I november vedtog de californiske borgere ved en afstemning Proposition 24, også kendt som California Privacy Rights Act (CPRA), for at oprette et nyt agentur for beskyttelse af forbrugerdata. Det bringer Californien endnu et skridt foran andre stater, når det gælder beskyttelsen af privatlivets fred for forbrugerne – og kravene til datasikkerhed for virksomhederne. Californien havde allerede en lov om beskyttelse af privatlivets fred på plads, California Consumer Privacy Act (CCPA), der blev vedtaget i 2018. Den trådte i kraft i januar 2020, og håndhævelsen begyndte officielt i juli sidste år.

Den CCPA skulle hjælpe med at forhindre Californien i at vedtage et strengere privacy-initiativ via en afstemning. “CCPA er sandsynligvis en af de førende love om beskyttelse af privatlivets fred i USA, der beskytter forbrugerne i dag”, siger Christophe Bertrand, analytiker hos Enterprise Strategy Group, men det var oprindeligt meningen, at den skulle være mere restriktiv. “Den var et produkt af mange politiske forhandlinger, der svækkede det endelige produkt.”

Det kommer ikke til at ske med den nye lov. Når den først er vedtaget, kan den kun blive styrket, ikke svækket. Den blev vedtaget. CPRA blev godkendt af vælgerne med 56 % mod 44 %.

Overraskende nok var der ikke megen lobbyvirksomhed mod afstemningsinitiativet fra de store teknologivirksomheder. “Jeg tror, at en del af det skyldes 2020 og pandemien og optakten til valget”, siger Jessica Lee, partner hos Loeb & Loeb og medformand for firmaets praksis inden for beskyttelse af privatlivets fred og sikkerhed. “Der skete en masse ting på samme tid. I løbet af de sidste par år har vi også oplevet en modreaktion mod de store teknologivirksomheder og en masse skandaler om beskyttelse af privatlivets fred. Så hvis en teknologivirksomhed går imod et lovforslag om beskyttelse af privatlivets fred, er der sandsynligvis nogle PR- og brandovervejelser.”

Dertil kommer, at de største virksomheder allerede skal overholde Europas generelle forordning om databeskyttelse (GDPR). “Det er ikke som om, at det er et forretningsmæssigt knusende forslag for mange af de store virksomheder”, siger hun.

CPRA skærper nogle krav, reducerer risikoen andre steder

CPRRA skærper nogle krav, bringer Californien mere på linje med GDPR og opretter et nyt statsligt agentur – California Privacy Protection Agency. Tidligere var det statens statsadvokat, der behandlede spørgsmål om forbrugerbeskyttelse ud over alle deres andre ansvarsområder. Databeskyttelse får nu et dedikeret agentur med et basisbudget på 10 millioner dollars, plus at det også vil få en del af de bøder og forlig, som det indsamler fra virksomheder, der bryder loven.

Loven træder i kraft den 1. januar 2023, siger Lee, og håndhævelsen vil begynde seks måneder senere. “Virksomhederne har i det væsentlige to år til at forberede sig,” siger hun.

Disse to år kan medføre ændringer, der resulterer i yderligere kontrol, bøder og håndhævelsesaktiviteter, siger Orson Lucas, chef for cybersikkerhedstjenester hos KPMG. Det kan være et resultat af udviklingen i teknologi- og forretningslandskabet eller andre udviklinger. “For eksempel hvis der sker en række væsentlige brud mellem nu og januar 2023”, siger han.

Et par aspekter af CPRA vil reducere virksomhedernes potentielle risici og forpligtelser. For det første gælder CCPA for virksomheder, der betjener mindst 50.000 indbyggere, husstande eller enheder i Californien. CPRA hæver dette til 100.000 og fjerner “enheder” fra denne liste, siger Catherine Lyle, der er chef for skadesanmeldelser hos Coalition, et cyberforsikringsselskab. Virksomhederne vil ikke blive holdt ansvarlige for CPRA-overtrædelser begået af tredjeparter, hvis visse aftaler er på plads, og forretningspartneren selv overholder CPRA, siger hun. “Det kan reducere dit potentielle ansvar.”

