Aufbewahrungs- und Meldepflichten für Datenverstöße

Da Unternehmen zunehmend mit regulatorischen Anforderungen und Beschränkungen hinsichtlich der Nutzung und Verwaltung sensibler Daten konfrontiert sind, steigt für sie das Risiko von Umsatzeinbußen. Schlimmer noch: Der CEO und die Vorstandsmitglieder können persönlich haftbar gemacht werden, wenn sie die sich ständig ändernden Vorschriften nicht einhalten.
Beispielsweise haben jüngste regulatorische Änderungen, wie etwa jene der Securities and Exchange Commission (SEC), die Meldung von Vorfällen und Offenlegung von Cybersicherheitsvorfällen US-amerikanische börsennotierte Unternehmen sind verpflichtet, Cybersicherheitsvorfälle innerhalb von vier Werktagen zu melden. Sie müssen außerdem ihre Cybersicherheitsmanagementstrategien in Jahresberichten detailliert darlegen. Diese Vorschriften veranlassen Unternehmen dazu, Verpflichtungen zur Datenaufbewahrung und zur Meldung von Datenschutzverletzungen in ihre Verträge mit Lieferanten aufzunehmen.
Welche Pflichten bestehen zur Datenaufbewahrung und zur Meldung von Datenschutzverletzungen?
Die Aufbewahrungsregeln legen fest, wie lange ein Anbieter Kundendaten speichert, bevor sie gelöscht werden. Nach Beendigung der Geschäftsbeziehung muss der Anbieter die Kundendaten finden und sicher löschen. Dadurch wird das Risiko eines Cyberangriffs minimiert, da die Datenexposition eingeschränkt wird. Andererseits sind Benachrichtigungen bei Datenschutzverletzungen vertraglich vorgeschrieben. Anbieter müssen ihre Kunden unverzüglich über Sicherheitsvorfälle informieren, die zu unbefugtem Zugriff oder Datenverlust führen. Dies ermöglicht es den Kunden, im Falle einer Datenschutzverletzung geeignete Maßnahmen zu ergreifen, beispielsweise betroffene Personen zu benachrichtigen und weiteren Schaden zu verhindern.
Zur besseren Einordnung: Richtlinien zur Datenaufbewahrung und Benachrichtigung bei Datenschutzverletzungen dienen Kunden dazu, die Nutzung und Verwaltung ihrer Daten durch die von ihnen beauftragten Dienstleister zu schützen. Ein Dienstleister kann verschiedene Arten sensibler Kundendaten speichern, darunter Kundendaten (Namen, Adressen und andere personenbezogene Daten), Mitarbeiterinformationen und vertrauliche Geschäftsdaten (geistiges Eigentum und Geschäftsgeheimnisse).
Welche bestehenden Gesetze regeln die Datenaufbewahrung und die Meldung von Datenschutzverletzungen?
Die Hauptgründe, warum Unternehmen eine Richtlinie zur Datenaufbewahrung und Meldung von Datenschutzverletzungen benötigen, sind der Schutz vor Haftungsansprüchen im Zusammenhang mit Datenmanagement, die Erfüllung vertraglicher Verpflichtungen gegenüber Kunden und die Einhaltung regulatorischer Anforderungen. Nationale Konferenz der Landesparlamente (NCSL) Berichten zufolge haben allein im Jahr 2023 acht US-Bundesstaaten neue Datenschutzgesetze für Verbraucher eingeführt. Unter den bestehenden Gesetzen gibt es verschiedene Rechtsrahmen und bundesstaatliche Verordnungen, die Ihr Unternehmen möglicherweise zur Einhaltung von Vorschriften zur Datenaufbewahrung und zur Meldung von Datenschutzverletzungen verpflichten.
Health Insurance Portability and Accountability Act (HIPAA)
Dies ist ein Bundesgesetz zum Schutz der Gesundheits- und Patientendaten, das zur Kontrolle erlassen wurde. geschützte Gesundheitsdaten (PHI) vor der Offenlegung ohne Einwilligung oder Wissen des Patienten.
Datenaufbewahrung: HIPAA-Datenaufbewahrungsregeln Die betroffenen Organisationen müssen verpflichtet werden, Patientendaten und -aufzeichnungen mindestens sechs (6) Jahre lang aufzubewahren.
