Penjahat dunia maya berkeliaran di Internet mencari celah di sistem komputer untuk dieksploitasi. Mereka ingin mencuri, mengubah, menghancurkan, atau secara tidak sah mendapatkan akses ke informasi rahasia yang dipegang oleh bisnis dan organisasi. Baik kerentanan maupun ancaman semakin meningkat. Aparat penegak hukum tidak mampu menempatkan “penyok” dalam kejahatan dunia maya.
Pembuat undang-undang di Florida, bagaimanapun, telah memutuskan siapa yang harus memiliki bagian terbesar dari tanggung jawab untuk melindungi PII (atau Informasi Identifikasi Pribadi). Individu sekarang memiliki tanggung jawab untuk melindungi Informasi Faktual rahasia jika mereka adalah “entitas tertutup” atau bisnis di Florida.
Tahukah Anda apa yang dituntut oleh undang-undang (FS 501.171)? Apakah Anda “entitas tertutup menurut hukum Florida?” Apakah sistem pemrosesan data Anda diatur agar sesuai dengan undang-undang privasi Florida? Dapatkah Anda membuktikan bahwa Anda telah mengambil “tindakan wajar” yang diwajibkan oleh undang-undang untuk melindungi informasi rahasia yang Anda miliki tentang karyawan, pelanggan, dan orang lain?
Apakah sistem informasi Anda cukup kuat untuk mencegah serangan cyber?
Apakah Anda berhasil mempertahankan diri dari audit kepatuhan?
Apa yang bisa Anda lakukan sebaliknya?
Anda dapat berkonsultasi dengan pengacara untuk menentukan apakah Anda dilindungi oleh ketentuan Undang-Undang Privasi Informasi Florida. Hal yang bijaksana dan bijaksana untuk dilakukan adalah dengan berasumsi bahwa jika Anda memperoleh atau menyimpan data pribadi rahasia tentang orang-orang, Anda mungkin dianggap sebagai entitas yang dilindungi.
Hukum Florida mencakup definisi panjang tentang apa yang dilindungi. Ini adalah: materi apa pun, terlepas dari bentuk fisiknya, di mana informasi pribadi direkam atau disimpan dengan cara apa pun, termasuk, tetapi tidak terbatas pada, kata-kata tertulis atau lisan, yang digambarkan secara grafis, dicetak, atau ditransmisikan secara elektromagnetik yang disediakan oleh individu untuk tujuan membeli atau menyewakan produk atau memperoleh layanan.
Informasi pribadi yang tercakup dalam Undang-Undang Privasi Florida akan mencakup nomor jaminan sosial seseorang, SIM atau nomor kartu identitas, nomor paspor, kartu identitas militer atau dokumen serupa lainnya yang digunakan untuk memverifikasi identitas. Selain itu termasuk nomor rekening keuangan, nomor kartu kredit atau debit dengan kode keamanan yang diperlukan, kode akses, atau sandi yang diperlukan untuk mengizinkan akses ke rekening individu; setiap informasi mengenai riwayat kesehatan seseorang, kondisi mental atau fisik, atau perawatan medis atau diagnosis oleh profesional perawatan kesehatan seseorang; atau nomor polis asuransi kesehatan individu atau nomor identifikasi pelanggan dan pengidentifikasi unik yang digunakan oleh perusahaan asuransi kesehatan untuk mengidentifikasi individu tersebut.
Penyimpanan informasi rahasia tampaknya mencakup semua “hard copy” atau catatan kertas dan yang disimpan oleh layanan cloud. Entitas yang tercakup bertanggung jawab penuh untuk mengamankan informasi yang dikumpulkannya dan tidak dapat mengalihkan tanggung jawabnya kepada pihak ketiga (seperti perusahaan penyimpanan cloud).
FS 501.171 menyatakan bahwa setiap entitas yang tercakup, entitas pemerintah atau agen pihak ketiga harus mengambil tindakan yang wajar untuk melindungi dan mengamankan data dalam bentuk elektronik yang berisi informasi pribadi.
Undang-undang menyatakan, di antara ketentuan lainnya, bagaimana pelanggaran akan dilaporkan kepada pihak berwenang (termasuk jumlah catatan yang disusupi dan persyaratan pemberitahuan). Kemungkinan denda disertakan.
Undang-Undang Privasi Informasi Florida, FS 501.171 mengharuskan organisasi harus mengambil tindakan yang wajar untuk menangani informasi rahasia. Undang-undang tidak secara tepat menentukan, namun, rincian kebijakan dan prosedur informasi apa yang harus digunakan.
Ada sejumlah kontrol dan standar keamanan informasi, tidak ada yang membawa kekuatan hukum. Namun, banyak yang dianggap sebagai model keamanan yang sangat kuat yang digunakan dalam bisnis dan industri. Organisasi, menurut hemat penulis, setidaknya harus memiliki kebijakan keamanan informasi.
Jika tidak, bimbingan dari manajemen kemungkinan tidak ada. Memenuhi uji langkah-langkah “masuk akal” untuk melindungi di bawah FS 501.171 akan menjadi tantangan jika organisasi gagal membahas topik tentang bagaimana organisasi itu secara resmi menangani atau memproses informasi rahasia.
Ayo Rajin Baca 