Da ta Priva c y a nd Se c urity Ba sic s fo r E ve ry Busine sse s - PowerPoint PPT Presentation

Ba c k to Sc ho o l: Da ta Priva c y a nd Se c urity Ba sic s fo r E ve ry Busine sse s Se pte mb e r 11, 2013

Ag e nda  Ove rvie w  Co ntra c t Co nside ra tio ns  Pa yme nts & Co lle c tio ns  Me rg e rs & Ac q uisitio ns  T he Clo ud  Mo b ile Pro duc t De ve lo pme nt  Ma rke ting  E mplo ye e Priva c y  Whe n So me thing Go e s Wro ng  Que stio ns

What is “privac y law”?  Rule s re g a rding the c o lle c tio n a nd ha ndling o f “pe rso na l” o r “pe rso na lly ide ntifia b le ” info rma tio n (PI I )  AND the no tic e a nd c ho ic e pro vide d to the c o nsume r a b o ut suc h a c tivitie s.  “Da ta Se c urity” is the re la te d se t o f pra c tic e s de sig ne d to e nsure c o mplia nc e with re q uire me nts tha t PI I a nd o the r se nsitive info rma tio n b e c o lle c te d, sto re d, tra nsmitte d a nd dispo se d o f in a se c ure ma nne r.

Ove rvie w: Privac y L aw No c o mpre he nsive priva c y la w in U.S. • Ge ne ra lly, the da ta c o lle c to r o wns a nd c o ntro ls the da ta I nte rna tio na lly, la ws • E xc e pt in spe c ific a lly va ry re g ula te d a re a s, c a n use da ta a s de sire d a s lo ng a s c o nsiste nt with priva c y no tic e s a nd c o nse nt is o b ta ine d

Ove rvie w: So urc e s o f Ge ne ral U.S. Privac y L aw and E nfo rc e me nt  F e de ra l T ra de Co mmissio n – F T C Ac t – Se c tio n 5 E nfo rc e me nt a c tio ns  U.S. Co mme rc e De pa rtme nt – Cyb e rse c urity – Mo b ile a pp tra nspa re nc y  Sta te la ws – Da ta Se c urity – Ca lifo rnia – Mo b ile a pps

Ove rvie w: Se c urity/Data Bre ac h L aw  Da ta dispo sa l/ de struc tio n la ws  Bre a c h no tific a tio n la ws  F T C a pplie s “re a so na b le ne ss” sta nda rd  Sta te da ta se c urity la ws  Se c to ra l re q uire me nts (HI PAA, HI T E CH, e tc .) ma y b e mo re string e nt

Privac y b y De sig n Ba sic c o nc e pt: priva c y c o nc e rns sho uld b e a ddre sse d a t e ve ry sta g e o f pro duc t de ve lo pme nt E ndo rse d b y F T C in Ma rc h 2012 re po rt e ntitle d “Pro te c ting Co nsume rs’ Priva c y in a n E ra o f Ra pid Cha ng e ” Co nc e pt ha s b e e n inc lude d in le g isla tive pro po sa ls Ce ntra l to po lic y disc ussio ns o f priva c y in mo b ile c o nte xt F T C e nfo rc e me nt F T C a lle g e d tha t HT C Ame ric a , a mo b ile de vic e ma nufa c ture r, did no t b uild priva c y pro te c tio ns into c o de , putting c o nsume r da ta a t risk a nd sub je c ting the c o mpa ny to Se c tio n 5 e nfo rc e me nt.

