SEC Tightens Cybersecurity Requirements with Regulation S-P Amendments

"Het basisidee voor betrokken bedrijven is dat als er een inbreuk plaatsvindt, dit gemeld moet worden. Dat is goed voor beleggers." Dat waren enkele opmerkingen van Gary Gensler, voorzitter van de Amerikaanse Securities and Exchange Commission (SEC), bij de aankondiging van de wijzigingen van de SEC in Regulation S-P, die de behandeling van niet-openbare persoonlijke informatie door bepaalde financiële instellingen regelt. Voor instellingen die onder deze regelgeving vallen (over het algemeen makelaars-handelaren, beleggingsmaatschappijen, geregistreerde beleggingsadviseurs en transferagenten) introduceert de gewijzigde regelgeving niet alleen een verplichte meldingsplicht voor datalekken, maar legt zij ook aanvullende cyberbeveiligingseisen op. Hieronder vatten we de gewijzigde regelgeving samen en geven we de belangrijkste punten weer.

Incidentresponsprogramma

De gewijzigde regelgeving vereist dat elke betrokken instelling een programma voor incidentrespons ontwikkelt en implementeert binnen haar bestaande beleid en procedures. Dit programma moet "redelijkerwijs zijn ontworpen" om incidenten van ongeoorloofde toegang tot of gebruik van klantgegevens op te sporen, erop te reageren en ervan te herstellen.

Hoewel de gewijzigde regelgeving instellingen de flexibiliteit biedt om hun beleid en procedures af te stemmen op hun operationele en risicoprofielen, moeten bepaalde basisprincipes deel uitmaken van elk incidentresponsprogramma:

Beoordeling van incidenten: Het programma moet beleid en procedures bevatten voor het beoordelen van de aard en omvang van het incident. Dit houdt in dat moet worden vastgesteld welke klantinformatiesystemen zijn gecompromitteerd en welke soorten klantinformatie mogelijk zonder toestemming zijn geraadpleegd of gebruikt.
Beheersing en controle: Bij het detecteren van een incident moeten instellingen passende maatregelen nemen om de situatie onder controle te krijgen en te beheersen, om verdere ongeoorloofde toegang tot of misbruik van klantgegevens te voorkomen. Deze stap is cruciaal om de gevolgen van de inbreuk te beperken en bescherming te bieden tegen extra kwetsbaarheden.
Kennisgeving aan betrokken personen: Het programma moet ook procedures bevatten voor het informeren van personen van wie gevoelige klantgegevens zijn of waarschijnlijk zijn gecompromitteerd. Kennisgevingen moeten worden gedaan, tenzij de instelling na een redelijk onderzoek vaststelt dat de gevoelige klantgegevens niet zijn en waarschijnlijk niet zullen worden gebruikt op een manier die aanzienlijke schade of ongemak voor de klant zou kunnen veroorzaken.

Kennisgevingsplicht

De gewijzigde verordening legt een meldingsplicht op wanneer er sprake is geweest van ongeoorloofde toegang tot of gebruik van "gevoelige klantgegevens", gedefinieerd als elk element van klantgegevens, afzonderlijk of in combinatie met andere informatie, waarvan het compromitteren aanzienlijke schade of ongemak zou kunnen toebrengen aan de persoon die met die informatie wordt geassocieerd.

Volgens de gewijzigde verordening moeten de betrokken instellingen een redelijk onderzoek uitvoeren om te bepalen hoe groot de kans is dat een potentieel cyberbeveiligingsincident schade veroorzaakt. Als een betrokken instelling concludeert dat de gevoelige informatie niet is gebruikt en waarschijnlijk ook niet zal worden gebruikt op een manier die aanzienlijke schade of ongemak kan veroorzaken, kan van de meldingsplicht worden afgezien. Of een onderzoek redelijk is, wordt bepaald door de specifieke omstandigheden van de situatie. Zo kan een opzettelijke inbreuk op de beveiliging door een cybercrimineel een grondiger onderzoek vereisen dan een onopzettelijke blootstelling van gegevens door een werknemer.

Als de betrokken instelling concludeert dat er sprake is van een inbreuk, moet zij de betrokken personen hiervan zo snel als redelijkerwijs mogelijk is en uiterlijk binnen 30 dagen op de hoogte stellen, met enkele beperkte uitzonderingen. In de kennisgeving moeten details over de inbreuk worden verstrekt, waaronder de aard van het incident en de specifieke gegevens die daarbij betrokken zijn. Bovendien moeten de kennisgevingen de betrokken personen informeren over de juiste maatregelen die zij kunnen nemen om zichzelf tegen mogelijke schade te beschermen.

