ABD Senatosu, veri ihlallerini bildirmeyen yöneticileri cezalandırmak istiyor

Uber ve Equifax Veri İhlalini Saklamıştı
Yorumlar

ABD Senatosu'ndan üç senatör Veri Güvenliği ve İhlal Bildirimi yasasının değiştirilmesini teklif etti ve yeni yasa tasarısını Senato'ya sundu. Senatör Bill Nelson'ın ''Şirketleri verileri korumaya zorlamak ve veri ihlallerini tüketiciye bildirmelerini sağlamak için güçlü yasalara ihtiyacımız var.'' ifadeleri ile Senato'da tanıttığı yeni yasa tasarısı veri ihlalleri sonrasında şirketlerin tutumunu değiştirmeyi planlıyor. Yasa tasarısına göre şirket yöneticileri bir veri ihlalini öğrendikten sonra 30 gün içinde veri ihlalini tüketicilerle paylaşmak zorunda aksi takdirde yöneticilere 5 yıla varan hapis cezaları verilebilecek.

Uber ve Equifax Veri İhlalini Saklamıştı

Şirketlerin, veri ihlallerini uzun bir süre gizli tutmasını önlemek için sunulan yasa tasarısının akla getirdiği ilk şirket Uber. Geçtiğimiz hafta Uber'in yeni CEO'su Dara Khosrowshahi; şirketin, geçtiğimiz yıl 57 milyon kullanıcı ve sürücüye ait verileri sızdırdığını itiraf etmişti. Uber veri sızıntısını bir yıl boyunca gizlemiş ve hackerlara yaşananları gizli tutmaları için 100.000$ ödemişti. Veri sızıntısında 600.000 ABD'li şoförün de adları, soyadları ve ehliyet numaraları hackerların eline geçmişti.

Tabi veri ihlalinin uzun bir süre saklayan tek şirket Uber değil. Eylül ayında ABD'nin en büyük kredi kuruluşlarından biri olan Equifax, 143 milyon müşterinin bilgilerinin sızdırıldığını açıklamıştı. Sızıntı ile müşterilerin; sosyal güvenlik numaraları, adresleri ve ehliyet numaraları hackerların eline geçerken sızıntı ABD tarihinin en ciddi veri sızıntılarından biri olarak değerlendirilmişti. Equifax de sızıntıyı öğrendikten sonra hemen kamuoyu ile paylaşmamış; sızıntı ile ilgili ilk açıklamasını sızıntıyı öğrendikten 41 gün sonra yapmıştı.

Uber ve Equifax örneğinde görüldüğü gibi müşterilerin, verilerinin çalındığı konusunda olabildiğince kısa sürede haberdar olmasını isteyen senatörler, Federal Ticaret Komisyonu'nun da şirketlerin müşterilerin verilerini güvende tutması için protokoller oluşturmasını istiyor. ABD'nin 48 eyaletinde veri ihlalini bildirmeye yönelik yasalar bulunsa da ülke genelinde uygulanabilir, yaptırım gücü yüksek bir yasa bulunmuyor. Yeni yasa tasarısıyla senatörler, Avrupa Birliği'nde uzun süredir yürürlükte olan ve şirketlere veri ihlalini bildirmek için 72 saatlik süre tanıyan Genel Veri Koruma Yönetmeliği'ne benzer bir yasal zemin oluşturmak istiyor.