Möglicherweise sammelt Ihr Unternehmen persönliche Informationen über Kunden, Mitarbeiter und / oder Partner. Dies bedeutet, dass Sie verpflichtet sind, diese Informationen zu schützen. Andernfalls kann es zu rechtlichen Problemen oder sogar zu Insolvenzen kommen. Leider befanden sich viele Unternehmen in den letzten Jahren in solchen Situationen.
Jane Hils Shea, Anwalt für Technologie und Datenschutz bei Frost Brown Todd, sagte in einem E-Mail-Interview mit Small Business Trends: „Die Häufigkeit und das Ausmaß von Datenverletzungen sind sowohl hinsichtlich der Anzahl der Verstöße als auch der Anzahl der einzelnen Datensätze auf einem historischen Höchststand Kompromisse eingegangen, und die mit der Reaktion auf Datenverletzung verbundenen Kosten steigen. “
$config[code] not foundWas Ihr kleines Unternehmen über persönliche Informationen wissen muss und wie es zu schützen ist
Was sind persönliche Daten?
Persönlich identifizierbare Informationen oder vertrauliche persönliche Daten können alles sein, um die persönliche Identität einer Person zu identifizieren. Zum Beispiel:
- Name
- Sozialversicherungsnummer
- Kontaktinformation
- Zahlungsinformationen
- IP Adresse
Es besteht eine gute Chance, dass Ihr Unternehmen bereits einige dieser Informationen über Ihre Kunden erfasst. Jedes Mal, wenn jemand mit einer Kreditkarte bezahlt oder Ihre E-Mail-Liste mit Namen und Kontaktinformationen anmeldet, erhalten Sie Zugang zu persönlichen Informationen.
Dies bedeutet, dass Sie über Richtlinien verfügen müssen, um diese Informationen zu schützen und die Kunden genau wissen zu lassen, wie Sie diese Daten verwenden möchten. Hier ist was Sie wissen müssen
Warum sind persönliche Informationen für Ihr kleines Unternehmen wichtig?
Es gibt Gesetze und Vorschriften, nach denen Unternehmen bestimmte Standards erfüllen müssen, wenn es um die Speicherung und den Schutz persönlicher Informationen geht. In den meisten Fällen sind Sie an die Sprache gebunden, die Sie in Ihren eigenen Datenschutzrichtlinien verwenden. Daher ist es wichtig, dass Sie genau beschreiben, wie Sie die von Ihnen gesammelten persönlichen Daten verwenden möchten, und dass die Kunden dieser Richtlinie zustimmen, wenn sie mit Ihnen Geschäfte machen. Es gibt jedoch auch andere Normen, die für bestimmte Branchen gelten.
Shea sagt: „Ein Online-Unternehmen, das personenbezogene Daten von Personen sammelt, die sich in den USA befinden, ist in erster Linie an die Versprechen gebunden, die in den Datenschutzbestimmungen für die Website gemacht werden. Wenn ein Unternehmen in der Finanzdienstleistungsbranche oder im Gesundheitswesen tätig ist, kann dies den Anforderungen des Gramm-Leach-Bliley-Gesetzes (GLBA) oder des Health Information Protection and Portability Act (HIPAA) unterliegen. Wenn Daten über Kinder unter 13 Jahren erhoben werden, könnte dies nach dem COPPA-Gesetz (COPPA) für Kinder gelten. “
Zahlungen sind ein weiterer wichtiger Bereich, in dem Unternehmen ihre Sicherheitsanstrengungen konzentrieren müssen. Shea erklärt: „Unternehmen, die Kreditkarten akzeptieren, sollten sicher sein, dass sie den PCI-DSS (Payment Security Data Standards) der Payment Card-Industrie entsprechen. Alle Unternehmen, die Zahlungen per Kreditkarte annehmen, müssen gemäß PCI-DSS den PCI-DSS implementiert und aufrechterhalten. "
Online-Unternehmen müssen sich auch der internationalen Gesetze oder derjenigen bewusst sein, die sich auf personenbezogene Daten von Kunden außerhalb der USA konzentrieren, wie beispielsweise die DSDPR-Gesetze, die in diesem Jahr für die EU in Kraft getreten sind.
Wenn es um den Schutz personenbezogener Daten geht, müssen die Identitätsdiebstahlregeln des Fair Credit Reporting Act bestimmte Unternehmen dazu veranlassen, über schriftliche Identitätsdiebstahlschutzprogramme zu verfügen. Viele Service-Vereinbarungen mit Anbietern verlangen auch, dass Unternehmen im Rahmen ihrer Vertragsvereinbarungen branchenübliche Sicherheitsverfahren implementieren.
Wie kann Ihr Unternehmen persönliche Daten schützen?
Es gibt viele Schritte, die Sie ergreifen können und sollten, um die sensiblen Daten und personenbezogenen Daten zu schützen, die Sie über Kunden, Mitarbeiter und Verkäufer sammeln. Ihr genauer Plan hängt davon ab, welche Daten Sie tatsächlich erfassen. Es gibt jedoch einen wesentlichen Grundsatz, der grundsätzlich für jedes Unternehmen gilt.
Shea sagt: "Die wichtigste Regel und der erste Schritt, den ein Unternehmen zum Schutz vor Datenverletzungen unternehmen muss, ist" Ihre Daten zu kennen ". Ein starkes Informationssicherheitsprogramm beginnt mit einem Datenbestand und einer Datenzuordnung. In dieser Übung wird einem Unternehmen mitgeteilt, welche personenbezogenen Daten es über seine Kunden und seine Mitarbeiter erfasst und verarbeitet, und es wird angegeben, wo sich die Daten in seinem System befinden, um diese Daten bestmöglich zu schützen. Darüber hinaus sollte es verstehen, wie die personenbezogenen Daten verarbeitet und übermittelt werden, wie lange sie aufbewahrt werden und was ihre Datenvernichtungspflichten sind. “
Sie bot auch eine Handvoll konkrete Schritte an, die Sie einsetzen können. Zum Beispiel:
- Löschen Sie alle Daten aus Ihrem System, die Sie aus rechtlichen oder Compliance-Gründen nicht verwenden oder aufbewahren müssen.
- Entwickeln Sie einen Antwortplan für Datenverletzung.
- Entwickeln Sie einen Plan für die Ausfallsicherheit Ihres Unternehmens und sichern Sie wichtige Daten in einem zuverlässigen Cloud-Server.
- Fügen Sie eine Verschlüsselung für die Übertragung und Speicherung vertraulicher persönlicher Informationen hinzu.
- Schulung der Mitarbeiter im Sicherheitsbewusstsein.
- Fordern Sie die Mitarbeiter auf, sichere Kennwörter, Zwei-Faktor-Authentifizierung und andere vorbeugende Sicherheitsmaßnahmen zu verwenden.
- Informieren Sie sich bei Ihren Anbietern über deren Sicherheitsmaßnahmen und -praktiken.
- Verwenden Sie die EMV-Chipkartentechnologie, um das Risiko von Kartenbetrug zu reduzieren.
Foto über Shutterstock
Mehr in: Was ist 2 Kommentare ▼