Delaware Başsavcılığı’ndan John Eakins’ten bir telefon alırsanız, zaten devletle bir veri ihlali bildirimi yaptınız, böylece bir sorun olduğunu biliyorsunuz. Daha sonra bilgi güvenliği ekiplerinin yaptıkları, üne sahip olmanızla birlikte, ağır bir para cezası ile tokatlanmak veya bir uyarı ile inmek arasındaki fark anlamına gelebilir.
Delaware Başsavcı Yardımcısı Eakins, Delaware Kişisel Veri Gizlilik Yasası (DPDPA) uyarınca yeni devlet düzenlemelerinin uygulanmasından sorumludur, ilk olarak 2023’te milletvekilleri tarafından kabul edilir ve 1 Ocak’ta sadece yürürlüğe girer. Büyük bir ihlal bildirdikten sonra ofisinden arayın. Sonra iki özel kriteri incelemek isteyecek: zarar veriyor ve düzeltilip sabitlenemeyeceği.
Eakins Dark Reading’e, “İhlal hakkında bilgi vermeleri, neden olan zararın bir değerlendirmesi ve ihlal edilen verilerin duyarlılığını vermeleri istenmelidir.” Ancak bu mutlaka icra yapmanın yakın olduğu anlamına gelmez, diye ekliyor. Şirketlere Delaware’de diğer birçok eyaletle birlikte “tedavi hakkı” olarak bilinen şey sunulur, yani ihlale yol açan hata 30 ila 60 gün arasında sabitlenebilirse, şirket cezalandırılmayacaktır.
Organizasyonların ve veri güvenliği ekiplerinin, müşteriler adına veri gizlilik düzenleyicileri ile çalışan Bakerhostetler ile birlikte avukat ve ortak olan Andreas Kaltsounis’e göre, kuruluşların ve veri güvenliği ekiplerinin “anlatacak bir hikayeye” sahip olmaları kritik hale geliyor.
Devlet gizlilik yasaları, yükselişte uygulama
Delaware de dahil olmak üzere yirmi eyalet, 2025 itibariyle veri gizlilik düzenlemelerini geçti, ancak bu yeni yasaların devletlerin veri ihlalleri için cezalar alması için gerçekten gerekli olmadığını belirtiyor. Federal yasalar bu örneklerin çoğunda kullanılabilir, eyaletlerin yarısında kitaplarda zaten bilgi güvenliği gereksinimleri vardır ve neredeyse tüm eyaletlerin bir tür “haksız, aldatıcı ve küfürlü uygulamalar” (UDAP) yasası vardır, bu da Yetkili, birçok veri ihlali örneği için icra mekanizmaları olarak kullanılacağını da sözlerine ekledi.
Yeni gizlilik mevzuatının düzenleyiciler için yaptıkları, kitaplara kural koymuyor-kurum içi uzmanlığı işe almak için para da dahil olmak üzere kuruluşlar arasında gevşek veri gizliliğini uygulamak için daha fazla para tahsis ediyor. Bunu federal deregülasyonla eşleştirin Trump İdaresive devletler boşluğu doldurmak için asal bir konumdadır.
Her eyalet kendi şeridini seçiyor.
Teksas, kendi adına, Bağlı Araç Verilerinin peşinden, General Motors’a karşı dava açıyor ve daha yakın zamanda Sigorta Şirketi Allstate için Tüketici verilerini toplamak Yeni Texas Veri Gizlilik Yasası’na (TDPSA) uymadan. Texas AG, sigortacının Teksaslılarda cep telefonu konumu verilerini toplamak için gizli gömülü yazılımları dahil etmek ve daha sonra bu bilgileri sigorta oranı zammlarını haklı çıkarmak için kullanmak için Life360 dahil olmak üzere diğer uygulamaların geliştiricilerine ödeme yaptığını iddia ediyor.
New York Başsavcısı Letitia James de yakın zamanda şirketlere para cezasına çarptırdı, biri de bir dizi dağıtım da dahil olmak üzere Güvensiz Ev Güvenlik Video Sistemleri (450.000 dolar), Geico ve Gezginler Sigorta Şirketleri Verileri koruyamamak için (11,3 milyon dolar) ve Sermaye Bölgeleri Sağlık Sağlayıcısı (2,25 milyon dolar) tıbbi verileri koruyamadığı için. Aralık ayında New York Hükümeti Kathy Hochul AG’nin gözetimini genişletti Finansal Hizmetlerin Siber Güvenliği. New York’un birincil icra çabaları, kendi yetki alanında faaliyet gösteren büyük finansal hizmetler şirketleri konusunda eğitilmiştir.
Delaware’in AG Eakins Yardımcısı, Delaware’in coğrafi verilerin kötüye kullanılması ve gelişmekte olan yapay zeka (AI) teknolojilerinin veri güvenliğine odaklanacağını söylüyor.
