On todennäköistä, että yrityksesi kerää henkilökohtaisia tietoja asiakkaista, työntekijöistä ja / tai yhteistyökumppaneista. Tämä tarkoittaa, että sinulla on velvollisuus suojella näitä tietoja. Tämän laiminlyönti voi johtaa oikeudellisiin kysymyksiin tai jopa konkurssiin. Valitettavasti monet yritykset ovat joutuneet näihin tilanteisiin viime vuosina.
Jane Hils Shea, Frost Brown Toddin teknologia- ja tietosuojavaltuutettu sanoi sähköpostin haastattelussa Small Business Trendsin kanssa: ”Tietosuojarikkojen määrä ja laajuus ovat kaikkien aikojen korkeimpia sekä rikkomusten lukumäärän että yksittäisten tietueiden lukumäärän osalta vaarantunut, ja tietosuojavastuuseen liittyvät kulut kasvavat. ”
$config[code] not foundTässä on, mitä pienyrityksesi tarvitsee tietää henkilökohtaisista tiedoista ja sen suojaamisesta.
Mikä on henkilötietoja?
Henkilökohtaiset tunnistetiedot tai arkaluonteiset henkilötiedot voivat olla mitä tahansa yksilön henkilöllisyyden tunnistamiseen. Esimerkiksi:
- Nimi
- Sosiaaliturvatunnus
- Yhteystiedot
- Maksutiedot
- IP-osoite
On hyvät mahdollisuudet, että yrityksesi kerää osan näistä tiedoista jo asiakkaillesi. Joka kerta, kun joku maksaa luottokortilla tai kirjautuu sähköpostiosoitteeseesi käyttämällä nimensä ja yhteystietonsa, pääset henkilökohtaisiin tietoihin.
Tämä tarkoittaa sitä, että sinulla on käytössään käytännöt tietojen suojaamiseksi ja anna asiakkaille tarkasti, miten aiot käyttää näitä tietoja. Tässä on tiedettävä.
Miksi henkilökohtaiset tiedot ovat tärkeitä pienyrityksille?
On olemassa lakeja ja määräyksiä, jotka vaativat yrityksiä täyttämään tietyt standardit henkilötietojen tallentamisessa ja suojaamisessa. Useimmissa tapauksissa olet sidottu todelliseen kieleen, jota käytät omassa tietosuojakäytännössä. Siksi on tärkeää, että kuvailet tarkasti, miten aiot käyttää henkilötietojasi, joita keräät ja saada asiakkaat hyväksymään tämän käytännön, kun he tekevät liiketoimintaa kanssasi. On kuitenkin olemassa myös muita standardeja, jotka koskevat myös tiettyjä toimialoja.
Shea sanoo: ”Verkkoliiketoiminta, joka kerää henkilötietoja Yhdysvalloissa olevista henkilöistä, on ensisijaisesti sidoksissa verkkosivustonsa tietosuojakäytäntöihin. Jos yritys on osa rahoituspalveluja tai terveydenhuollon toimialaa, siihen voitaisiin soveltaa Gramm-Leach-Bliley Actin (GLBA) tai HIPAA: n (Health Information Protection and Portability Act) vaatimuksia. Jos se kerää tietoja alle 13-vuotiaista lapsista, se voi olla vastuussa lasten online-tietosuoja- ja suojalain (COPPA) nojalla. ”
Maksut ovat toinen tärkeä alue, jossa yritysten on keskitettävä turvallisuusponnistelut. Shea kertoo: ”Yritysten, jotka hyväksyvät luottokortteja, tulee olla varmoja siitä, että ne noudattavat maksukorttialan tietoturvastandardeja (PCI-DSS). Kaikki yritykset, jotka ottavat maksua luottokortilla, tarvitsevat kortin käsittelysopimuksensa PCI-DSS: n toteuttamiseksi ja ylläpitämiseksi. "
Verkkoyritysten on myös oltava tietoisia kansainvälisistä laeista tai niistä, jotka keskittyvät henkilökohtaisiin tietoihin Yhdysvaltojen ulkopuolelta, kuten GDPR-lait, jotka tulivat voimaan EU: ssa aiemmin tänä vuonna.
Henkilökohtaisten tietojen suojaamiseksi Fair Credit Reporting Actin henkilöllisyysvarkaussäännöt vaativat tiettyjä yrityksiä tekemään kirjallisia henkilöllisyyden varkausohjelmia. Ja monet myyjäpalvelusopimukset edellyttävät myös, että yritykset panevat teollisuusstandardin mukaiset turvallisuusmenettelyt osana sopimussopimuksiaan.
Miten yrityksesi suojaa henkilötietoja?
Voit suojata asiakkaiden, työntekijöiden ja toimittajien tietoja ja henkilökohtaisia tunnistetietojasi monin tavoin. Tarkka suunnitelma riippuu siitä, mitä tietoja itse keräät. Mutta yksi olennainen periaate koskee periaatteessa jokaista liiketoimintaa.
Shea sanoo: ”Perussääntö ja ensimmäinen askel, jonka avulla yritys ryhtyy suojaamaan tietosuojaa vastaan, on” tuntea sinun tietosi ”. Vahva tietoturvaohjelma alkaa tietokannasta ja tietokartasta. Tämä harjoitus kertoo yritykselle, mitä henkilötietoja se kerää ja käsittelee asiakkaistaan ja työntekijöistään, ja tunnistaa, missä järjestelmässä se sijaitsee, jotta se voi parhaiten suojata näitä tietoja. Lisäksi sen on ymmärrettävä, miten henkilötietoja käsitellään ja lähetetään, kuinka kauan se säilytetään ja mitä tietojen hävittämisvelvoitteita on. "
Hän tarjosi myös kourallisen konkreettisia toimia, joita voit käyttää. Esimerkiksi:
- Poista kaikki järjestelmäsi tiedot, joita et käytä tai jotka on säilytettävä oikeudellisista tai vaatimustenmukaisuussyistä.
- Kehitetään tietosuojarikkomussuunnitelma.
- Kehitä liiketoiminnan joustavuutta koskeva suunnitelma ja varmuuskopioi keskeiset tiedot luotettavassa pilvipalvelimessa.
- Lisää salaus arkaluonteisten henkilötietojen lähettämiseen ja tallentamiseen.
- Harjoittele työntekijöitä turvallisuustietoisuudesta.
- Vaadi työntekijöitä käyttämään vahvoja salasanoja, kahden tekijän todentamista ja muita ennaltaehkäiseviä turvallisuuskäytäntöjä.
- Tarkista myyjiltäsi turvatoimenpiteistä ja -käytännöistä.
- Käytä EMV-sirukorttiteknologiaa korttipetosten riskin vähentämiseksi.
Kuva Shutterstockin kautta
Lisätietoja: Mitä on 2 kommenttia ▼