CPRA-konsekvenserne er minimale for forberedte virksomheder

For virksomheder, der allerede er i overensstemmelse med 2018’s CCPA – og især med Europas GDPR – vil ændringerne være mindre. Det er tilfældet for Branch Metrics a, global online marketingvirksomhed, der tæller Airbnb, Target og Yelp blandt sine tusindvis af erhvervskunder. Virksomheden behandler milliarder af forbrugeroplysninger, hvilket gør, at den er direkte i lovens kikkertsigte.

“En ting, der er godt ved CPRA, er, at den på nogle måder er tættere på GDPR end CCPA gør”, siger Alex Austin, administrerende direktør for Branch Metrics. “Så det er mindre af et tungt løft, hvis din virksomhed har forberedt sig på GDPR.” Det betyder, at de trinvise ændringer, som virksomheden skal foretage for at overholde CPRA, vil være “relativt små”, siger han. “Det hjælper også, at vi har masser af tid til at foretage de nødvendige ændringer”, tilføjer han. “Loven træder ikke i kraft før 2023 og påvirker generelt kun data, der går tilbage til 2022, hvilket betyder mere end et år til at få orden i eget hus.”

Generelt siger Austin, at jo mere harmonisering mellem de forskellige love om beskyttelse af personlige oplysninger, der opstår rundt om i verden, jo bedre. “For virksomheder, der opererer globalt som Branch, er enhver sådan tættere tilpasning en god ting.”

Nye krav om dataminimering

For nogle virksomheder vil ændringerne mellem CCPA og CPRA være betydelige, siger Dan Frank, USA’s leder inden for privatlivets fred og databeskyttelse hos Deloitte. Tag f.eks. dataminimering. De nye regler forbyder virksomheder at opbevare personlige oplysninger “længere end absolut nødvendigt”, siger han. Det er et problem, for når det gælder sletning af data, undgår virksomhederne det som pesten, siger han. “Nogle data er godt, flere data er bedre, alle data er bedst.” Data kan analyseres af maskinlærings- og AI-systemer og kan hjælpe virksomheder med at udvikle nye produkter, tjenester og applikationer.”

Sletning af data er et ømtåleligt emne. For det første er der juridiske tilbageholdelser og andre lovgivnings- og overensstemmelseskrav om at opbevare data. Så er der den tekniske side. “Der er alle disse indbyrdes afhængigheder på tværs af systemerne, som gør det skræmmende at slette data”, siger han. “Vi ønsker ikke at ødelægge noget.”

Det, de fleste organisationer planlægger at gøre, er at anonymisere udløbne data, siger Frank. På den måde kan de stadig bruges til at træne AI-systemer og kan skabe færre afhængighedsproblemer. “Vi vil se, hvordan det spiller ud på lang sigt,” siger han. “Hvis disse data på nogen måde kan henføres tilbage til en person – direkte eller gennem inferens – så er de ikke længere anonymiserede. Det er en udfordring.”

Lovens brug af ordet “rimelig” er også et rødt flag. Hvem beslutter, hvad der er rimeligt? Et stærkt datastyringssystem kan også hjælpe virksomhederne med at løse et andet aspekt af den nye lov, nemlig at give forbrugerne mulighed for at rette ukorrekte data om dem selv.

“Det er en udfordring, hvis en virksomhed ikke virkelig har strømlinet sin master data management og ikke har et gyldent register over disse data,” siger Angela Saverice-Rohan, Americas privacy leader hos Ernst & Young. “Hvis du ændrer visse data i ét system, hvordan vil det så påvirke alle dine andre processer?”

Nye krav til datadeling

Firksomhederne skal nu også sikre, at alle forretningspartnere, som de deler data med, også overholder CPRA. Da en del af loven indebærer, at der skal være rimelige cybersikkerhedsforanstaltninger på plads, kan CISO’er blive nødt til at blive involveret, siger Saverice-Rohan. “Det er et arbejde, der normalt sker i forbindelse med sikkerhedsrisikovurderinger”, siger hun.

En anden stor ændring har at gøre med, hvordan forbrugerne tillader, at deres oplysninger deles. Under den tidligere CCPA skulle virksomhederne tilbyde californiske kunder mulighed for at fravælge at få deres data solgt til tredjeparter. Nu omfatter det alle former for deling, ikke kun salg, siger Deloitte’s Frank. “Forbrugerne skal have mulighed for at fravælge bestemte anvendelser af personlige oplysninger”, siger han. “Hvis de gør det, skal man kunne holde op med at bruge dem, hvilket, hvis man tænker over det, er en ret besværlig opgave. Det gør dataforvaltning så vigtig. Det vil kræve en finkornet samtykkeforvaltning.”

