"Internett glemmer aldri" er en advarsel om at det du gjør på nettet kan komme tilbake til å hjemsøke deg senere. Det er også en vanlig myte, ettersom innhold ofte forsvinner, enten ved et uhell eller med vilje. Bare prøv å få tilgang til de nettbaserte diskusjonsforumene du pleide å lese tilbake i 1998. Eller tiår med MTV News.
I noen tilfeller vil folk kanskje ønske at den digitale informasjonen deres forsvinner – spesielt når den er vert for selskaper de ikke lenger stoler på. FTC gjorde det litt enklere i oktober da det avgjort a sak med Marriott International. Dette oppgjøret gjør det mulig for forbrukere å kreve at Marriott International sletter postene deres. Kan dette danne en presedens i USA som europeiske forbrukere har hatt glede av i årevis?
Da kriminelle sjekket inn – og sjekket ut millioner av poster
I 2018 avslørte Marriott at inntrengere hadde kompromittert reservasjonssystemet til datterselskapet Starwood Hotels & Resorts. I to brudd stjal de 339 millioner kundeposter fra Starwood, inkludert kredittkortopplysninger og passnumre.
Angrepene begynte i 2014 før Marriott kjøpte Starwood. Da Marriott oppdaget bruddet to år etter 2016-oppkjøpet, hadde det fortsatt ikke overført Starwood til sitt eget reservasjonssystem. Så, mellom 2018 og 2020, skjedde et tredje brudd, denne gangen påvirket Marriotts egne systemer. Denne inntrengningen førte til tyveri av ytterligere 5.2 millioner kundeposter, først og fremst for å stjele lojalitetspoengene deres.
FTCs klage mot Marriott fokuserer på to ting. Den første er den påståtte unnlatelsen av å sørge for passende sikkerhetstiltak, inkludert passordkontroller, programvareoppdateringer og nettverkslogging. Den andre er hva FTC anser som forbrukerbedrag gjennom villedende sikkerhetserklæringer.
Det FTC ikke eksplisitt beskriver i sin klage er Marriotts U-sving på krypteringskravene. Hotelleieren sa den gang at kredittkortnumrene og noen passdata i Starwood-bruddet var kryptert med AES-128, en kraftig krypteringsprotokoll. I en rettslig høring 10. april i år ble det imidlertid viste at den hadde faktisk blitt behandlet ved hjelp av SHA-1 hashing-algoritmen. Ikke bare er dette ikke en krypteringsmekanisme, men sikkerhetsforskere har også avdekket sårbarheter i SHA-1 så langt tilbake som i 2005. NSA har nå trukket den helt tilbake.
Forbrukere vil snart kunne slette Marriott-dataene sine
Marriott gikk med på en heftig betaling på 52 millioner dollar i et separat forlik med 50 generaladvokater. Dette utgjør 0.8 % av inntektene eller drøyt tre dagers inntekter – eller på en annen måte, omtrent 15 cent per berørt forbruker.
Kanskje et mer betydelig resultat for de virkelige ofrene for Marriott-bruddet var hotellkjedens avtale med både statene og FTC om at det ville tillate kunder å slette deres personlige opplysninger fra systemene deres. Marriott må inkludere en knapp på nettstedet sitt som lar kunder be om denne dataslettingen. Den må deretter bekrefte mottak og forklare dataslettingsprosessen innen 60 dager etter hver forespørsel.
Dette er ikke første gang FTC har utstedt forespørsler om sletting av data som en del av oppgjørene. I oktober 2022 tok kommisjonen et oppgjør med Chegg, leverandøren av utdanningsteknologi, for dens påståtte cybersikkerhetsmangler, og avtalen inkluderte en ordre til selskapet om å la forbrukere slette dataene deres. EN oppgjør med Markedsføringsselskapet InMarket i mai i år inkluderte også et krav om at selskapet skulle slette eventuelle kundeplasseringsdata på kundeforespørsel.
Imidlertid i en analyse av Marriott-saken, Jim Dempsey, administrerende direktør for IAPP Cybersecurity Law Center, sier at Marriott-oppgjøret inneholder noe nytt. "Det var første gang FTC krevde at et selskap som led et sikkerhetsbrudd skulle gi alle kunder en lenke for å be om sletting av personlig informasjon knyttet til en e-postadresse og/eller et kontonummer for lojalitetsbelønningsprogram," sa han.
Krav til å spre sletting av forbrukerdata
Disse dataslettingsbestemmelsene kan bli mer utbredt. USA har ikke en føderal personvernlov. Imidlertid er mange lover om sletting av data på statlig nivå allerede i kraft eller skal tre i kraft. De som driver forretninger i California, Colorado, Connecticut, Utah og Virginia må nå slette forbrukerdata på forespørsel, mens lignende lover i Iowa og Nebraska trer i kraft i januar neste år. Det er flere på gang.
I Europa har bedrifter holdt på med dette i lang tid. General Data Protection Regulation (GDPR), som trådte i kraft i 2018, har pålagt forbrukere rett til å slette data.
Alt dette betyr at FTCs siste og mest aggressive rett til å slette oppgjør neppe vil være det siste. Med en ny, stort sett anti-reguleringsregjering på vei inn, er det uklart om kongressen vil vedta en overordnet føderal rett til å slette lov snart. Men etter hvert som støtten på statlig nivå for rett til å slette tiltak vokser, gir det FTC mer grunnlag for å bruke dette konseptet i oppgjør med selskaper.
Hvordan forberede
Det er viktig for organisasjoner som tror de kan bli berørt av forespørsler om datasletting å forberede seg på dem. Det er både juridiske og tekniske aspekter ved dette. Å forstå deres ansvar rundt en innkommende slettingsforespørsel betyr å vurdere de spesifikke egenskapene til disse dataene i forhold til omfanget av regelen – enten det er et forskriftsoppgjør, en statlig lov eller en regional forskrift. Dette inkluderer å forstå om formålet med å beholde dataene er unntatt under regelen og om du trenger dataene for å oppfylle en kontrakt med den enkelte.
Hvis du må slette dataene, innebærer det å identifisere og samle den aktuelle informasjonen, ofte fra flere systemer. Å lage en datastyringsstrategi som støtter dette kan inkludere bruk av teknologi for å merke og lokalisere dataene etter forespørsel og deretter opprette sletteposter for å automatisere rapportering.
Jo flere rettigheter forbrukere får til å slette dataene sine, jo mer kan det gjenopprette tilliten til et nettbasert økosystem som har sviktet dem. Selskaper som forbereder seg på denne hendelsen nå vil gjøre mer enn å sikre at de kan overholde den spesifikke regelen; de vil utjevne datastyringen i en verden som sårt trenger det.
