Wat Biden's Data Broker EO voor uw bedrijf betekent ISMS.online

Wat Biden's Data Broker EO voor uw bedrijf betekent

Door Danny Bradbury • 18 april 2024

Veel datamakelaars verkopen graag allerlei persoonlijke informatie over Amerikaanse burgers. Voeg deze gegevens samen en je kunt angstaanjagend gedetailleerde informatie krijgen over een breed scala aan mensen, van fysiek kwetsbaar tot politiek prominent.

Wetgevers worden steeds nerveuzer over de risico’s als een buitenlandse tegenstander die gegevens koopt, die kunnen variëren van chantage tot fysieke schade. Op 28 februari ondernam het Witte Huis opnieuw een stap om de dreiging te verzachten.

Een geschiedenis van bezorgdheid over buitenlandse gegevensstromen

De Executive Order over het voorkomen van toegang tot gevoelige persoonlijke gegevens van Amerikanen en overheidsgerelateerde gegevens van de Verenigde Staten door landen van zorg is de laatste in een reeks stappen die het Witte Huis heeft genomen om de persoonlijke gegevens van Amerikanen te beveiligen.

Op 15 mei 2019 heeft de regering-Trump een uitspraak gedaan Beveiliging van de toeleveringsketen van informatie- en communicatietechnologie en diensten. Die EO riep een nationale noodsituatie uit met betrekking tot het gebruik van buitenlandse IT- en communicatietechnologie.

Het Witte Huis van Biden erkende die noodsituatie op 9 juni 2021 in een andere EO, Bescherming van gevoelige gegevens van Amerikanen tegen buitenlandse tegenstanders. Dit riep op tot een risicoanalyse van de gevaren van het delen van gegevens van Amerikaanse burgers in het buitenland, samen met aanbevelingen voor uitvoerend optreden.

De nieuwste EO is een reactie op die analyse. Het geeft uitdrukking aan de vrees van de regering dat kwaadwillende actoren in het buitenland AI en andere technologieën zouden kunnen gebruiken om nieuwe inzichten te verkrijgen uit gegevens over Amerikaanse burgers. Het maakt zich zorgen over gegevens over burgers, maar richt zich specifiek op individuen in het leger en anderen die voor de overheid werken, samen met kwetsbare groepen, waaronder dissidenten.

Het document roept overheidsdiensten op om deze groepen te beschermen via verschillende maatregelen, waaronder het prioriteren van het onderzoeken van licenties voor onderzeese datatransmissiekabels (een kwestie die voor het eerst aan de orde kwam in weer een andere EO uit het Trump-tijdperk). vanaf 4 april 2020. Het Witte Huis hoopt dat deze prioriteitstelling zal helpen voorkomen dat zorgwekkende landen licentiehouders manipuleren om gegevens uit de ether te halen.

Gezondheidszorgonderzoekers zijn een ander doelwit van de EO. Het gaf verschillende uitvoerende afdelingen de opdracht om regels uit te vaardigen over het beheer van bulkinformatie over de gezondheidszorg, inclusief soorten biologische gegevens zoals genomica.

Datamakelaars op de hoogte stellen

De EO richt zich ook op datamakelaars.

“Entiteiten in de data brokerage-industrie maken toegang mogelijk tot grote hoeveelheden gevoelige persoonlijke gegevens en aan de Amerikaanse overheid gerelateerde gegevens voor landen van zorg en gedekte personen”, zegt het. “Deze entiteiten vormen een bijzonder risico om bij te dragen aan de nationale noodsituatie die in dit bevel wordt beschreven, omdat ze zich routinematig bezighouden met het verzamelen, samenstellen, evalueren en verspreiden van grote hoeveelheden gevoelige persoonlijke gegevens en van de subset van aan de Amerikaanse overheid gerelateerde gegevens over de Verenigde Staten. consumenten."

Het richt zich op deze sector door mensen in de VS te verbieden transacties aan te gaan waarbij grote hoeveelheden gevoelige persoonlijke gegevens betrokken zijn met buitenlanders die landen van zorg vertegenwoordigen. Die gegevens omvatten een aantal persoonlijke en biometrische identificatiegegevens, samen met geolocatie- en gerelateerde sensorgegevens, biologische en persoonlijke gezondheidsgegevens en persoonlijke financiële gegevens. Er zijn uitzonderingen op de regel, waaronder het verstrekken van informatie voor financiële diensten of voor naleving van de regelgeving.

