Kan de overheid internetprivacy reguleren?

De krantenkoppen worden zo gewoon dat we ze bijna negeren: grote creditcardinbreuken Target en Neiman Marcus; een grote beveiligingsbug vormt het hart van de besturingssystemen van Apple; de "hartbloedingen” bug in het hart van OpenSSL … steeds maar door. Deze week is het kunst- en handwerkketen Michaels, wat zo lijkt te zijn geweest voor maximaal drie miljoen creditcards en betaalkaarten over twee perioden van acht maanden. (Niet dat we een oordeel vellen.) En laten we de aanhoudende onthullingen van Snowden niet vergeten.

Ben je verdoofd? Of wil je dat de overheid ‘iets doet’ om jouw gegevens te beschermen?

Het hof van de publieke opinie

Privacyproblemen en inbreuken op de beveiliging schaden het vertrouwen van sommige mensen. A recente enquete van marktonderzoeksbureau GfK ontdekte dat één op de drie consumenten beweerde dat te zijn geweest direct het afgelopen jaar getroffen door misbruik van persoonlijke gegevens, waarbij 60 procent zegt dat hun zorgen over gegevensprivacy het afgelopen jaar zijn toegenomen. (Bijna negen op de tien zeggen nu dat ze zich op zijn minst “een beetje” zorgen maken over de veiligheid van hun persoonlijke gegevens.) Verder zegt meer dan de helft van de respondenten dat de Amerikaanse overheid doet niet genoeg om hun gegevens te beschermen, en bijna 80 procent vindt dat er strenge regels moeten komen die bepalen hoe datamakelaars en anderen persoonlijke gegevens kunnen hergebruiken. informatie.

Op dezelfde manier kan een vorig jaar uitgevoerd onderzoek Uit onderzoek van het Pew Internet & American Life Project blijkt dat 66 procent van de volwassenen vindt dat de huidige privacywetten “niet goed genoeg” zijn de privacy van internetgebruikers te beschermen – en, intrigerend genoeg, was de bezorgdheid uniform onder de door de respondenten gerapporteerde politieke kwesties voorkeuren. Het maakte niet uit of de mensen liberalen of aanhangers van de Tea Party waren: de meesten waren bezorgd over hun online privacy. In januari werd een aparte Pew-enquête ontdekte dat bij 18 procent van de respondenten belangrijke persoonlijke informatie was gestolen (zoals een creditcard of sociale media). beveiligingsnummer), terwijl 21 procent – ​​dat is één op de vijf – een e-mail- of sociale netwerkaccount had gehad gehackt.

Er zou een wet moeten zijn!

Mensen die schreeuwen om regelgeving over de manier waarop bedrijven met onze gegevens omgaan en inbreuken op de privacy beheren, zullen opgelucht zijn als ze dat weten Zijn wetten. Het is gewoon dat ze voornamelijk zijn staat wetten. Momenteel hebben zevenenveertig van de vijftig staten verschillende vormen van wetgeving inzake privacybescherming aangenomen, waarbij Kentucky pas deze week in de rij komt te staan ​​en New Mexico de volgende week lijkt te worden.

De eisen van de staat lopen sterk uiteen en hebben vooral betrekking op de omstandigheden waaronder inwoners ervan op de hoogte moeten worden gesteld dat hun persoonsgegevens in gevaar zijn (of zouden kunnen zijn) gekomen. In de ene staat kan een enkele consument onmiddellijk op de hoogte worden gebracht als zijn of haar persoonlijke gegevens openbaar worden gemaakt, maar in een andere staat hoeven bedrijven dat misschien niet te doen niemand op de hoogte stellen, tenzij bekend is dat een bepaald aantal consumenten getroffen is, of wanneer uit risicoanalyse blijkt dat een inbreuk waarschijnlijk daadwerkelijk tot daadwerkelijke schade heeft geleid leed. In sommige staten moeten bedrijven rechtstreeks contact opnemen met consumenten; in andere gevallen kunnen ze gewoon een mededeling in een donker hoekje van hun website plaatsen.

Het is niet zo dat de federale overheid volledig buiten beeld is. Sectie Vijf van de Federal Trade Commission Act verbiedt ‘oneerlijke of bedrieglijke praktijken’, waarvan de FTC heeft vastgesteld dat ze van toepassing kunnen zijn op lakse gegevensbeveiligingsprocedures. In feite was de bewering van de FTC dat ook vorige week gehandhaafd in een zaak tegen Wyndham Hotels, dat creditcardgegevens als gewone tekst opsloeg, er niet in slaagde de standaardwachtwoorden te wijzigen... en meerdere keren door Russische hackers naar de schoonmakers werd gebracht. De FTC kan echter geen sancties opleggen voor overtredingen; In het beste geval kan het bedrijven dwingen tot schikkingsovereenkomsten waarin zij hun praktijken aanpassen, schadevergoeding betalen en beloven een paar jaar aardig te blijven.

Wat als de FBI er meer bij betrokken zou raken?

Voorstellen voor nationale regelgeving inzake gegevensbescherming bestaan ​​al jaren, maar tot nu toe niet heeft veel aandacht gekregen in het Congres, en er is weinig overeenstemming over normen, drempels of vereisten. Moet het vermoeden van een datalek voldoende zijn om meldingen uit te lokken, of moet er daadwerkelijk schade zijn geleden? Een voorstel uit 2011 van de regering-Obama zou bijvoorbeeld vereisen dat elk bedrijf met informatie over meer dan 10.000 mensen om schendingen bekend te maken die meer dan 5.000 mensen treffen, maar alleen aan kredietinstellingen en de federale overheid, niet aan daadwerkelijke consumenten.

