubudne gæster havde kompromitteret reservationssystemet i deres Starwood Hotels & Resorts-datterselskab. I to brud stjal de 339 millioner kunderegistre fra Starwood, inklusive kreditkortoplysninger og pasnumre.
Angrebene begyndte i 2014, før Marriott købte Starwood. Da Marriott opdagede bruddet to år efter købet i 2016, havde det stadig ikke overført Starwood til sit eget reservationssystem. Derefter, mellem 2018 og 2020, skete et tredje brud, denne gang påvirkede Marriotts egne systemer. Denne indtrængen førte til tyveri af yderligere 5.2 millioner kunderegistre, primært for at stjæle deres loyalitetspoint.
FTC's klage mod Marriott fokuserer på to ting. Den første er den påståede manglende levering af passende sikkerhedsforanstaltninger, herunder adgangskodekontrol, softwarerettelser og netværkslogning. Det andet er, hvad FTC betragter som forbrugerbedrag gennem vildledende sikkerhedserklæringer.
Hvad FTC ikke eksplicit beskriver i sin klage, er Marriotts U-turn på sine krypteringskrav. Hotelejeren sagde dengang, at kreditkortnumrene og nogle pasdata i Starwood-bruddet var blevet krypteret med AES-128, en kraftfuld krypteringsprotokol. I et retsmøde den 10. april i år har det dog afslørede, at det var faktisk blevet behandlet ved hjælp af SHA-1 hashing-algoritmen. Ikke alene er dette ikke en krypteringsmekanisme, men sikkerhedsforskere har også afsløret sårbarheder i SHA-1 så langt tilbage som i 2005. NSA har nu trukket den helt tilbage.
Forbrugere vil snart være i stand til at slette deres Marriott-data
Marriott gik med til en stor betaling på 52 millioner dollars i et separat forlig med 50 generaladvokater. Dette tegner sig for 0.8 % af dets omsætning eller lidt over tre dages indtægter – eller sagt på en anden måde, omkring 15 cents pr. berørt forbruger.
Et måske mere væsentligt resultat for de virkelige ofre for Marriott-overtrædelsen var hotelkædens aftale med både staterne og FTC om, at det ville give kunderne mulighed for at slette deres personlige oplysninger fra deres systemer. Marriott skal inkludere en knap på sin hjemmeside, der tillader kunder at anmode om denne datasletning. Den skal derefter bekræfte modtagelsen og forklare datasletningsprocessen inden for 60 dage efter hver anmodning.
Det er ikke første gang, at FTC har udstedt anmodninger om datasletning som en del af sine forlig. I oktober 2022 afgjorde Kommissionen med Chegg, udbyderen af uddannelsesteknologi, for dens påståede cybersikkerhedsmangler, og aftalen omfattede en ordre til virksomheden om at lade forbrugere slette deres data. EN afregning med marketingfirmaet InMarket indeholdt i maj i år også et krav om, at virksomheden skulle slette eventuelle kundeplaceringsdata efter kundens anmodning.
Dog i en analyse af Marriott-sagen siger Jim Dempsey, administrerende direktør for IAPP Cybersecurity Law Center, at Marriott-forliget indeholder noget nyt. "Det var første gang, at FTC krævede, at en virksomhed, der led et sikkerhedsbrud, forsynede alle kunder med et link til at anmode om sletning af personlige oplysninger forbundet med en e-mailadresse og/eller et loyalitetsprogramkontonummer," sagde han.
Spredning af krav til sletning af forbrugerdata
Disse datasletningsbestemmelser kan blive mere udbredte. USA har ikke en føderal privatlivslovgivning. Men masser af love om sletning af data på statsniveau er allerede i kraft eller skal træde i kraft. De, der driver forretning i Californien, Colorado, Connecticut, Utah og Virginia, skal nu slette forbrugerdata efter anmodning, mens lignende love i Iowa og Nebraska træder i kraft i januar næste år. Der er flere på vej.
I Europa har virksomheder beskæftiget sig med dette i lang tid. Den generelle databeskyttelsesforordning (GDPR), som trådte i kraft i 2018, har pålagt forbrugere ret til at slette data.
Alt dette betyder, at FTC's seneste og mest aggressive ret-til-slette-forlig sandsynligvis ikke bliver den sidste. Med en ny, stort set anti-reguleringsregering på vej ind, er det uklart, om kongressen vil vedtage en overordnet føderal lov om ret til at slette snart. Men efterhånden som støtten på statsniveau til foranstaltninger med ret til at slette vokser, giver det FTC mere grundlag for at bruge dette koncept i forlig med virksomheder.
Sådan forberedes
Det er vigtigt for organisationer, der tror, at de kan blive berørt af anmodninger om datasletning, at forberede sig på dem. Der er både juridiske og tekniske aspekter ved dette. At forstå deres ansvar omkring en indgående sletteanmodning betyder, at man vurderer de specifikke karakteristika af disse data i forhold til reglens omfang – uanset om det er et lovligt forlig, en statslov eller en regional regulering. Dette omfatter forståelse af, om formålet med din opbevaring af data er undtaget under reglen, og om du har brug for dataene for at opfylde en kontrakt med den enkelte.
Hvis du skal slette dataene, indebærer det at identificere og indsamle de pågældende oplysninger, ofte fra flere systemer. Oprettelse af en datastyringsstrategi, der understøtter dette, kan omfatte brug af teknologi til at tagge og lokalisere data efter anmodning og derefter oprette sletteposter for at automatisere rapportering.
Jo flere rettigheder forbrugerne får til at slette deres data, jo mere kan det genoprette tilliden til et online-økosystem, der har svigtet dem. Virksomheder, der forbereder sig på denne eventualitet nu, vil gøre mere end at sikre, at de kan overholde den specifikke regel; de vil forbedre dataforvaltningen i en verden, der har hårdt brug for det.
