Uiteraard zijn de voorwaarden van een FTC-schikking alleen van toepassing op dergelijke activiteiten. Maar de meeste goed geïnformeerde bedrijven weten dat je veel kunt leren van de waargenomen misstap van iemand anders. De FTC tegenactie tegen Upromise is geen uitzondering.
Volgens de klacht introduceerde het spaarprogramma voor studenten een werkbalk die de persoonlijke gegevens van gebruikers verzamelde zonder de omvang van wat er gebeurde adequaat bekend te maken. Onder de voorwaarden van het voorgestelde besluit zal Upromise gebruikers informeren over hoe ze werkbalken die al op hun computers staan kunnen verwijderen, goedkeuring van de gebruiker verkrijgen voordat werkbalken worden geïnstalleerd of opnieuw geactiveerd, en zal het in de toekomst duidelijk haar praktijken voor het verzamelen van gegevens bekendmaken. De overeenkomst verbiedt ook een verkeerde voorstelling van zaken over de privacy en veiligheid van de persoonlijke informatie van mensen en vereist dat Upromise een alomvattend informatiebeveiligingsprogramma implementeert, inclusief onafhankelijke veiligheidsbeoordelingen om de twee jaar gedurende de komende twintig jaar.
Wat moeten deze zaak en andere recente wetshandhavingsacties voor uw bedrijf betekenen?
Laat u informeren voordat u begint. Voordat je de sleutel omdraait, moet je weten hoeveel pk’s je onder de motorkap hebt. Voordat u nieuwe technologie, zoals een werkbalk of app, implementeert, moet u er ook voor zorgen dat u duidelijk weet welke informatie deze verzamelt. Beter nog: integreer besluitvorming, verificatie en monitoring op het gebied van gegevensbeveiliging in het ontwerpproces. Het is meestal gemakkelijker om het vanaf het begin goed te doen dan een oplossing dagen vóór de levering of als reactie op een veiligheids-‘oeps’ te reverse-engineeren.
Doe het voorzichtig. Nog niet zo lang geleden gingen marketeers ervan uit dat hoe meer informatie ze verzamelden, hoe beter – en als iets technologisch haalbaar was, met volle kracht vooruit. Maar het risico van een kostbare inbreuk op de beveiliging of een verontrustende storing in de gegevens heeft senior executives deze mentaliteit geleerd
Vertel het. Over het geheel genomen geeft de wet bedrijven flexibiliteit bij het vormgeven van hun gegevensverzamelingsprogramma’s. Maar de beste praktijk is om gebruikers te vertellen wat u verzamelt, dit te communiceren in woorden die normale mensen zullen begrijpen, en uw verklaarde beleid te respecteren.
Houd uw dienstverleners in de gaten. Volgens de klacht van de FTC tegen Upromise heeft het bedrijf een dienstverlener ingehuurd om de werkbalk en de functie voor gepersonaliseerde aanbiedingen te ontwikkelen, wat aanleiding gaf tot zorgen over de gegevensverzameling. Maar volgens de FTC-wetgeving kunnen bedrijven aansprakelijk zijn voor wat anderen namens hen doen. Als onderdeel van het cyberbeveiligingsprogramma vereist de voorgestelde verordening dat Upromise redelijke stappen onderneemt om “dienstverleners te selecteren en te behouden die persoonlijke informatie adequaat beschermen” en om contractuele voorwaarden op te nemen die dienstverleners verplichten “passende waarborgen te implementeren en te handhaven”. De bestelbepaling is alleen juridisch bindend voor Upromise, maar het is een goed advies om er rekening mee te houden de volgende keer dat u met een extern bedrijf werkt.
