Als u of uw klanten zich bezighouden met belastingvoorbereiding, zijn er drie letters waarop u zich moet concentreren. Oké, de belastingdienst is misschien het eerste dat in je opkomt. Maar zoals De voorgestelde schikking van de FTC met TaxSlayer suggereert, vergeet de andere belangrijke letters niet: GLB.
Volgens de Gramm-Leach-Bliley Act moeten “financiële instellingen” – meer over wat dat in een ogenblik betekent – voldoen aan De vertrouwelijkheidsregel en dat Veiligheidsregel. De Privacyregel vereist dat bedrijven die onder de richtlijn vallen, kennisgevingen aan consumenten verstrekken waarin zij hun privacybeleid en -praktijken uitleggen. (De Privacyregel bestaat sinds 2001. In de nasleep van de Dodd-Frank Act werd het Consumer Financial Protection Bureau verantwoordelijk voor de implementatie van de regel. In 2014 voerde het CFPB zijn versie in, genaamd Reg P.)
De Security Rule vereist dat financiële instellingen de veiligheid, vertrouwelijkheid en integriteit van klantinformatie beschermen door een uitgebreid schriftelijk informatiebeveiligingsprogramma te implementeren en te onderhouden. Een knip-en-plakwerkje volstaat niet. Het programma moet administratieve, technische en fysieke beveiligingsmaatregelen omvatten die passen bij de omvang van de onderneming, de aard en reikwijdte van haar activiteiten en de gevoeligheid van de betreffende klantinformatie. Bedrijven moeten bijvoorbeeld beoordelen hoe klantinformatie mogelijk gevaar loopt en vervolgens beveiligingsmaatregelen implementeren om deze risico’s aan te pakken.
Nu terug naar wat de FTC zegt dat TaxSlayer deed (en niet deed) en daarmee de regels overtrad. TaxSlayer biedt consumenten belastingaangifte- en aangiftediensten die zowel webgebaseerd zijn als toegankelijk via de app van het bedrijf. Om belastingaangifte in te dienen, moeten consumenten uiteraard vrijwel alles invoeren, behalve hun bloedgroep en favoriete ijssmaak. We hebben het over naam, burgerservicenummer, telefoonnummer, adres, inkomen, burgerlijke staat, echtgeno(o)t(e), kinderen, schulden, ziektekostenverzekering, banknamen, rekeningnummers, etc.
Gedurende een periode van twee maanden in 2015 kreeg TaxSlayer te maken met een lijstvalidatieaanval waardoor aanvallers op afstand toegang konden krijgen tot de accounts van ongeveer 8.800 TaxSlayer-gebruikers. (Bij een lijstvalidatieaanval, ook wel credential stuffing genoemd, stelen hackers inloggegevens van de ene site en gebruiken deze vervolgens – gebaseerd op het feit dat sommige consumenten hetzelfde wachtwoord op meerdere sites gebruiken – om toegang te krijgen tot accounts op andere populaire sites.) In een onbekend aantal gevallen gebruikten criminelen de gegevens om fiscale identiteitsdiefstal te plegen. Ze dienden valse aangiften in met gewijzigde routenummers en incasseerden restituties die ze niet verschuldigd waren. En wat een puinhoop heeft dat achtergelaten voor de gedupeerde consumenten. Lange vertragingen bij het verkrijgen van hun rechtmatige terugbetalingen, het bevriezen of vasthouden van hun krediet en eindeloze uren proberen het ID-diefstal-ei te decoderen.
Daarin voorgestelde klachtde FTC beweert dat TaxSlayer de Privacyregel en Reg P heeft geschonden door klanten niet te voorzien van de privacyverklaringen die zij moesten hebben. Bovendien heeft TaxSlayer de Safeguards Rule geschonden door niet over een geschreven informatiebeveiligingsprogramma te beschikken, niet de noodzakelijke risicobeoordeling uit te voeren en geen waarborgen te implementeren om deze risico’s te beheersen – met name het risico dat aanvallers op afstand gestolen inloggegevens zouden gebruiken om de TaxSlayer-accounts van consumenten over te nemen en fiscale identiteitsdiefstal te plegen.
TaxSlayer, dat de schikkingen in verschillende andere GLB-zaken bijhoudt, moet aan de regels voldoen en zal de komende tien jaar elke twee jaar aan onafhankelijke beoordelingen worden onderworpen. U kunt er een opmerking over schrijven voorgestelde schikking uiterlijk op 29 september 2017.
Wat betekent de TaxSlayer-zaak voor andere bedrijven?
- Het kan zijn dat u of uw klanten onder de GLB vallen, maar dat niet eens weten. GLB’s definitie van “financiële instelling” is breder dan veel bedrijven denken. Zeker, dat geldt ook voor bedrijven met kluizen, kassamedewerkers en geketende pennen die zelden werken. Als u echter cliënten voor belastingplanning of belastingvoorbereiding heeft, is de kans groot dat zij ook onder de Gramm-Leach-Bliley Act vallen. Welke stappen heeft u ondernomen om hen te helpen hieraan te voldoen?
- Geef uw privacyverklaringen op. Reg P vereist dat u uw privacyverklaring verstrekt op een manier die consumenten redelijkerwijs mogen verwachten. Een link naar uw privacybeleid op uw website is onvoldoende. Er is er één modelbericht die de informatie identificeert die u moet verstrekken.
- Gebruik de juiste authenticatieprocedures. De Security Rule bevat specifieke richtlijnen voor het ontwerpen van uw informatiebeveiligingsprogramma, en de klacht van de FTC schetst gevallen waarin de authenticatiepraktijken van TaxSlayer naar verluidt tekortschoten. Volgens de FTC eindigde de aanval op TaxSlayer toen het bedrijf multi-factor authenticatie implementeerde, waarbij gebruikers hun gebruikersnamen en wachtwoorden moesten invoeren en vervolgens hun apparaat moesten authenticeren door een code in te voeren die het bedrijf naar hun e-mail of telefoon stuurde. Hebben uw klanten nagedacht over de beveiligingsvoordelen van multi-factor authenticatie?
- De veiligheidsregel is niet gebaseerd op een rustperiode voor de laurier. Zodra de gedekte bedrijven over een schriftelijk informatiebeveiligingsprogramma beschikken, omvat de regel voor beveiligingsmaatregelen doorlopende verplichtingen. Bedrijven moeten bijvoorbeeld hun programma’s evalueren en aanpassen in het licht van veranderingen in hun bedrijfsvoering, de resultaten van monitoring of testen, en andere relevante factoren. Uw bedrijf of uw klanten hadden mogelijk al in 2003 beveiligingsmaatregelen getroffen, toen GLB nog de nieuweling in de buurt was. Maar wat hebben ze de laatste tijd gedaan om hun programma up-to-date te houden?
