Dataminimering er lige blevet rigtig med CCPA's første håndhævelsesrådgivning
Indholdsfortegnelse:
Der er en klausul i California Consumer Protection Act (CCPA) om dataminimering, som Rolling Stones kunne have skrevet. Den siger, at man som virksomhed ikke altid kan få de data, man ønsker, men man får det, man har brug for. Dataminimering betyder kun at indsamle nok data til det nødvendige formål og ikke mere. Som et ekstremt eksempel, hvis du vil sende nogen et elektronisk nyhedsbrev, har du lov til at bede om deres e-mailadresse, men ikke om en scannet kopi af deres kørekort.
Seks år efter at have påbudt dataminimering i loven, har Californiens Privacy Protection Agency (CPPA) udstedt en håndhævelsesrådgivning forklarer, hvor alvorligt det tager dette problem.
CCPA giver forbrugerne mulighed for at bede organisationer om adgang til de data, der opbevares om dem, og at rette eller slette dem, hvor det er nødvendigt. Den 2. april-rådgivning rapporterer, at mange organisationer har bedt om for meget information, når de opfylder disse anmodninger. Budskabet er klart: Skær det ud.
Gør som europæerne
CPPA's tilgang her afspejler tæt Europas, ifølge Odia Kagan, partner og formand for GDPR Compliance & International Privacy Practice hos Fox Rothschild LLP.
"Reglen om ikke at bruge de oplysninger, du får i forbindelse med forespørgsler til andre formål, og kun at indsamle det, du har brug for, er nøjagtig den samme i Europa," siger hun til ISMS.online. "Vi har den europæiske databeskyttelsesmyndigheds vejledning om dette."
Så hvorfor anvender virksomheder ikke blot dataminimering som anmodet, når de behandler anmodninger? Det er ikke en simpel no-brainer, påpeger Kagan; det er en balance mellem bekvemmelighed og sikkerhed. Det er især vigtigt, når du behandler anmodninger om at få adgang til og slette oplysninger.
"Sletning og adgang er vigtigere, fordi du giver information, der kan være risikabel for personen, hvis den kompromitteres," siger hun.
Geolokaliseringsdata er et godt eksempel. Hvis nogen udgiver sig for at være den legitime ejer af geolokationsdata og anmoder om adgang, kan de finde ud af følsomme oplysninger. Som Kagan påpeger, kunne dette omfatte, om de gik til en abortklinik – et særligt følsomt emne i USA i dag.
Anmodninger om sletning er også risikable. "Hvad hvis nogen anmoder om at slette familiebilleder?" tilføjer hun. Drive-by-fotosletninger er måske ikke livstruende, men de er stadig meget oprørende – og potentielt juridisk skadelige for dataindehaveren.
Efterligning er en reel trussel
Personefterligning ved anmodninger om dataadgang er en reel trussel, som påvist af University of Oxford-forsker James Pavur i 2019. Med sin forlovedes tilladelse, foregav at være hende ved indsendelse af anmodninger om dataadgang i henhold til GDPR-reglerne.
Næsten en fjerdedel af de 83 virksomheder, som han kontaktede, og som havde data, gav dem uden at bekræfte hans identitet overhovedet, mens 16 % anmodede om en let forfalsket type ID. Han fik resultaterne af kontrol af straffeattesten sammen med rejsejournaler og skolekarakterer.
Virksomheder skal gøre deres due diligence, men de må ikke være for restriktive, forklarer Kagan.
"Du ønsker ikke at gøre det for svært at udføre en anmodning, og du ønsker ikke at blive impliceret med data, der er følsomme," påpeger hun. Indsamling af for mange følsomme data til at verificere en persons identitet udsætter dem ikke blot for en risiko for reguleringsindgreb; det risikerer også mere ansvar, hvis disse verifikationsdata efterfølgende bliver brudt.
Sådan går du linjen
Så hvordan kan virksomheder stå på grænsen uden at træde over det? Håndhævelsesrådgivningen giver to eksempler på, hvordan virksomheder, der modtager anmodninger, kan overholde disse regler.
Det første eksempel er en opt-out anmodning fra salg af personlige oplysninger. Dette er den nemmeste at navigere i, fordi behandling af opt-out-ansøgninger overhovedet ikke kræver identifikationsbekræftelse i henhold til CCPA. Den skal blot bruge de nødvendige oplysninger til at referere til kunden, såsom en e-mailadresse.
Det andet eksempel involverer nogen, der beder en virksomhed om at slette deres personlige oplysninger, når de ikke har en konto i organisationen. Denne virksomhed skal bekræfte den enkeltes identitet.
De mest grundlæggende spørgsmål er beskrevet i 11 CCR § 7002(c)-(d) og er i bund og grund disse:
- Er de oplysninger, vi indsamler, mere end det minimum, vi har brug for?
- Hvad er de potentielle negative konsekvenser for enkeltpersoner ved at indsamle eller behandle oplysningerne?
- Er der sikkerhedsforanstaltninger (såsom kryptering eller automatiseringssletning), der kan beskytte forbrugerne?
I de angivne eksempler advarer rådgiveren erhvervslivet om at spørge sig selv, om de skal indsamle flere oplysninger, end de allerede har fra forbrugeren. CCPA rynker generelt på panden ved at anmode om flere oplysninger til verifikation, medmindre det er absolut nødvendigt, og beder virksomhederne om at slette dem, hvis de indsamles.
Tid til at forberede sig
Kagan advarer sine kunder om at forberede sig på disse spørgsmål ved at udføre en risikoanalyse. Dette omfatter vurdering af de data, som organisationen har om individet, sammen med følsomheden af disse data. De kan bestemme det passende autentificeringsniveau i betragtning af anmodningens art og kan beslutte, om de kan bruge data, de allerede har til at hjælpe med at autentificere en person.
Virksomheder bør tage dataminimering alvorligt, siger hun, da det er ved at blive et centralt emne i datahåndteringen. UK Information Commissioner's Office (ICO) har sit eget vejledning, ligesom forskellige amerikanske stater. US Federal Trade Commission er også blevet mere og mere interesseret i emnet og prioriterer dataminimering i sit tilfælde mod alkoholudbringningstjenesten Drizly, og efter sigende fokuserer på punktet i sin kommende kommercielle overvågnings- og datasikkerhedsregel.
Forskellige jurisdiktioner har for det meste det samme krav: at indsamlede data er nødvendige til det tilsigtede formål.
"Det faktum, at det er almindeligt og enkelt, betyder ikke, at det er nemt," slutter Kagan. ”Det er slet ikke let at implementere. Men standarden er ret almindelig lige nu."