What do e s this me an fo r yo u? Priva c y a nd da ta se c urity o b lig a tio ns e xte nd thro ug ho ut yo ur b usine ss: Ope ra tio ns & Co ntra c ts Pa yme nts Huma n a nd Re so urc e s Co lle c tio ns Me rg e rs Ma rke ting a nd Ac q uisitio ns Info rma tio n T e c hno lo g y

Co ntrac ts with Se rvic e Pro vide r Risks a sso c ia te d with da ta b re a c he s ma g nifie d whe n yo ur da ta is o utside yo ur c o ntro l Whe re the se rvic e pro vide r will sto re the da ta (c lo ud o r no t) Due Dilig e nc e Wha t the se rvic e pro vide r will do with it (o nly o n yo ur b e ha lf, o r to b e inde pe nde nt rig hts? ) pe rfo rme d: Whe n yo u c a n g a in a c c e ss, o r a lte r the c o ntra c t Who else is to uc hing the data (subc o ntr ac to r s? I ndependent r ights?) Wha t ha ppe ns if the re is a b re a c h? Wha t ha ppe ns if the re a third pa rty c la im? Whe the r to se e k inde mnity fo r vio la tio ns o f la w? Re pre se nta tio ns a nd wa rra ntie s? Re turn o f da ta ? T he n Do c ume nt it…

Privac y and Se c urity Co ntrac t L ang uag e Che c klist INE Co nfide ntia l I nfo rma tio n a nd Owne rship DE F c o lle c tio n, a c c e ss, use , disc lo sure , a nd re te ntio n L IMIT ANDARDS fo r tra nsmissio n a nd E ST ABL ISH SE CURIT Y ST sto ra g e AIN a udit rig hts OBT BRE ACH/ I NCI DE NT RE SPONSE OUT L INE

Co ntrac ts with T hird Partie s: I nc lude Data Se c urity Bre ac h/I nc ide nt Re spo nse I nde mnific a tio n Cre dit Mo nito ring Re so lutio n I nve stig a tio n Rig hts No tic e s: •to Co mpa ny I nsura nc e Co ve ra g e •to a ffe c te d individua ls •to la w e nfo rc e me nt

Payme nts & Co lle c tio ns: Payme nts  Pa yme nt Ca rd I ndustry Da ta Se c urity Sta nda rds (PCI DSS)  Pa yme nt Applic a tio n Da ta Se c urity Sta nda rds (PA-DSS)  Outso urc e d fo r c o mplia nc e ?

Payme nts & Co lle c tio ns: Cre dit F a ir Cre dit Re po rting Ac t Ma jo r I ssue s:  Are yo u o b ta ining a “c o nsume r re po rt”?  I s the re a pe rmissib le purpo se to o b ta in a nd use a c o nsume r re po rt?  Dutie s o f “furnishe rs”  Be wa re ste a lth F CRA trig g e rs: Spo ke o

Payme nts & Co lle c tio ns: Cre dit  F CRA a dve rse a c tio n no tic e s: Must g ive no tic e to c o nsume r if b usine ss ta ke s a dve rse a c tio n b a se d in pa rt o n a c o nsume r re po rt fro m a CRA  F e de ra l Re se rve (no w CF PB) ha s a mo de l a dve rse a c tio n no tic e fo r F CRA/ Re g . B

Me rg e rs, Ac q uisitio ns and Dive stiture s  E mplo ye e a nd c usto me r da ta = b ig g e st a sse t?  Co nside r due dilig e nc e o n priva c y a nd da ta se c urity whe n: – T ra nsa c tio ns invo lve pe rso na lly ide ntifia b le a sse ts (c usto me r da ta b a se s, so c ia l me dia , e tc .) – T ra nsa c tio ns invo lve da ta se c urity re pre se nta tio ns  Re vie w priva c y po lic ie s to e nsure pro mise s ke pt

Privac y in the Clo ud

I T So lutio ns – T he Clo ud  Mo re da ta mo ving to the c lo ud  Custo me rs ma y purc ha se So ftwa re , I nfra struc ture , Pla tfo rm – a ll “a s a se rvic e ”  Diffe re nt T ype s o f Clo ud Se rvic e s – Priva te (inte rna l o rg a niza tio n) – Co mmunity (e duc a tio n, he a lth, pa yme nt) – Pub lic (Ama zo n, Mic ro so ft, Go o g le ) – Hyb rid  Uniq ue c o ntra c t issue s – Cyb e rse c urity pro te c tio ns – Re vie w/ a udit rig hts – Jurisdic tio na l issue s - re stric tio ns in c o ntra c ts – Ac c e ss rig hts