Basın bültenlerinin telaşına rağmen, Elektronik Frontier Vakfı’nın Yasama Savunuculuğu Direktörü Hayley Tsukayama gibi tüketici savunucuları, her devletin tüketici verilerini korumak için çok daha fazlasını yapması gerektiğini söylüyor. Tsukayama, Delaware’de olanlar da dahil olmak üzere düzenleyiciler tarafından sunulan “tedavi hakkı” gibi iş dostu boşluklara işaret ediyor ve “hapishaneden ücretsiz karttan çıkın” ve şirketler üzerinde hassas verileri de korumak için daha fazla baskı görmek istiyor geç.
Elektronik Gizlilik Bilgi Merkezi (EPIC), devletin veri gizliliği konusundaki çabalarıyla genel olarak etkilenmemiştir. Son zamanında “Gizlilik durumu“Rapor, Epic yeni eyalet yasalarını söyledi,” … Tüketicileri koruyamıyor. “Tüketici gizlilik mevzuat paketlerini geçen 19 eyaletten neredeyse yarısı epikten F notları aldı; sadece Kaliforniya bir B almadı ve hiçbir devlet almadı A.
Tsukayama, kronik yetersiz fonlamanın uygulama çabalarını azalttığını söylüyor. Ama bu her şey değişmek üzere.
Delaware Milletvekili AG Eakins, ofisinin DPDPA ile birlikte finansmanda bir destek aldığını ve ofisinin şimdi soruşturmalarına uzmanlık kazanmaya yardımcı olmak için tam zamanlı bir bilgisayar bilimcisine sahip olduğunu söyledi. Diğer birçok eyalet, yeni uyumluluk gereksinimlerinin yanı sıra veri gizliliği gözetimi için daha büyük bütçeler tahsis ederek davayı takip etti.
Veri Gizliliği Hikayenizi Al, Şimdi
Avukat Kaltsounis, düzenleyicilerin meşgul olduğunu söylüyor; Deneyiminde, cazip bir “hikaye” olan kuruluşlar, cezalardan kaçınmak için çok daha iyi konumlandırılacaktır. Bu, kuruluşun ihlalden önce bilgi güvenliğini nasıl ciddiye aldığını gösterebilmek anlamına geliyor. Artık gerekli olmayan eski bir sunucuda oturan her şeyi tasfiye eden iyi bir eski moda veri denetimi öneriyor. Daha sonra kuruluşların, mümkün olan en kısa sürede kesinlikle ihtiyaç duydukları verileri toplama konusunda ikiye katlanmaları gerekir.
“İkisinin de yapılması gerekiyor,” diye tavsiyede bulunuyor.
Veri gizliliği hizmetleri sağlayıcısı Onetrust ile strateji, gizlilik ve veri yönetişimi direktörü Ryan Edge’e göre, işletmeler bu yeni düzenleyici ortama devlet düzeyinde veri gizliliğini işin temel prensibi olarak dahil etme fırsatı olarak ele almalıdır.
“Kesin olan bir şey var – veri gizliliği ortadan kalkmıyor,” diyor Edge. “Bugün bir düzineden fazla ABD devlet gizliliği yasası var. Gerekçeli görünebilir, ancak olması gerekmiyor. Şirketler her yasa için tekerleği yeniden icat etmek zorunda değiller. Veri gizliliğini operasyonel hale getirerek görebilirler. Riski en aza indirmek, veri kalitesini artırmak ve tüketicilere güven oluşturmak gibi uyumun ötesinde faydalar. “
Kuruluşlar, verilerin nasıl kullanıldığını anlamak için veri eşleme, gizlilik etkisi değerlendirmeleri ve gizlilik mühendisliği içeren bir strateji geliştirmelidir. Bu, verilerin ne kadar tutulduğu, nasıl korunduğu ve artık ihtiyaç duyulmadığında nasıl atıldığı gibi politikaların tanımlanmasına yardımcı olacaktır.
Delaware AG’nin ofisinin veri gizliliği cezalarının nerede uygun olduğunu belirleyeceği söz konusu olduğunda, Eakins eyaletin 52 milyon dolarının Marriott ile yerleşim ulaştı Şirketin “makul güvenlik sağlama” eksikliği güçlü bir başlangıç çerçevesidir. Çok aşamalı Marriott yerleşiminden kurulan temel teknik gereksinimler arasında kapsamlı bir bilgi güvenliği programı olması, bertaraf gereksinimleri ve tedarik zinciri gözetimiyle toplanan veri miktarını en aza indirmektir. Organizasyonların başlaması için iyi bir yer.
İleride, Kaltsounis, vatandaşları adına en güçlü veri koruma duruşunu göstermek için devletler arasında “dostça bir rekabet” görmeyi bekliyor. Bir görev ve yeni bütçelerle donanmış devlet düzenleyicilerinin personel ofislerinin bir veri ihlali sonrasında standart bir fikstür olmaya başlaması muhtemeldir.
Aradıklarında, onlara hangi hikayeyi anlatmanız gerekecek?