Wilt u de Privacy Shield-held van uw bedrijf zijn? Vier voorgestelde FTC-schikkingen Stel acties voor die u kunt ondernemen om ervoor te zorgen dat uw bedrijf aan het Privacy Shield voldoet.
DE EU-VS-privacyschildkader stelt bedrijven in staat consumentengegevens legaal over te dragen van landen van de Europese Unie naar de Verenigde Staten. (Er is ook een Zwitsers-Amerikaans raamwerk.) Het ministerie van Handel beheert beide kaders, terwijl de FTC valse of misleidende verklaringen van bedrijven over hun deelname of naleving betwist.
In afzonderlijke klachten beweert de FTC dat vier bedrijven: Klik op Labs, Inc.een in Seattle gevestigde web- en app-serviceprovider; Stimuleringsdiensteneen ontwikkelaar uit Minnesota van beloningsprogramma’s voor werknemers; Wereldwijd datawarehouseeen gegevensopslag- en herstelbedrijf in Dallas; en IT-dienstverleners uit North Carolina TDARX – misleidende beweringen heeft gedaan over het Privacy Shield.
De FTC zegt dat Click Labs en Incentive Services zelfcertificeringsverzoeken hebben ingediend bij het ministerie van Handel voor zowel de EU-VS als de Zwitsers-Amerikaanse raamwerken, maar deze niet hebben afgerond. Desondanks zeiden beide bedrijven op hun websites dat ze aan de regels voldeden.
Volgens de zaken tegen Global Data Vault en TDARX lieten deze bedrijven, hoewel ze ooit deelnamen aan het EU-VS Privacy Shield, hun certificeringen vervallen, wat betekent dat beweringen in hun privacybeleid over hun status vals waren. Bovendien wordt in de klachten beweerd dat zij, hoewel zij deelnemers waren, er niet in zijn geslaagd de jaarlijkse zelfbeoordeling of de externe nalevingsbeoordeling uit te voeren die van alle deelnemers aan het Privacy Shield vereist is. Hoe zit het met de gegevens die zij ontvingen gedurende de tijd dat zij deelnamen? Het raamwerk biedt voormalige deelnemers drie opties: de voortdurende naleving van de Privacy Shield-principes voor die informatie bevestigen, deze teruggeven of verwijderen. De FTC zegt dat Global Data Vault en TDARX er niet in zijn geslaagd een van de drie te doen.
De voorgestelde overeenkomsten verbieden bedrijven om op valse wijze hun deelname aan of naleving van het EU-VS Privacy Shield-raamwerk of enig ander privacy- of gegevensbeveiligingsprogramma dat wordt gesponsord door een overheid, zelfregulerende groep of standaardbepalende organisatie, voor te stellen. Bovendien moeten Global Data Vault en TDARX Privacy Shield-bescherming toepassen op persoonlijke informatie die is verzameld tijdens uw deelname aan het programma, of de informatie retourneren of verwijderen. Zodra de overeenkomsten in het Federal Register verschijnen, heeft u 30 dagen de tijd om openbaar commentaar te geven.
Hoe kunt u uw bedrijf helpen een raamwerkfout te voorkomen? Overweeg deze drie stappen:
- Deelname aan het raamwerk is vrijwillig, maar maak pas reclame voor deelname als de aanvraag van uw bedrijf is geaccepteerd.
- Zet een herinnering in uw agenda om jaarlijks het vereiste hercertificeringsproces en de jaarlijkse audit af te ronden.
- Als uw bedrijf ervoor kiest zich terug te trekken uit deelname, verwijder dan de verwijzingen naar Privacy Shield van uw website, inclusief uw privacybeleid. Denk er ook over na hoe uw bedrijf de informatie die is verzameld terwijl u deelnam, adequaat zal beschermen – of veilig zal retourneren of verwijderen.
Bezoek de FTC Privacy Shield-pagina voor meer middelen.
