Det er en klausul i California Consumer Protection Act (CCPA) om dataminimering som Rolling Stones kunne ha skrevet. Det står at man som bedrift ikke alltid kan få de dataene man ønsker, men man får det man trenger. Dataminimering betyr kun å samle inn nok data til det nødvendige formålet, og ikke mer. Som et ekstremt eksempel, hvis du vil sende noen et elektronisk nyhetsbrev, har du lov til å be om e-postadressen deres, men ikke om en skannet kopi av førerkortet.

Seks år etter påbud om dataminimering i loven, har Californias Privacy Protection Agency (CPPA) utstedt en håndhevingsrådgivning forklarer hvor alvorlig den tar dette problemet.

CCPA tillater forbrukere å be organisasjoner om tilgang til dataene om dem, og å korrigere eller slette dem der det er nødvendig. Rådgivningen 2. april rapporterer at mange organisasjoner har bedt om for mye informasjon når de oppfyller disse forespørslene. Budskapet er klart: kutt det ut.

Gjør som europeerne

CPPAs tilnærming her speiler nært Europas, ifølge Odia Kagan, partner og leder av GDPR Compliance & International Privacy Practice hos Fox Rothschild LLP.

"Regelen om å ikke bruke informasjonen du får i forbindelse med forespørsler til andre formål og bare samle inn det du trenger er nøyaktig den samme i Europa," sier hun til ISMS.online. "Vi har veiledning fra European Data Protection Authority om dette."

Så hvorfor bruker ikke selskaper ganske enkelt dataminimering som forespurt når de behandler forespørsler? Det er ikke en enkel no-brainer, påpeker Kagan; det er en balanse mellom bekvemmelighet og sikkerhet. Det er spesielt viktig når du behandler forespørsler om å få tilgang til og slette informasjon.

"Sletting og tilgang er viktigere fordi du gir informasjon som kan være risikabelt for personen hvis den kompromitteres," sier hun.

Geolokaliseringsdata er et godt eksempel. Hvis noen utgir seg for å være den legitime eieren av geolokaliseringsdata og ber om tilgang, kan de finne ut sensitiv informasjon. Som Kagan påpeker, kan dette inkludere om de gikk til en abortklinikk – et spesielt sensitivt tema i USA i dag.

Forespørsler om sletting er også risikabelt. "Hva om noen ber om å slette familiebilder?" legger hun til. Drive-by-sletting av bilder er kanskje ikke livstruende, men de er fortsatt svært opprørende – og potensielt juridisk skadelig for datainnehaveren.

Etterligning er en reell trussel

Etterligning ved forespørsler om datatilgang er en reell trussel, som demonstrert av University of Oxford-forsker James Pavur i 2019. Med sin forlovedes tillatelse, lot å være henne når du sender inn forespørsler om datatilgang under GDPR-regelverket.

Nesten en fjerdedel av de 83 selskapene han kontaktet som hadde data, ga dem uten å bekrefte identiteten hans i det hele tatt, mens 16 % ba om en lett forfalsket type ID. Han fikk resultatene av strafferegistreringskontrollene, sammen med reisejournaler og skolekarakterer.

Bedrifter må gjøre sin due diligence, men må ikke være for restriktive, forklarer Kagan.

"Du vil ikke gjøre det for vanskelig å utføre en forespørsel, og du vil ikke bli involvert i data som er sensitive," påpeker hun. Å samle inn for mye sensitive data for å bekrefte noens identitet, setter dem ikke bare i fare for regulatoriske handlinger; det risikerer også mer ansvar hvis verifikasjonsdataene senere blir brutt.

Hvordan gå linjen

Så hvordan kan selskaper stå på grensen uten å gå over den? Håndhevingsrådgivningen gir to eksempler på hvordan selskaper som mottar forespørsler kan overholde disse reglene.

Det første eksemplet er en opt-out-forespørsel fra å selge personlig informasjon. Dette er den enkleste å navigere etter, fordi behandling av bortvalgssøknader ikke krever identifikasjonsverifisering i det hele tatt under CCPA. Den trenger bare informasjonen som er nødvendig for å referere til kunden, for eksempel en e-postadresse.

Det andre eksemplet innebærer at noen ber et selskap slette sine personopplysninger, når de ikke har en konto i organisasjonen. Denne virksomheten må bekrefte personens identitet.

De mest grunnleggende spørsmålene er beskrevet i 11 CCR § 7002(c)–(d) og er i hovedsak disse:

  • Er informasjonen vi samler inn mer enn minimum vi trenger?
  • Hva er de potensielle negative konsekvensene for enkeltpersoner ved å samle eller behandle informasjonen?
  • Finnes det sikkerhetstiltak (som kryptering eller automatiseringssletting) som kan beskytte forbrukere?

I eksemplene som er gitt, advarer rådgiveren næringslivet om å spørre seg selv om de trenger å samle inn mer informasjon enn de allerede har fra forbrukeren. CCPA rynker vanligvis på nesen når de ber om mer informasjon for verifisering med mindre det er absolutt nødvendig, og ber bedrifter om å slette den hvis den samles inn.

Tid til å forberede seg

Kagan advarer kundene sine om å forberede seg på disse spørsmålene ved å gjennomføre en risikoanalyse. Dette inkluderer å vurdere dataene som organisasjonen har om individet, sammen med sensitiviteten til disse dataene. De kan bestemme riktig autentiseringsnivå gitt arten av forespørselen, og kan bestemme om de kan bruke data de allerede har for å autentisere en person.

Bedrifter bør ta dataminimering på alvor, sier hun, ettersom det er i ferd med å bli et sentralt tema innen datahåndtering. UK Information Commissioner's Office (ICO) har sitt eget veiledning, det samme gjør forskjellige amerikanske stater. US Federal Trade Commission har også blitt stadig mer interessert i temaet, og prioriterer dataminimering i sitt tilfelle mot alkoholleveringstjenesten Drizly, og etter sigende fokuserer på punktet i sin kommende kommersielle overvåkings- og datasikkerhetsregel.

Ulike jurisdiksjoner har stort sett samme krav: at data som samles inn er nødvendig for det tiltenkte formålet.

"Det faktum at det er vanlig og enkelt betyr ikke at det er lett," konkluderer Kagan. «Det er ikke lett å implementere i det hele tatt. Men standarden er ganske vanlig akkurat nå.»