Yakın zamanda kabul edilen bir Pensilvanya yasası, veri ihlallerinin ardından tüketici korumalarını güçlendirmeyi amaçlıyor. Bu yılın Eylül ayının sonlarında yürürlüğe girmesi planlanan 2024 tarihli 33 Numaralı Kanun, kuruluşların veri ihlali bildirimleri yayınlamaları ve veri ihlali durumunda etkilenen kişilere ücretsiz kredi izleme hizmeti sunmaları için daha sıkı süre sınırlamaları getiriyor.
33 Numaralı Yasanın Temel Hükümleri Pensilvanya Yasası
Yeni yasanın hükümlerine göre, kuruluşlar, Pensilvanya eyaletinde 500’den fazla kişiyi etkileyen bir veri ihlalinin tespit edilmesi halinde Pensilvanya Başsavcılık Ofisi’ne bildirimde bulunmak zorunda.
Bildirimin aşağıdaki bilgileri içermesi gerekmektedir:
1) Kuruluşun adı ve yeri.
(2) Sistem güvenliğinin ihlal edildiği tarih.
(3) Sistemin güvenliğinin ihlal edildiği olayın özeti.
(4) Sistem güvenliğinin ihlal edilmesinden etkilenen kişilerin tahmini toplam sayısı.
(5) Sistemin güvenliğinin ihlal edilmesinden etkilenen bu Milletler Topluluğu’ndaki tahmini toplam kişi sayısı.
Raporlama gerekliliklerinin yanı sıra, kanunun temel hükümlerinden biri de kuruluşların etkilenen tüm tüketicilere ücretsiz kredi raporları ve bir yıllık kredi izleme hizmeti sunma zorunluluğudur. Kanun, tüketiciler için yeni bir koruma dönemi başlatarak kuruluşların etkilenen bireylere kredi raporlarına ve kredi izleme hizmetlerine erişim sağlamayla ilişkili tüm maliyetleri ve ücretleri üstlenmesini gerektirir.
Bu hüküm, Pensilvanya’daki kişilerin bu hizmetler için ödeme yapmak zorunda kalmayacağı anlamına geliyor; bu da veri ihlali durumunda gönül rahatlığı sağlayabilir ve kimlik hırsızlığı ile mali dolandırıcılığı önlemeye yardımcı olmak için ek bir koruma katmanı sağlayabilir.
Kanun, kişisel bilgiyi bir bireyin adı veya adının ilk harfi ve soyadı ile Sosyal Güvenlik numarası, ehliyet veya finansal hesap numaraları gibi belirli hassas veri öğelerinin birleşimi olarak tanımlıyor.
Kanun, 22 Aralık 2005 tarihli (PL474, No.94) değişiklik yasasının bir uzantısıdır ve şu hükmü içermektedir:
“Bilgisayarlı verilerin güvenliğini ve sistem güvenliğinin ihlali nedeniyle kişisel bilgileri ifşa edilen veya ifşa edilebilecek olan sakinlere bildirimde bulunulmasını ve ceza uygulanmasını öngören bir yasa”, ayrıca tanımları, sistem güvenliğinin ihlalinin bildirilmesini ve tüketici raporlama kuruluşlarına bildirim yapılmasını ve kredi raporlaması ve izlemeyi öngören bir yasa.
33 Numaralı Kanun, eyalet meclisinin her iki kanadında da oy birliğiyle desteklendi ve bu, daha güçlü veri koruma önlemlerine duyulan ihtiyacın genel olarak kabul edildiğini gösteriyor.
Eylem, Geisinger Tıp Merkezi Veri İhlali Sonuçlarının Ortasında Geliyor
Amerika Birleşik Devletleri genelindeki veri ihlali olaylarıyla ilgili raporlar son yıllarda artış gösterdi ve 2023’te ülke çapında 3.122 olay bildirildi – 2021’deki önceki zirveden %72’lik bir artış. Kimlik Hırsızlığı Kaynak Merkezi’nden alınan verilere göre, bu ihlaller yüz milyonlarca Amerikalıyı etkiledi ve milyarlarca dolarlık kayba neden oldu.
Yeni yasa, Pennsylvania’daki Geisinger Tıp Merkezi’ndeki gibi yaklaşık bir milyon hastanın kişisel bilgilerini ifşa eden yüksek profilli ihlallerin ardından geldi. Veri ihlaliyle bağlantılı eski bir çalışan tutuklandı.
Geisinger’in baş gizlilik görevlisi Jonathan Friesen, tutuklamaya yanıt olarak, “Hastalarımızın ve üyelerimizin gizliliği en büyük önceliğimizdir ve bunu korumayı çok ciddiye alıyoruz.” dedi. “Bu soruşturmada yetkililerle yakın bir şekilde çalışmaya devam ediyoruz ve failin yakalanıp şimdi federal suçlamalarla karşı karşıya olmasından dolayı minnettar olsam da, bunun olmasından dolayı üzgünüm.” diye ekledi.
Hastanenin hoşnutsuz eski hastaları, tazminat talep ederek Geisinger’a karşı açılan bir toplu davaya katıldı. Eski bir hasta olan James Wierbowski, 28 Haziran’da 5 milyon dolardan fazla olabilecek parasal tazminat talep eden bir dava açtı.