Toezicht op dienstverleners

De gewijzigde verordening vereist dat het incidentresponsprogramma van een onder de verordening vallende instelling schriftelijke beleidsregels en procedures bevat die redelijkerwijs zijn ontworpen om toezicht op dienstverleners te vereisen, onder meer door middel van due diligence en monitoring. Een "dienstverlener" is "elke persoon of entiteit die klantgegevens ontvangt, bewaart, verwerkt of anderszins toegang heeft tot klantgegevens door het rechtstreeks verlenen van diensten aan een onder de verordening vallende instelling". Deze ruime definitie kan een breed scala aan entiteiten omvatten, waaronder e-mailproviders, klantrelatiebeheersystemen, cloudapplicaties en andere technologieleveranciers.

Het schriftelijke beleid en de procedures van een betrokken instelling moeten redelijkerwijs zo zijn opgesteld dat dienstverleners passende maatregelen nemen om ongeoorloofde toegang tot of gebruik van klantgegevens te voorkomen en de betrokken instelling zo snel mogelijk, maar uiterlijk 72 uur nadat zij zich ervan bewust zijn geworden dat er een inbreuk op de beveiliging heeft plaatsgevonden die heeft geleid tot ongeoorloofde toegang tot een klantgegevenssysteem, hiervan op de hoogte stellen. Na ontvangst van een dergelijke kennisgeving moet een betrokken instelling haar incidentresponsprogramma in gang zetten.

Andere aspecten van de gewijzigde verordening

De gewijzigde verordening legt onder meer aanvullende vereisten op aan de betrokken instellingen met betrekking tot het bijhouden van gegevens, waaronder het documenteren van ongeoorloofde toegang tot of gebruik van klantgegevens en elk onderzoek dat naar aanleiding van een dergelijk incident wordt uitgevoerd. De gewijzigde verordening vereist ook beleidsmaatregelen en procedures met betrekking tot de correcte verwijdering van consumentengegevens en klantgegevens.

Belangrijkste opmerkingen

De gewijzigde regelgeving is nog een ander gegeven dat aantoont dat de federale overheid in het algemeen, en de SEC in het bijzonder, veel aandacht besteden aan naleving van cyberbeveiliging. Betrokken instellingen kunnen ervan uitgaan dat die aandacht zal blijven bestaan en dat het aantal handhavingsmaatregelen op het gebied van cyberbeveiliging zal toenemen.

De gewijzigde verordening treedt later deze zomer in werking. Grotere entiteiten krijgen 18 maanden de tijd om aan de verordening te voldoen, kleinere entiteiten krijgen 24 maanden. De betrokken instellingen moeten nagaan in hoeverre de verordening op hen van toepassing is en hun inspanningen om aan de verordening te voldoen daarop afstemmen.

De betrokken instellingen moeten beginnen met het herzien en bijwerken van hun beleid en procedures om ervoor te zorgen dat deze aan de nieuwe vereisten voldoen. Deze proactieve aanpak zal helpen om hiaten te identificeren en ervoor te zorgen dat binnen de voorgeschreven termijn aan de gewijzigde regelgeving wordt voldaan.

De betrokken instellingen moeten ook hun bestaande overeenkomsten met dienstverleners herzien om ervoor te zorgen dat er voldoende toezicht is en dat dienstverleners de wijzigingen naleven. Dit omvat het nemen van maatregelen op het gebied van due diligence en monitoring om te controleren of dienstverleners zich houden aan de nieuwe beveiligings- en meldingsvereisten.

Hoewel de gewijzigde verordening opmerkelijk is vanwege de verplichte meldingsplicht, bestond die verplichting in de praktijk al in de vorm van staatswetten inzake datalekken en andere regelgeving. Daarom moeten de betrokken instellingen gebruikmaken van hun bestaande incidentresponsplannen en meldingsprotocollen en bepalen in hoeverre bestaande processen en procedures kunnen worden benut.

Als u nog vragen heeft over de vereisten van de gewijzigde Regulation S-P, neem dan contact op met een van de auteurs of een partner of senior adviseur van de praktijkgroep Technology Transactions, Cybersecurity, and Privacy van Foley & Lardner.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.