Geloof, maar verifieer. Dit is een goede suggestie in veel contexten, inclusief uw opvattingen met het bedrijf dat u inhuurt om gevoelige gegevens in uw bezit te verwerken. Zelfs als een overtreding eindelijk terugkeert naar het gedrag van een serviceleverancier, de persoon die persoonlijke informatie heeft vanuit het perspectief van een klant of werknemer, stopt de toespraak bij u. Daarom beginnen de beveiligingswaarschuwingsbedrijven ervoor te zorgen dat hun serviceleveranciers een redelijk beveiligingssysteem implementeren.
Voordat u diensten naar het bestuur naar het bord brengt, spellen wat u verwacht in het geval van beveiliging. Stel uzelf aan dat ze een technische hak hebben om het werk te doen. Maak de procedures zodat u kunt observeren wat u namens u doet. En zorg ervoor dat ze hun beloften volgen.
FTC wetshandhavingswerkwoorden, onderzoeken en vragen die we van de agentschappen hebben ontvangen, hier zijn enkele voorbeelden die de stappen weergeven die u kunt nemen om uw serviceleveranciers aan te moedigen om te beginnen met de bescherming – en het zit vast.
Maak uw juiste werk.
Koop geen gebruikte auto’s voordat u de onderkant van de motorkap controleert en u koopt niet alleen een huis volgens de belofte van de verkoper dat het zich in de toppositie bevindt. Gegevensbescherming is niet anders. Informatie is vaak een van de belangrijkste bronnen in een bedrijf. Voordat u de controle over iemand anders geeft, moet u ervoor zorgen dat u weet hoe die informatie zal worden gebruikt en beschermd.
Voorbeelden: Een bedrijf probeert een aannemer aan te stellen om zijn gegevensverwerking af te handelen. Het krijgt het bod van de twee aannemers – een erkende naam in een veld en een nieuwe aankomst die aanzienlijk minder in rekening brengt. In plaats van de gevestigde merknaam of lagere onderhandelingen te kiezen, vraagt het bureau beide aannemers naar de aannemers – onder andere – hoe het de gegevens van het bedrijf zal beschermen, tot wie de gegevens toegang hebben en hoe deze zal worden getraind om zijn personeel veilig te onderhouden. Het bedrijf moet alleen de beloning geven als het contract tevreden is met de reacties. Desalniettemin moeten specifieke bepalingen worden opgenomen in de overeenkomst van de redelijke bescherming van de organisatie.
Houd het schriftelijk.
Dit is een vage “laten we er gewoon over schudden”, gegevensbescherming is erg belangrijk om deze naar de deals te verwijderen. Beide partijen profiteren van de verwachtingen, prestatienormen en observatieprocedures in het contract schrijven in het contract.
Voorbeelden: Een organisatie huurt een serviceprovider in om een maandelijkse factureringsverklaring naar klanten te sturen. Het bedrijf geeft de serviceleverancier toegang tot de accountinformatie – inclusief de voorkeursmethoden van de klant – het creëren van een spreadsheet van de serviceleveranciers. Het is niet nodig om een redelijke bescherming te handhaven tussen het bureau en de serviceleverancier. Er is geen firewall in plaats van de serviceleverancier, gecodeert de gegevens niet in rust of tijdens het transport en past het systeemlogboek of een inbraakdetectiesysteem niet toe. Het niet vereisen van redelijke bescherming in de overeenkomst en het niet specificeren van de veiligheidssystemen aan de dienstverlener, het bedrijf verdwijnt de mogelijkheid om de privacyinformatie van zijn klanten te beschermen.
Voorbeelden: Een nationaal werknemersbureau huurt werknemers in het hele land in om van huis tot toegangsgegevens te werken. Het bedrijf benoemt regionale HR -aannemers om nieuwe werknemers te helpen hun primaire personeelspapieren te vullen. HR -aannemers bezoeken het huis van nieuwe werknemers om hun geschikte formulieren in te vullen, die gevoelige persoonlijke informatie bevatten met sofi -nummers. HR -aannemers maken foto’s van de formulieren en gebruiken vervolgens de personal computers van de nieuwe werknemers om te uploaden en te e -mailen naar het personeelsbureau om te uploaden en te e -mailen. Betere praktijk is om een veiliger methode voor het personeelsbureau op te geven om informatie aan zijn contract te leveren en onmiddellijk contact op te nemen met de HR -aannemer als de gevoelige gegevens worden verzonden in strijd met deze bepaling.
Controleer toestemming.
U berekent uw wijzigingen, bevestigt dat uw hotel bespaart en uw creditcardverklaring beoordeelt. Dubbelcontrole is alleen maar logisch. Daarom controleren de zorgvuldige bedrijven dat de serviceleveranciers voldoen aan de bepalingen van beschermingsovereenkomsten.
Voorbeelden: Een retailer die campinguitrusting verkoopt, huurt een organisatie in om een applicatie te ontwikkelen met informatie met betrekking tot wandelpad. De retailer wil de app op de markt brengen met deze bewering dat hij geen gelocatiegegevens zal verzamelen, tenzij de gebruiker werkt met IRM en de retailer een deel van dat effect bevat met de APP -ontwikkelaar. Voordat de app wordt vrijgegeven, onderzoekt de retailer deze en bepaalt dat de applicatie het terrein van alle gebruikers verzamelt en naar een advertentienetwerk stuurt. Spellt zijn verwachtingen in de deal en onderzoekt dat de ontwikkelaar hen heeft geëerd, de retailer zou het probleem kunnen oplossen voordat de app werd vrijgegeven.
Het bericht aan bescherming -centrale bedrijven is om uw verwachtingen in uw contract te creëren met serviceleveranciers die toegang hebben tot gevoelige informatie. Zorg er ook voor dat je een manier hebt om te observeren wat ze voor je doen.
Volgende in de serie: Houd de procedures om uw bescherming actueel te houden en voegen zwakke punten toe die kunnen stijgen.
