21 juni 2006

Juridische en privacy experts stellen dat organisaties die per ongeluk of geheim hun klantengegevens 'verliezen' of illegaal ter beschikking stellen van derden steeds meer geconfronteerd zullen worden met juridische consequenties. Op 6 juni 2006 werd het Department of Veteran Affairs geconfronteerd met twee rechtszaken, gerelateerd aan de diefstal van de laptop van een van de medewerkers. De diefstal, gerapporteerd eind mei, bevatte de gegevens van 26,5 miljoen militairen. De veteranen die de rechtszaken hebben aangespannen eisen $ 1000 voor iedere persoon waarvan de gegevens zijn gestolen. Volgens juridische experts hoeven de meeste bedrijven nog geen rekening te houden met de rigoreuze gegevensbeveiligingsmaatregelen waaraan federale organen van de Amerikaanse regering onderworpen zijn. Dat betekent dat individuele klanten van dergelijke bedrijven bij diefstal van hun gegevens weinig mogelijkheden hebben om juridische maatregelen te treffen. Maar de tijden veranderen en de betrekkelijke onaantastbaarheid van dergelijke bedrijven lijkt verleden tijd.

'It's very important to enforce our existing privacy laws and bring these types of cases because the government and the private sector seem to be doing such a poor job of safeguarding people's information', stelt Marc Rotenberg, uitvoerend directeur van het Electronic Privacy Information Center, in Washington. 'Enforcement of the Federal Privacy Act is critical to protecting individuals, and we will see more lawsuits. In some cases, including the Ohio attorney general's pending suit against retailer Designer Shoe Warehouse, plaintiffs will push companies to spell out all the gory details of their customer data mishandlings. In other cases, such as a recently filed class action suit brought by California consumers against a Los Angeles used-car company, Drive Time, plaintiffs will seek financial remuneration against companies that deal customer data to others without first getting permission to do so'. Bedrijven zullen steeds meer aansprakelijk worden gesteld. Rotenberg, hoogleraar recht aan de Georgetown University, zei dat 'although the Federal Privacy Act — passed by Congress in 1974 — may need to be updated to address new technologies and electronic data uses, the legislation should serve as a sufficient basis for legal claims as more consumers look for payback'. Andere juristen zijn het hier mee eens. Ray Everett-Church, advocaat en Chief Privacy Officer van de ePrivacy Group, zei dat de 'the Federal Trade Commission's fining of ChoicePoint, a consumer data aggregator found guilty of selling the information of 163,000 Americans to fraudsters, paves the way for future legal action'. ChoicePoint kreeg een boete van 15 miljoen dollar opgelegd in januari voor het ontbreken van voldoende gegevensbeveiliging. 'It's completely appropriate for those who are harmed by this sort of activity to hold someone accountable, and, in our system, sometimes the only way to get to the bottom of an issue this big is via lawsuit', stelde Everett-Church. 'Consumers want answers, and counsels will see this as a business opportunity; I'd expect to see more of these types of suits against private companies soon—brought by private citizens, law enforcement and the government'. De meeste experts zijn het erover eens dat de strengere regelgeving voor de bescherming van persoonlijke gegevens een grote toename zal betekenen van rechtszaken tegen bedrijven die hieraan niet voldoen. Reguleringen zullen bedrijven er in ieder geval toe brengen om beter om te gaan met de klantengegevens die ze beheren. Regulering lost echter lang niet alles op. Dat is de mening van Douglas Rosinski, een van de advocaten in de zaak van het Department of Veteran Affairs. De medewerker waarvan de laptop gestolen was nam alle persoonlijke informatie daarop al jarenlang mee naar huis, ondanks alle organisatorische beleid en regels die dat verboden. 'Even though the federal government has been after the VA to do something about this for years, it's clear they felt they could thumb their noses at the existing regulations. This wasn't an issue of ignorance; it was an issue of people who refused to improve data security policies even when told to do so'. Een vergelijking met Nederlandse situaties zou juist dit laatste wel eens kunnen bevestigen.