NY SHIELD Act en de gevolgen voor financiële instellingen in Nederland
NY SHIELD Act en de gevolgen voor financiële instellingen in Nederland
Op 21 maart trad in de staat New York (Verenigde Staten) de Stop Hacks and Improve Electronic Data Security Act ("SHIELD Act") in werking. Nu zult u zich misschien afvragen waarom een Amerikaanse wet relevant is voor u en uw organisatie. In het geval u beschikt over persoonsgegevens van inwoners van New York, heeft de Shield Act ook voor u gevolgen. De wet heeft namelijk extraterritoriale werking en is daarom niet alleen van toepassing op bedrijven in de VS, maar ook op andere bedrijven waar ook ter wereld die beschikken over persoonsgegevens van ingezetenen van New York. Debby Meijer-van der Leest, legal consultant bij adviesbureau Charco & Dique, licht toe.
SHIELD Act
De SHIELD Act regelt een groot aantal onderwerpen rondom het toezicht op het beschermen van privacy van gegevens en consumentenbescherming. ''Voor financiële instellingen in Nederland is het voornamelijk van belang dat er een meldingsplicht geldt indien er een datalek plaatsvindt dat mede betrekking heeft op de persoonlijke informatie van een ingezetene van New York,'' vertelt Meijer-van der Leest.
Maar wat zijn persoonsgegevens onder de SHIELD Act?
De SHIELD Act hanteert de volgende definitie van persoonlijke informatie. Dit betreft onder meer:
- Social Security nummer;
- Rijbewijsnummer of nummer op een ander identiteitsbewijs;
- Rekeningnummer;
- Debit- en creditcard informatie, waaronder:
- Beveiligingscode;
- Toegangsgegevens;
- Wachtwoord;
- Het nummer van de kaart (indien daarmee zonder aanvullende informatie toegang kan worden verkregen tot de achterliggende gegevens);
- Andere informatie waarmee toegang wordt verleend tot financiële informatie, zoals bankrekeningen;
- Biometrische informatie vanuit gezichtsherkenning en andere middelen die data genereren, zoals:
- Vingerafdruk;
- Stem – print;
- Irisscan.
Meijer-van der Leest: ''Data die versleuteld is, wordt niet aangemerkt als persoonlijke informatie indien geen toegang is verkregen tot de sleutel. Ook informatie die openbaar beschikbaar is wordt niet gezien als persoonlijke informatie.''
Wanneer melden?
Op grond van de gewijzigde regelgeving ben je verplicht een datalek van persoonsgegevens direct na het ontdekken te melden aan de natuurlijke persoon waarvan de persoonsgegevens in het datalek zijn betrokken. De melding moet in ieder geval de volgende informatie bevatten:
- Contactinformatie van het persoon/bedrijf dat de melding doet;
- Telefoonnummer en websites van overheidsinstanties die informatie verstrekken over hoe om te gaan met een datalek en het voorkomen van identiteitsfraude;
- Een overzicht van de persoonsgegevens die zijn ingezien of verkregen door een onbevoegd persoon, of waarvan het vermoeden bestaat dat deze onbevoegd zijn ingezien of verkregen.
De SHIELD Act kent twee uitzonderingen op de bovengenoemde verplichting:
1) Indien het een schending (datalek) betreft die onopzettelijk is veroorzaakt door iemand die bevoegd toegang had tot de informatie en er redelijkerwijs wordt vastgesteld dat de blootstelling waarschijnlijk niet zal leiden tot misbruik of schade;
2) Indien er op grond van andere regelgeving omtrent datalekken al een melding is gedaan aan de betreffende natuurlijke personen.
Een melding van een datalek aan de natuurlijke persoon onder de SHIELD Act mag per e-mail worden gedaan tenzij dat niet gepast is, bijvoorbeeld omdat het datalek betrekking heeft op e-mailadressen en wachtwoorden.
Als het datalek betrekking heeft op de persoonlijke informatie van meer dan 500 ingezetenen van New York, dan moet ook de NY Procureur - Generaal (Attorney General), het New York Department of State en de politie binnen tien dagen worden geïnformeerd.
Melden onder de SHIELD Act vs. de AVG?
In de AVG is kortgezegd bepaald dat - afhankelijk van het risico dat betrokkenen schade berokkend wordt - het datalek aan de Autoriteit Persoonsgegevens moet worden gemeld. Voor financiële instellingen geldt dat de betrokkene moet worden geïnformeerd vanuit de zorgplicht van de Wet op het financieel toezicht en niet vanuit de AVG.
''Onder de Shield Act is het eigenlijk omgekeerd,'' vertelt Meijer-van der Leest. ''Ieder datalek moet worden gemeld aan de betrokken NY ingezetene, ongeacht de impact, schade of ernst. Tenzij een van de twee hierboven genoemde uitzonderingen van toepassing zijn.'' De NY autoriteiten hoeven pas geïnformeerd te worden als er meer dan 500 NY ingezeten betrokken zijn.