Uiteraard zijn de voorwaarden van een FTC-schikking alleen van toepassing op dat bedrijf. Maar doorgewinterde bedrijven weten dat er veel te leren is van de vermeende misstappen van iemand anders. De FTC’s inspanningen op het gebied van wetshandhaving mod Upromise is geen uitzondering.
Volgens de klacht introduceerde het spaarlidmaatschapsprogramma van de hogeschool een werkbalk die persoonlijke gegevens van gebruikers verzamelde zonder de omvang van wat er aan de hand was adequaat bekend te maken. Volgens de voorwaarden van het voorgestelde bevel zal Upromise gebruikers informeren over hoe ze de werkbalken die al op hun computers staan kunnen verwijderen, zal het de gebruikers toestemming geven voordat ze werkbalken installeren of opnieuw inschakelen, en zal het in de toekomst duidelijk haar gegevensverzamelingspraktijken bekendmaken. De schikking sluit ook verkeerde voorstellingen uit over de privacy en veiligheid van de persoonlijke informatie van mensen, en vereist dat Upromise een alomvattend informatiebeveiligingsprogramma implementeert, inclusief onafhankelijke veiligheidsbeoordelingen om de twee jaar gedurende de komende twintig jaar.
Wat moeten deze zaak en andere recente wetshandhavingsacties voor uw bedrijf betekenen?
Weet het voordat het een reis is. Voordat je de sleutel omdraait, moet je weten hoeveel paarden je onder de motorkap hebt. Zorg er ook voor dat u, voordat u nieuwe technologie, zoals een werkbalk of een app, uitrolt, duidelijk weet welke informatie deze verzamelt. Nog beter: neem besluitvorming, verificatie en monitoring op het gebied van gegevensbeveiliging mee in het ontwerpproces. Het is meestal gemakkelijker om het vanaf het begin goed te doen dan een oplossing te reverse-engineeren dagen vóór de levering of als reactie op een veiligheids-‘oeps’.
Maak het zorgvuldig. Nog niet zo lang geleden gingen marketeers ervan uit dat hoe meer informatie ze verzamelden, hoe beter – en als iets technologisch mogelijk was, met volle kracht vooruit. Maar het risico van een kostbare inbreuk op de beveiliging of zorgwekkende datafouten heeft slimme managers die mentaliteit geleerd
Vertel het. Over het algemeen geeft de wet bedrijven flexibiliteit bij het ontwerpen van hun gegevensverzamelingsprogramma’s. Maar de beste praktijk is om gebruikers te vertellen wat u verzamelt, dit te communiceren in woorden die gewone mensen zullen begrijpen, en uw verklaarde beleid te respecteren.
Houd uw dienstverleners in de gaten. Volgens de klacht van de FTC tegen Upromise heeft het bedrijf een dienstverlener ingehuurd om de werkbalk en de functie voor gepersonaliseerde aanbiedingen te ontwikkelen, wat aanleiding gaf tot zorgen over de gegevensverzameling. Maar op grond van de FTC-wet kunnen bedrijven aansprakelijk worden gesteld voor wat anderen namens hen doen. Als onderdeel van het informatiebeveiligingsprogramma van Soep-to-Nuts vereist het voorgestelde besluit dat Upromise redelijke stappen onderneemt om “dienstverleners te selecteren en te behouden die in staat zijn om persoonlijke informatie adequaat te beschermen”, en om contractvoorwaarden op te nemen die dienstverleners verplichten “passende veiligheidsmaatregelen te implementeren en te handhaven.” De bestelbepaling is alleen juridisch bindend voor Upromise, maar het is een goed advies om er rekening mee te houden de volgende keer dat u met een extern bedrijf samenwerkt.