Benachrichtigung über Datenschutzverletzung: Verantwortliche Stellen sind verpflichtet, die betroffenen Personen und das US-Gesundheitsministerium (HHS) „ohne unangemessene Verzögerung“ und spätestens innerhalb von 60 Kalendertagen nach Entdeckung des Verstoßes zu benachrichtigen.
Datenschutz-Grundverordnung (DSGVO)
Der Datenschutz-Grundverordnung Die DSGVO ist ein Datenschutzgesetz, das für Organisationen gilt, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten.
Datenaufbewahrung: DSGVO schreibt vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es zur Erfüllung der Zwecke, für die sie ursprünglich erhoben wurden, erforderlich ist (ausgenommen sind Daten zu wissenschaftlichen und Forschungszwecken).
Benachrichtigung über Datenschutzverletzung: Artikel 33 schreibt vor, dass Cybersicherheitsvorfälle innerhalb von 72 Stunden nach ihrer Entdeckung den Aufsichtsbehörden gemeldet werden müssen.
Gramm-Leach-Bliley-Gesetz (GLBA)
Der Gramm-Leach-Bliley-Gesetz reguliert nicht-öffentliche personenbezogene Daten (NPI), das Institutionen, die Finanzprodukte oder -dienstleistungen für Verbraucher anbieten (Kredite, Finanz- und Anlageberatung oder Versicherungen), dazu verpflichtet, offenzulegen, wie sie Verbraucherinformationen weitergeben und ihre Daten schützen.
Datenaufbewahrung: Die Anforderungen betragen sechs (6) Jahre und umfassen die Durchsetzung sicherer Zugriffskontrollen zum Schutz gespeicherter Finanzinformationen.
Benachrichtigung über Datenschutzverletzung: Gemäß den Richtlinien der Federal Trade Commission (FTC) neue Änderung Ab November 2023 müssen Finanzinstitute, die Opfer eines Datenlecks werden, die FTC innerhalb von 30 Tagen informieren, wenn das Datenleck die Daten von 500 oder mehr Verbrauchern betrifft.
Wie Cyera Unternehmen bei der Einhaltung der Anforderungen an Datenaufbewahrung und Meldepflichten bei Datenschutzverletzungen unterstützt
Cyera ermöglicht es Sicherheitsteams, zu verstehen, wo und wie lange Daten gespeichert wurden, damit Unternehmen ihren vertraglichen Verpflichtungen in einer Lieferanten-Kunden-Beziehung nachkommen können.
Datenaufbewahrung: Cyera erstellt ein Dateninventar, das Kundendaten, Daten zum geistigen Eigentum und Geschäftsdaten umfasst, die im Rahmen von Lieferanten-Kunden-Beziehungen ausgetauscht wurden. Cyera bietet Unternehmen die notwendige Transparenz, um betriebliche Aufbewahrungspflichten, wie z. B. die Notfallwiederherstellung, mit vertraglichen oder regulatorischen Anforderungen in Einklang zu bringen.
Datenminimierung: Eine der sichersten Methoden, sensible Daten zu schützen, besteht darin, die Angriffsfläche zu minimieren. Cyera unterstützt Sicherheitsteams dabei, veraltete oder redundante Daten zu identifizieren, die gegen Aufbewahrungsrichtlinien verstoßen und entfernt werden müssen.
Erkennung und Behebung von Sicherheitslücken: Bei Datenschutzverletzungen ermöglicht Cyera Sicherheitsteams, die betroffenen Daten schnell zu erfassen, einschließlich der Anzahl der Datensätze und des Wohnsitzes der betroffenen Person. Der Wohnsitzkontext ist wichtig, um zu verstehen, welche Behörden über eine Datenschutzverletzung benachrichtigt werden müssen. Darüber hinaus zeigt die Cyera-Plattform den Teams an, wer Zugriff auf die Daten hat und welche Sicherheitslücken zu der Verletzung führen könnten. Dies hilft den Teams, die Auswirkungen des Vorfalls zu analysieren, um das Ausmaß des Angriffs zu bestimmen, ihn einzudämmen und die relevanten Stakeholder über die verlorenen Daten zu informieren.
Um mehr über die Datensicherheitsplattform von Cyera zu erfahren und besser zu verstehen, wie Sie Ihre Daten schützen können, besuchen Sie bitte cyera.io/demoDie

.jpg)

