Daftar Isi:
Di Amerika Serikat, ada berbagai undang-undang pemberitahuan data federal dan negara bagian, meskipun tidak ada hukum federal yang komprehensif. Pada Mei 2011, pemerintahan Obama mengajukan proposal keamanan siber yang komprehensif kepada Kongres yang mencakup persyaratan pemberitahuan pelanggaran data federal. Ini bisa sangat meningkatkan keamanan siber, tetapi pada Januari 2012, tidak ada undang-undang pemberitahuan pelanggaran data federal yang telah disahkan. Di sini kita melihat keamanan data dan undang-undang yang sedang dibuat untuk mengatasi pelanggaran. (Untuk bacaan latar belakang, lihat Prinsip-Prinsip Dasar Keamanan TI.)
Membuat Kasus Federal
Di tingkat federal AS, ada undang-undang dan pedoman yang mewajibkan pemberitahuan pelanggaran untuk tipe data tertentu: Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan Undang-Undang Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis (HITECH) untuk informasi perawatan kesehatan, Gramm-Leach-Bliley Act untuk informasi keuangan, dan panduan Office of Management and Budget (OMB) untuk informasi pribadi yang dipegang oleh agen-agen federal.
Menurut UU HITECH, penyedia layanan kesehatan yang dicakup oleh HIPAA harus memberi tahu pasien "segera" ketika informasi kesehatan mereka telah dilanggar. Departemen Kesehatan dan Layanan Kemanusiaan (HHS) dan media harus diberitahu dalam kasus di mana pelanggaran mempengaruhi lebih dari 500 orang. Vendor informasi kesehatan pribadi memiliki persyaratan pemberitahuan pelanggaran serupa, tetapi harus memberi tahu Komisi Perdagangan Federal, bukan HHS.
Menurut pedoman yang dikeluarkan oleh regulator perbankan federal berdasarkan Gramm-Leach-Bliley Act, ketika bank atau lembaga keuangan lainnya mengetahui adanya pelanggaran data, ia harus melakukan penyelidikan untuk menentukan kemungkinan bahwa informasi tersebut telah atau akan disalahgunakan. Jika bank menentukan bahwa penyalahgunaan telah terjadi atau mungkin terjadi, bank harus memberi tahu pelanggan yang terkena dampak sesegera mungkin.
Pemberitahuan pelanggan dapat ditunda jika penegak hukum menentukan bahwa pemberitahuan akan mengganggu penyelidikan kriminal dan memberikan bank dengan permintaan tertulis untuk penundaan tersebut. Bank harus memberi tahu pelanggannya segera setelah pemberitahuan tidak lagi mengganggu penyelidikan. Namun, notifikasi tidak dapat ditunda karena malu atau tidak nyaman bagi bank.
Menurut panduan OMB, agen-agen federal diharuskan melaporkan semua pelanggaran data yang melibatkan informasi yang dapat diidentifikasi secara pribadi dalam satu jam setelah ditemukan / dideteksi. Namun, agensi memiliki keleluasaan untuk melaporkan pelanggaran data di luar agensi. Mereka dapat menunda pemberitahuan untuk penegakan hukum, keamanan nasional, atau kebutuhan agen.
impian California
Di tingkat negara bagian, ada tambalan 46 hukum negara bagian (dan District of Columbia) tentang pemberitahuan pelanggaran data. California memberlakukan hukum pemberitahuan pelanggaran data pertama pada tahun 2002, dan telah digunakan sebagai model untuk banyak hukum negara bagian lainnya.
Menurut undang-undang California, perusahaan harus mengungkapkan pelanggaran data kepada pelanggan "sesegera mungkin, tanpa penundaan yang tidak masuk akal" secara tertulis. Jika orang yang memberi tahu atau bisnis dapat menunjukkan bahwa pemberitahuan akan menelan biaya lebih dari $ 250.000 atau memengaruhi lebih dari 500.000 orang, maka pemberitahuan pengganti dalam bentuk posting situs web dan pemberitahuan ke media utama di seluruh negara bagian dapat digunakan. Statuta tersebut membebaskan dari pemberitahuan setiap pelanggaran data di mana informasi pribadi dienkripsi.
Namun, California, tidak seperti banyak negara bagian lain, tidak termasuk hukuman atas kegagalan untuk segera memberi tahu konsumen tentang pelanggaran data. Konferensi Nasional Legislatif Negara Bagian memelihara daftar undang-undang pemberitahuan pelanggaran data negara dan tautan ke undang-undang tersebut.
Eropa atau Bust
Di Eropa, Uni Eropa menyetujui persyaratan pemberitahuan pelanggaran data dalam amandemen 2009 untuk E-Privacy Directive-nya. Negara-negara anggota Uni Eropa memiliki waktu hingga 25 Mei 2011, untuk mengimplementasikan amandemen tersebut ke dalam hukum nasional.
Amandemen tersebut mensyaratkan "penyedia layanan komunikasi elektronik yang tersedia untuk umum" untuk memberi tahu otoritas nasional tentang pelanggaran informasi pribadi yang dapat mengakibatkan kerugian ekonomi yang substansial dan kerugian sosial bagi pelanggan "segera setelah" mereka menjadi sadar akan pelanggaran tersebut. Selain itu, pelanggan yang terpengaruh harus diberitahu tentang pelanggaran "tanpa penundaan." Pemberitahuan harus mencakup informasi tentang tindakan yang diambil oleh perusahaan, serta tindakan yang direkomendasikan untuk pelanggan yang terkena dampak.
Perubahan pada Petunjuk Perlindungan Data Uni Eropa diharapkan pada tahun 2012, termasuk persyaratan bahwa semua perusahaan, tidak hanya penyedia layanan komunikasi elektronik, memberi tahu otoritas nasional dan pelanggan yang terkena dampak dalam waktu 24 jam dari pelanggaran informasi pribadi.
Undang-Undang Perlindungan Data Inggris, yang mendahului EU E-Privacy Directive, memiliki serangkaian persyaratan komprehensif bagi perusahaan untuk melindungi data, meskipun tidak mengandung persyaratan pemberitahuan pelanggaran data.
Kantor Komisi Informasi UK (ICO), yang bertanggung jawab untuk mengimplementasikan tindakan tersebut, telah mengatakan bahwa perusahaan harus melaporkan pelanggaran data serius, yang didefinisikan sebagai pelanggaran yang dapat menyebabkan potensi bahaya bagi individu, kepada ICO. Badan itu mengatakan akan mengharapkan perusahaan-perusahaan Inggris untuk memberitahukannya tentang pelanggaran informasi pribadi yang tidak terenkripsi pada 1.000 orang atau lebih. ICO mengatakan bahwa itu bukan tanggung jawabnya untuk memberi tahu konsumen yang terpengaruh, tetapi mungkin merekomendasikan bahwa perusahaan membuat pelanggaran publik "di mana itu jelas untuk kepentingan individu yang bersangkutan atau ada argumen kepentingan publik yang kuat untuk melakukannya."
Pelanggaran dan Pelaporan Data
Menanggapi pelanggaran data yang sangat dipublikasikan dan tekanan publik, legislator dan regulator Amerika dan Eropa mempertimbangkan persyaratan bahwa semua perusahaan melaporkan pelanggaran data kepada otoritas nasional dan konsumen yang terpengaruh. Namun, pada Januari 2012, tidak ada upaya yang menghasilkan undang-undang dan peraturan pemberitahuan pelanggaran data yang komprehensif baik di Amerika Serikat atau Uni Eropa.
