Wilt u de Privacy Shield-held van uw bedrijf zijn? Vier voorgestelde FTC-schikkingen acties voorstellen die u kunt ondernemen om ervoor te zorgen dat uw bedrijf aan het Privacy Shield voldoet.
De EU-VS-privacyschildkader stelt bedrijven in staat consumentengegevens legaal van EU-landen naar de VS over te dragen. (Er is er ook één Zwitsers-Amerikaans raamwerk.) Het ministerie van Handel beheert beide kaders, terwijl de FTC valse of misleidende verklaringen van bedrijven over hun deelname of naleving betwist.
In afzonderlijke klachten beweert de FTC dat vier bedrijven: Klik op Labs, Inc.een in Seattle gevestigde aanbieder van website- en app-diensten; Stimuleringsvoordeleneen ontwikkelaar uit Minnesota van beloningsprogramma’s voor werknemers; Wereldwijde gegevenskluiseen gegevensopslag- en herstelbedrijf in Dallas; en IT-dienstenbedrijf uit North Carolina TDARX – misleidende Privacy Shield-claims heeft geuit.
De FTC zegt dat Click Labs en Incentive Services zelfcertificeringsaanvragen hebben ingediend bij het ministerie van Handel voor zowel het EU-VS- als het Zwitserland-VS-raamwerk, maar er niet in zijn geslaagd deze af te ronden. Desondanks beweerden beide bedrijven op hun websites dat ze zich aan de regels hielden.
Volgens de zaken tegen Global Data Vault en TDARX lieten deze bedrijven, hoewel ze ooit deelnemers waren aan het EU-VS-privacyschild, hun certificeringen vervallen – wat betekent dat de beweringen die ze in hun privacybeleid over hun status maakten vals waren. Bovendien wordt in de klachten beweerd dat zij, terwijl zij deelnemers waren, er niet in zijn geslaagd de jaarlijkse zelfbeoordeling of de externe nalevingsbeoordeling uit te voeren die van alle deelnemers aan het Privacy Shield vereist is. Hoe zit het met de gegevens die zij ontvingen gedurende de tijd dat zij deelnamen? Het Framework geeft voormalige deelnemers drie opties: Controleer de voortdurende naleving van de Privacy Shield-principes voor die informatie, retourneer deze of verwijder deze. De FTC zegt dat Global Data Vault en TDARX bij geen van de drie faalden.
De voorgestelde schikkingen verbieden de bedrijven een verkeerde voorstelling te geven van hun deelname aan of naleving van het EU-VS Privacy Shield Framework of enig ander privacy- of gegevensbeveiligingsprogramma dat wordt gesponsord door een overheid, zelfregulerende groep of standaardbepalende organisatie. Bovendien moeten Global Data Vault en TDARX Privacy Shield-bescherming toepassen op persoonlijke informatie die wordt verzameld tijdens deelname aan het Programma, de informatie retourneren of verwijderen. Zodra de schikkingen in het federale register verschijnen, heeft u 30 dagen de tijd om openbaar commentaar te geven.
Hoe kunt u uw bedrijf helpen een raamwerkfout te voorkomen? Overweeg deze drie stappen:
- Deelname aan het kader is vrijwillig, maar maak uw deelname pas bekend als de aanvraag van uw bedrijf is geaccepteerd.
- Zet een herinnering in uw agenda om jaarlijks het vereiste hercertificeringsproces en uw jaarlijkse verificatie af te ronden.
- Als uw bedrijf ervoor kiest zich terug te trekken uit deelname, moet u Privacy Shield-referenties van uw website verwijderen, inclusief uw privacybeleid. Denk er ook over na hoe uw bedrijf de informatie die is verzameld terwijl u deelnam, op passende wijze zal beschermen – of veilig zal teruggeven of verwijderen.
Bezoek de FTC’s Privacy Shield-pagina voor meer middelen.
