Het recente Anthem-datalek heeft veiligheid en privacy voor de meeste organisaties op de voorgrond geplaatst. Tijdens Legal Tech New York organiseerde onze corporate counsel Mary Mack, een panel over privacy met panelleden over een aantal van de grootste privacyproblemen voor dit jaar.
Gesponsord door Women in eDiscovery op 5 februari 2015, omvatte het panel:
- Amanda Kosowsky, VP, AGC, Discovery Management, JPMorgan Chase
- Laura Kibbe, Counsel, Morgan Lewis
- Monique Altheim, Managing Consultant Wereldwijde gegevensprivacy en -beveiliging, IBM
- Monika Jedrzejowska, medewerker, Hunton en Williams
Hier zijn de belangrijkste zorgen over privacy besproken:
1. Gezondheidsinformatie
Met de 80 miljoen gestolen sociale zekerheids- en gezondheids-ID's is de anthem-inbreuk een van de grootste inbreuken op de gegevensbeveiliging tot nu toe. Net als bij de Sony-inbreuk, werd gezondheidsinformatie gestolen. Gezondheidsinformatie is echter tien keer zo waardevol als creditcardinformatie op de zwarte markt en wordt doorverkocht, gebruikt bij medische fraude en om diensten te verkrijgen via medische identiteitsdiefstal. De impact van de schending was meteen merkbaar toen klanten 'phishing'-e-mails ontvingen waarin ze werden gevraagd hun creditcardgegevens en persoonlijke gezondheidsinformatie te verifiëren. Boze klanten ondernemen een class action-suit tegen Anthem.
2. Service providers en advocatenkantoren als zakenpartners
HIPAA-compliance voor organisaties die werken voor 'covered entities' was een hot topic in het panel. Organisaties - die werken voor covered entities (zoals dokters en tandartsen) - zijn "business associates" (zakenpartners) en omvatten advocatenkantoren en service providers. Als zakenpartners van covered entities moeten advocatenkantoren en service providers in juridische technologieën voldoen aan HIPAA. Het panel merkte op dat in sommige contracten van nieuwe zakenpartners de aansprakelijkheid te ver wordt doorgeschoven en niet moeten worden ondertekend. Praktische benaderingen van de aangeboden compliance waren meer gerichte schadevergoeding en contractuele bepalingen inzake contractbreuk, HIPAA-audits, auto redactie, procesverbetering en codering. Papier moet niet worden genegeerd, omdat veel inbreuken offline plaatsvinden.
3. Financiële informatie
HIPAA voor financiële instellingen of Gramm Leach Bliley (GLB) zorgt ervoor dat financiële instellingen hun service providers en advocatenkantoren controleren en nauwgezetter beheren om ervoor te zorgen dat ze voldoen aan de Safeguards Rule.
4. Californische Erasure wet
De California Erasure wet, de wet die de verwijdering van informatie van een minderjarige oplegt, werd ook besproken. Verrassend is dat de minderjarige het verzoek zelf moet doen, bovendien kan de informatie alleen worden verborgen en niet gewist.
5. Internationale privacy
Het panel vervolgde met internationale privacy en bracht ons op de hoogte van de herziening van de bescherming van persoonsgegevens door de EU. Er werden voorspellingen gedaan dat de veilige haven (Safe Harbor) stand houdt, hoewel het misschien moeilijker te krijgen is en meer overzicht heeft. De EU overweegt strenge straffen voor schendingen van de privacy, waaronder 5% van het globale bruto bedrag. De constatering dat meerdere landen tot consensus moeten komen over de herziening, maakt het waarschijnlijk dat dit voorlopig nog niet definitief zal zijn. Het APEC-privacykader werd ook besproken en er werd opgemerkt dat de Localization Law van Rusland een mandaat biedt voor de verwerking en hosting van gegevens in landen.Het goede nieuws over internationale privacy omvat bindende bedrijfsregels met eenvoudiger naleving dan in de afgelopen jaren, en een stap in de richting van harmonisatie met veel landen en regio's die naar de EU kijken voor advies over hun regels.
6. Amerikaanse privacywetgeving
Sommige panelleden waren van mening dat de VS op een kantelpunt in privacy voor wetgeving staat om een standaard te bieden, niet alleen voor internationale commerciële doeleinden, maar ook om de impact van de vele verschillende regelingen van meerdere staten te neutraliseren, inclusief verschillende regelingen bij datalekken.
7. Impact op eDiscovery: Zich tussen twee vuren bevinden
Advocaten die in de grensoverschrijdende, internationale arena van eDiscovery hun vak uitoefenen, bevinden zich op een kruispunt. Aan de ene kant verwachten Amerikaanse rechters overeenstemming met de Federal Rules of Civil Procedure (FRCP). Aan de andere kant hebben verschillende rechtsgebieden strenge straffen voor de naleving van Amerikaanse eDiscovery-verzoeken. Praktische benaderingen omvatten de fasering van het opvragen en doorzoeken van informatie, het reduceren van de dataset door middel van culling in het land van herkomst, het werken met de gegevensbeschermingscontroleurs en de Amerikaanse rechter vroegtijdig informeren over de fijne kneepjes en timing van internationale bekendmakingen.