“De grootste zorg is dat er daadwerkelijk een federaal wetsvoorstel komt zwakker dan veel van de staatswetten”, zegt Justin Brookman, directeur consumentenprivacy bij de Centrum voor Democratie en Technologie. “Een van de belangrijkste punten bij het melden van datalekken is niet noodzakelijkerwijs iedereen hiervan op de hoogte stellen, maar het opleggen van aansprakelijkheidskosten aan bedrijven wanneer zij in deze verschrikkelijke situaties terechtkomen. Op die manier is er een sterke prikkel om geen inbreuken te plegen. Als een federale wet die kosten maakt minder, dat is geen geweldig resultaat.”

Over de achtergrond gaven leidinggevenden van twee landelijke retailers aan dat Amerikaanse bedrijven een landelijke wet op datalekken zouden kunnen steunen, ook al zou deze aansprakelijkheid met zich meebrengen. Men vergeleek de uiteenlopende privacywetten van de staten met de omzetbelastingsituatie in de Verenigde Staten, waar tarieven, rapportage en inning sterk variëren per staats-, provincie- en gemeentewet. Eén enkele norm voor privacy- en gegevensbescherming zou voor bedrijven gemakkelijker te beheren zijn en – volgens de leidinggevende – zelfs worden overtroffen.

De andere directeur was echter op zijn hoede met rapportagevereisten. Als bedrijven verplicht zouden worden om te rapporteren elk Mogelijke datalekken voor een willekeurig aantal klanten, ongeacht of er schade is opgetreden, zouden zij de bedrijven kunnen worden die de wolf riepen, zei hij. Consumenten kunnen zoveel waarschuwingen ontvangen dat ze deze eenvoudigweg negeren – wat ook geen goed resultaat zou zijn.

Bedoel je dat we alleen maar mededelingen krijgen?

De tot nu toe beschreven benaderingen zijn gericht op het informeren van mensen wier informatie in gevaar is gebracht na een inbreuk. De betere aanpak is natuurlijk om in de eerste plaats datalekken te voorkomen. En hoe zit het met datamakelaars, die informatie over ons verzamelen en verkopen aan iedereen die twee stuivers bij elkaar moet wrijven?

Verwacht niet dat de federale overheid – of staten, wat dat betreft – zal proberen gegevensbeveiligingspraktijken wettelijk vast te leggen. Het komt erop neer dat deze wet- en regelgeving veel langzamer gaat dan de technologie en de zakelijke praktijk, en dat terwijl overheden daar mogelijk eisen aan stellen Bij bepaalde contracten of diensten die met de particuliere sector worden uitgevoerd, verwacht niemand dat de overheid in grote lijnen zal proberen te dicteren hoe bedrijven de consument beschermen gegevens.

Hoe zit het met datamakelaars? Consumenten zijn op hun hoede als er informatie over hen wordt verhandeld. Uit het eerder genoemde GfK-onderzoek bleek dat de meerderheid van de mensen in elke gemeten leeftijdsgroep marketeers wantrouwde hun persoonlijke gegevens, en uit het Pew-onderzoek van vorig jaar bleek dat 86 procent van de consumenten stappen heeft ondernomen om het onlinegebruik te minimaliseren volgen.

Sommige wetsontwerpen op het gebied van gegevensbeveiliging die vóór het Congres zijn ingediend, bevatten mogelijk bepalingen die betrekking hebben op gegevensmakelaars hen te verplichten consumenten de informatie die over hen is verzameld, te laten zien, corrigeren of zelfs verwijderen. Een groot deel van de online economie wordt echter aangedreven door het volgen, analyseren en doorverkopen van informatie over consumenten – denk eens aan alle gerichte advertenties en gepersonaliseerde diensten die we elke dag tegenkomen. Bedrijven als Google, Facebook en Amazon zullen waarschijnlijk op hun hoede zijn voor elke vereiste om consumenten controle te geven over de manier waarop gegevens over hen worden verzameld en gegenereerd.

Wat zijn de kansen van federale regelgeving met betrekking tot datamakelaars?

“Het Congres is zo versteend, er is zo weinig tijd om rekeningen te verplaatsen, het is moeilijk om te zien dat iets dat niet volkomen oncontroversieel is, grip krijgt”, zei Brookman. “Het is mogelijk dat er iets in beweging komt, maar ik denk dat Republikeinen, Democraten, consumentenbelangen en het bedrijfsleven waarschijnlijk iets andere dingen willen.”

Houd dus uw adem niet in.

[Eindbeeld met dank aan zeis5/Shutterstock]

Aanbevelingen van de redactie

• Kaspersky VPN zou uw go-to moeten zijn voor veilige verbindingen en privacy
• Zo heb ik de mensen opgespoord die mijn gegevens verkochten en ze vervolgens tegengehouden
• Hoe u uw privacy en veiligheid in Zoom kunt vergroten
• Keyboard warriors: hoe internet een reddingslijn kan zijn voor gehandicapte activisten
• Privacy is dood, maar het doet er misschien niet zoveel toe als we denken