We weten dat de AVG (link) een stok achter de deur is om datalekken te voorkomen, we zien nu dat de staat New York een zelfde stok heeft en daarmee optreedt tegen verzekeraar First-American. De affaire is niet puur lokaal. Iedereen die zaken doet met Amerika moet daarom weten hoe daar op het niveau van de staten tegen datalekken wordt opgetreden.
Centraal staan de burgers
De AVG in de EU, de CCPA in Californië en de Cybersecurity Regulation van New York State Department of Financial Services (DFS) hebben gemeen dat ze de burgers uit die gebieden beschermen tegen onder andere datalekken. De EU kan tegen een bedrijf in de VS optreden en de DFS tegen een bedrijf dat inwoners van New York als klant heeft.
Het is dit centraal stellen van de eigen burgers waardoor deze wetgeving ook bij ondernemers in Nederland bekend moet zijn. De CCPA is sinds begin dit jaar van kracht, met ingang van deze maand wordt er gehandhaafd. De Cybersecurity Regulation (CR) van de DFS is wat dat betreft nog niet eerder opgevallen.
Primeur voor datalekken bij First-American
Verzekerings- en hypotheekbedrijf First-American uit de staat Nebraska heeft de trieste primeur als eerste door de DFS te worden vervolgd. De toezichthouder heeft vastgesteld dat tussen oktober 2014 en mei 2019 (!) de web omgeving fout was geconfigureerd.
DFS heeft 850 miljoen documenten geturfd die niet waren afgeschermd. 65 miljoen waren door First-American voorzien van de tag NPI, in Nederland heet dat “bevat persoonlijke gegevens” of “PII”. Een deel van die documenten betrof klanten in de staat New York.
Persaandacht
Dat er bij de verzekeraar iets fout wat was al langer bekend. Tech journalisten hebben er over geschreven en het gat is sinds vorig jaar gedicht. Dat het bedrijf er niet zo makkelijk mee zou wegkomen was te verwachten en de mededeling van de DFS is dan ook door meer dan alleen de tech pers overgenomen.
De persaandacht is groot en dat komt natuurlijk mede omdat de CCPA nu gehandhaafd wordt en zelfs in Amerika bekend is dat onder de AVG/GDPR de eerste boetes zijn uitgedeeld. De melding van de DFS is op veel meer plekken dan de gewone pers of bij de tech titels te lezen. Websites voor de verzekeringssector, accountants, compliance specialisten en juristenblogs besteden er flink aandacht aan. De langdurige en omvangrijke datalekken kunnen namelijk een prijskaartje krijgen waardoor First-American in de problemen komt. Dat de DFS actie de deur op een kier zet voor claims van individuen of collectieven speelt is ook belangrijk om te weten.
Boetebeleid
Het is nu eerst wachten op de boete die DFS op gaat leggen (en dat de strijd voor de rechter over de hoogte). Onder de CR heeft de toezichthouder het recht een boete tot $1.000 per overtreding op te leggen. Bekend is dat First-American veel inwoners van de staat New York als klant heeft en dat van alle zichtbare records ongeveer 8% PII hadden. Een enorme boete met meer dan zes nullen voor de komma is goed mogelijk.
Nederlandse ondernemers weten dat ze onder de AVG/GDPR alles moeten doen om datalekken te voorkomen en dat er een meldplicht is. Waarschijnlijk weet niet iedereen dat zoiets ook geldt onder de CR. Iedereen doet er dus goed aan het klanten- en relatiebestand door te nemen om vast te stellen of daar inwoners van New York tussen zitten. En vervolgens moet men weten wat de meldingsprocedure voor een datalek is. Vergelijkbare stappen zijn als het goed is al eerder genomen, voor zowel de AVG/GDPR als de CCPA.