Reguliere bedrijven waarvan de primaire activiteit niet bestaat uit het verkopen van gegevens hoeven zich echter geen zorgen te maken. De EO stelt dat het bevel niet bedoeld is om commerciële transacties met deze landen te verbieden “inclusief het uitwisselen van financiële en andere gegevens als onderdeel van de verkoop van commerciële goederen en diensten”. Het probeert ook niet de bredere handelsbetrekkingen te verstoren. Het draait allemaal om toegang tot gevoelige bulkgegevens, legt het document uit.

Het Witte Huis zal gedeeltelijk een beroep doen op het Consumer Financial Protection Bureau (CFPB) om datamakelaars binnen de reikwijdte van de wet te helpen brengen. Er bestaat geen specifieke federale regelgeving voor datamakelaars, maar consumenteninformatiebureaus (CRA's) vallen onder de Fair Credit Reporting Act (FCRA) uit 1970.

In de voorgestelde regelgevingmaakte het CFPB zich zorgen dat meer dan een halve eeuw na de invoering van de wet de definitie van een CRA nu te beperkt is, en dat sommige datamakelaars in gevoelige persoonlijke informatie handelden zonder aan het privacymandaat te hoeven voldoen. Voorgestelde maatregelen omvatten onder meer een verruiming van de reikwijdte om deze makelaars als rapporterende instanties te definiëren, waardoor ze in de schoot worden geworpen.

De vraag is volgens Claude Mandy of datamakelaars de verkoop aan buitenlanders kunnen beperken. Mandy is Chief Data Security Evangelist bij Symmetry Systems, dat bedrijven helpt te begrijpen waar hun gevoelige gegevens zich bevinden, hoe deze zijn gebruikt en door wie. Het beantwoorden van die vragen is moeilijker dan het lijkt, waarschuwt hij.

“Elke keer dat we een organisatie binnenstappen, zien we de uitdagingen die ze hebben bij het beheersen van de gegevensstroom en het begrijpen welke gegevens ze hebben”, vertelt hij aan ISMS.online.
Mandy waarschuwt ook dat gegevens regelmatig aan derden worden verkocht, die deze vervolgens aan zichzelf verkopen, waardoor een toeleveringsketen ontstaat die op zijn best duister is.

'Ze weten niet naar wie het wordt gestuurd. Ze weten niet wie er toegang toe heeft. En die gegevensstroom uit de eerste principes wordt niet aangepakt”, zegt hij. “Met lege vennootschappen en buitenlands eigendom, hoeveel lagen kun je diep gaan voordat het onhoudbaar wordt om die definitieve positie te vinden? En dat is wat wij hen vragen te doen met dit Executive Order.”

Tijd om datapraktijken te heroverwegen

Cobun Zweifel-Keegan, directeur van de International Association of Privacy Professionals (IAPP) in Washington DC, zegt dat wanneer de overheidsinstanties uiteindelijk specifieke regels opstellen, datamakelaars wellicht hun databeheer moeten heroverwegen. Dat is misschien geen slechte zaak, voegt hij eraan toe.

“Het begrijpen van de context en de potentiële schade van bepaalde datasets is een bekende uitdaging waar een bedrijf al rekening mee zou moeten houden”, vertelt hij aan ISMS.online.

Eén wet die ze allemaal bindt?

Intussen blijft de federale overheid aandringen op een bredere federale privacywet. Het nieuwste voorstel is de Amerikaanse Privacy Rights Act, die Amerikanen in staat zou stellen te bepalen welke gegevens bedrijven over hen kunnen verzamelen en bewaren, en om te voorkomen dat hun gegevens aan anderen worden overgedragen.

Terwijl we wachten tot die conceptbespreking een daadwerkelijk wetsvoorstel wordt, zijn er andere pogingen op de Hill om datamakelaars in toom te houden. Wetgevers introduceerden HR 7521, de Protecting Americans from Foreign Adversary Controlled Applications Act (gepubliceerd als het TikTok-verbod) en HR 7520, de Protecting Americans' Data from Foreign Adversaries Act van 2024. Net als de EO van februari richt deze laatste zich op het tegenhouden van de verkoop van informatie door datamakelaars aan buitenlandse entiteiten.

Nu zowel het Witte Huis als het Huis van Afgevaardigden graag de druk op datamakelaars willen vergroten, zouden bedrijven die zich richten op het verkopen van gegevens van individuen er verstandig aan doen hun praktijken onder de loep te nemen.

“Datamakelaars zijn zich er zeker van bewust dat beleidsmakers zich zorgen maken over praktijken waarbij buitenlandse tegenstanders betrokken zijn en zelfs over de verkoop van gegevens op onbelemmerde manieren en in andere contexten”, zegt Zweifel-Keegan. “Het is zeker geen tijd om op je lauweren te rusten, want dit is slechts een van de vele bewegende beleidsdoelstellingen die de praktijken van datamakelaars steeds dichterbij brengen.”

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury