image

VS introduceert meldplicht datalekken voor financiële instellingen

maandag 30 oktober 2023, 12:34 door Redactie, 6 reacties

De Amerikaanse toezichthouder FTC heeft een meldplicht geïntroduceerd voor niet-bancaire financiële instellingen die met een datalek te maken krijgen. Wanneer erbij het datalek onversleutelde persoonsgegevens van meer dan vijfhonderd personen zijn betrokken moet het incident binnen dertig dagen na de ontdekking bij de FTC worden gemeld. Ook moet worden gemeld van hoeveel mensen de data is gelekt.

Twee jaar geleden besloot de FTC wegens het grote aantal datalekken de Safeguards Rule te herzien. Daarin werden toen nieuwe beveiligingseisen gesteld aan niet-bancaire financiële instellingen, zoals hypotheekverstrekkers en leningaanbieders, voor het beschermen van de persoonsgegevens van klanten. De Safeguards Rule is nu met de meldplicht datalekken uitgebreid, die over een half jaar van kracht wordt.

"Bedrijven die gevoelige financiële informatie worden toevertrouwd moeten transparant zijn als die informatie is gecompromitteerd", zegt Samuel Levine van de FTC. "De toevoeging van deze meldplicht aan de Safeguards Rule zou bedrijven extra moeten stimuleren om de data van consumenten te beschermen."

Reacties (6)
30-10-2023, 14:29 door Anoniem
Als ze dit nu ook eens in Europa zouden doen…
Op dit moment zijn financiële instellingen gevrijwaard van het melden aan betrokkenen als er een datalek is waarbij hun gegevens openbaar zijn geworden…
30-10-2023, 15:06 door Anoniem
Door Anoniem: Als ze dit nu ook eens in Europa zouden doen…
Op dit moment zijn financiële instellingen gevrijwaard van het melden aan betrokkenen als er een datalek is waarbij hun gegevens openbaar zijn geworden…

Ja je bedoeld dat we dat hier al lang hebben?
30-10-2023, 15:16 door Anoniem
Door Anoniem:
Door Anoniem: Als ze dit nu ook eens in Europa zouden doen…
Op dit moment zijn financiële instellingen gevrijwaard van het melden aan betrokkenen als er een datalek is waarbij hun gegevens openbaar zijn geworden…

Ja je bedoeld dat we dat hier al lang hebben?

Nee, ik bedoel dat alle financiële instellingen in Europa alleen een datalek melding hoeven te doen bij het AP, maar ze dit nooit aan ons, wij die een rekening hebben bij desbetreffende banken, hoeven te melden. Dus al onze gegevens kunnen door een datalek bij de bank gestolen/ openbaar zijn gemaakt, maar je zal dit nooit weten omdat ze dit niet aan ons hoeven te melden.
30-10-2023, 16:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als ze dit nu ook eens in Europa zouden doen…
Op dit moment zijn financiële instellingen gevrijwaard van het melden aan betrokkenen als er een datalek is waarbij hun gegevens openbaar zijn geworden…

Ja je bedoeld dat we dat hier al lang hebben?

Nee, ik bedoel dat alle financiële instellingen in Europa alleen een datalek melding hoeven te doen bij het AP, maar ze dit nooit aan ons, wij die een rekening hebben bij desbetreffende banken, hoeven te melden. Dus al onze gegevens kunnen door een datalek bij de bank gestolen/ openbaar zijn gemaakt, maar je zal dit nooit weten omdat ze dit niet aan ons hoeven te melden.
Melden aan betrokkenen hoeft ook met dit Amerikaanse voorstel niet...
(Uit het artikel:)
Wanneer erbij het datalek onversleutelde persoonsgegevens van meer dan vijfhonderd personen zijn betrokken moet het incident binnen dertig dagen na de ontdekking bij de FTC worden gemeld. Ook moet worden gemeld van hoeveel mensen de data is gelekt.
30-10-2023, 18:37 door Anoniem

Nee, ik bedoel dat alle financiële instellingen in Europa alleen een datalek melding hoeven te doen bij het AP, maar ze dit nooit aan ons, wij die een rekening hebben bij desbetreffende banken, hoeven te melden. Dus al onze gegevens kunnen door een datalek bij de bank gestolen/ openbaar zijn gemaakt, maar je zal dit nooit weten omdat ze dit niet aan ons hoeven te melden.
Dat is niet waar. Zo'n uitzondering staat niet in de AVG/GDPR.

Waar je waarschijnlijk mee in de war bent is dat je bij een datalek niet altijd de betrokken personen hoeft te informeren.
Dat moet alleen als het risico voor de betrokken erg hoog is. (En dat geldt niet alleen voor financiële instellingen, dat geld voor iedereen)

Als jouw privacy geschonden is, maar het risico voor jou is niet erg hoog, dan hoef je dus niet geinformeerd te worden.
https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-wel-of-niet-melden
31-10-2023, 15:54 door Anoniem
Dat is niet waar. Zo'n uitzondering staat niet in de AVG/GDPR.
Jullie hebben beiden gelijk en beiden ongelijk: die uitzondering is niet Europees en staat niet in de AVG/GDPR. Daarentegen klopt het wel degelijk dat financiële instellingen in Nederland nooit datalekken bij betrokkenen hoeven te melden, zie artikel 42 van de Uitvoeringswet AVG. Dit omdat de NL wetgever bang is voor een bankrun vanwege een datalek.

Inderdaad, dat is een debiele reden en goed gelobbyd door de bankensector.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.