Mo b ile Pro duc t De ve lo pme nt  F T C priva c y re po rt, c a lling fo r impro ve d mo b ile disc lo sure s (3/ 2012)  F T C wo rksho p o n mo b ile priva c y (5/ 2012)  F T C g uida nc e o n priva c y/ a d disc lo sure s fo r mo b ile a pps (9/ 2012)  NT I A sta ke ho lde r disc ussio ns re : mo b ile a pps b e g in (7/ 2012)  Ca lifo rnia Online Priva c y Pro te c tio n Ac t (Busine ss a nd Pro fe ssio ns Co de se c tio n 22575) Ca lifo rnia AG a g re e me nt with Mo b ile Apps Ma rke ting Co mpa nie s (2/ 22/ 12) – Ca lifo rnia AG le tte rs to 100 c o mpa nie s re : mo b ile priva c y po lic ie s (10/ 30/ 12) – Ca lifo rnia AG file s suit a g a inst De lta (12/ 2012) –  Ca lifo rnia AG’ s “Priva c y On T he Go ” Re po rt (1/ 2013)  F T C re po rt “Mo b ile Priva c y Disc lo sure s: Building T rust T hro ug h T ra nspa re nc y” with re c o mme nda tio ns fo r pla tfo rm pro vide rs, a pp de ve lo pe rs a nd a d ne two rks a nd o the r third pa rtie s (2/ 2013)  NT I A Multista ke ho lde r Pro c e ss re le a se s “Sho rt F o rm No tic e Co de o f Co nduc t to Pro mo te T ra nspa re nc y in Mo b ile App Pra c tic e s” a nd la unc he s c o nsume r te sting o f sho rt-fo rm no tic e s a b o ut the c o lle c tio n a nd sha ring o f c o nsume r info rma tio n with third pa rtie s.

Ove rvie w: Mo b ile Pro duc t De ve lo pme nt  Co nc e rns tha t mo b ile se rvic e s a nd a pps vio la te priva c y b y c o lle c ting a nd sto ring info rma tio n a b o ut use rs’ lo c a tio ns  Cha lle ng e s o f o b ta ining c o nse nt.  Cha lle ng e s with c o mmunic a ting disc lo sure s o n a sma ll sc re e n.  NT I A Multi-Sta ke ho lde r Pro c e ss de sig ne d to a ddre ss the se issue s wb y de sig ning a c o mmo n use r inte rfa c e tha t q uic kly info rms c o nsume rs o f info rma tio n c o lle c tio n a nd sha ring a c tivitie s.  Jule s Po lo ne tsky, E xe c utive Dire c to r o f the F uture o f Priva c y F o rum ha s de sc rib e d the re sults a s a “‘ fo o d la b e l’ type a ppro a c h to a priva c y no tic e [tha t] will g ive c o nsume rs a sta nda rdize d wa y to g e t ke y priva c y info rma tio n a t a g la nc e a nd will he lp c o nsume rs b e tte r unde rsta nd ho w a pps c o lle c t a nd sha re da ta .”  T he fo llo wing pa g e s c o nta in sa mple no tic e s sho wn a s e xa mple s o f imple me nta tio ns o f the sho rt no tic e de ve lo pe d b y se ve ra l o f the NT I A sta ke ho lde rs (so urc e : F uture o f Priva c y F o rum, http:/ / www.future o fpriva c y.o rg / 2013/ 07/ 25/ ntia -use r-inte rfa c e - mo c kups/ ).

NT I A Mo b ile Sho rt No tic e E xample 1  Da ta Use d Hig hlig hte d

NT I A Mo b ile Sho rt No tic e E xample 2  Da ta Use d o n T o p a nd Da ta No t Use d o n Bo tto m

NT I A Mo b ile Sho rt No tic e E xample 3  YE S/ NO Hig hlig hte d Ac c o rdio n