Mere ansvarseksponering i forbindelse med databrud

En anden forskel er, at virksomhederne vil have yderligere bekymringer om databrud, siger Frank. For eksempel dækker ansvar for brud nu e-mail-adresser, når de bruges i kombination med et sikkerhedsspørgsmål. Hvis et brud på datasikkerheden omfatter oplysninger om mindreårige, kan bøderne tredobles. “Du må hellere vide, hvilke oplysninger du har om børn, og anvende en forbedret databeskyttelse i tilfælde af kompromittering”, siger han.

Både den oprindelige CCPA-lov og den nye CPRA giver individuelle forbrugere mulighed for at sagsøge virksomheder efter et brud på datasikkerheden. Nu vil folk have flere potentielle grunde til at anlægge disse retssager, siger han. “Måske har du indsamlet flere oplysninger, end jeg gav dig lov til”, siger han.

CPRA udvider også potentialet for søgsmål i forbindelse med brud på en anden måde, ifølge Alan Friel, partner i advokatfirmaet BakerHostetler. Under CCPA havde virksomhederne en mulighed for at løse problemerne, efter at forbrugerne havde indgivet en klage, siger han. Loven var lidt forvirrende med hensyn til præcis, hvilke typer problemer der kunne “afhjælpes” på denne måde.

Nu præciserer CPRA, at retten til at afhjælpe ikke omfatter muligheden for at undgå sanktioner ved at lukke sikkerhedshuller, efter at der er sket et brud. “Hvis man undlader at opretholde tilstrækkelig sikkerhed, og der opstår et brud, og man derefter afhjælper det, der forårsagede bruddet, er man stadig omfattet af privat søgsmålsret og lovbestemt erstatning”, siger Friel. “Det vil helt sikkert være noget, der vil blive hilst velkommen af sagsøgernes advokater.”

En anden ændring er, at forbrugerne ikke længere skal bevise, at de er blevet skadet af et brud. “Tidligere kunne man sagsøge, men man skulle påvise skade”, siger Friel.

BakerHostetler forsvarer i øjeblikket virksomheder mod flere retssager vedrørende privatlivets fred i Californien. “Vi havde meget større succes med at afvise de retssager, hvor der var en skadesstandard”, siger Friel. “De fleste forbrugere kan ikke påvise en reel økonomisk skade som følge af et databrud, hvilket er grunden til, at de får gratis kreditovervågning. Det er bankerne og detailhandlerne, der ender med at skulle betale omkostningerne – forbrugerne generelt ikke så meget. Det, der ændrer spillet her, er, at den blotte kendsgerning, at bruddet er sket, er tilstrækkelig skade til, at man kan anlægge sag.”

Formodtag flere retssager vedrørende privatlivets fred

Firksomhederne er allerede begyndt at se retssager vedrørende privatlivets fred. I sidste måned indvilligede børnetøjsforhandleren Hanna Andersson i et forlig på 400.000 dollars som svar på et gruppesøgsmål, der stammer fra et databrud i 2019. Andre virksomheder, der allerede er blevet sagsøgt i henhold til CCPA, omfatter Salesforce, Walmart, online papirvareforhandleren Minted, Sunshine Behavioral Health Group, TikTok, Zoom og Houseparty.

Det er ikke kun forbrugerne og deres advokater, som virksomhederne bliver nødt til at forsvare sig mod, siger Ernst & Youngs Saverice-Rohan. Selv om selve CPRA først vil blive håndhævet i 2023, forventes det nye agentur at gå i gang med det samme med at håndhæve de eksisterende love. “I januar vil det nye agentur have mulighed for at håndhæve den eksisterende CCPA”, siger hun. “Og de vil være på udkig efter tiltag. Håndhævelse er ikke bare sandsynlig. Den er nært forestående – og det sker i 2021.”

Mellemstore virksomheder vil blive særligt hårdt ramt, forudser Benjamin Wright, amerikansk advokat og seniorinstruktør ved SANS Institute. For virksomheder med mindre end 25 millioner dollars i årlige anmeldelser er kravene mindre byrdefulde, siger han. “Kæmpeselskaber kan smide hære af advokater og compliance-fagfolk efter tvister.” Mellemstore virksomheder har ikke den slags stordriftsfordele, der ville gøre det muligt for dem at ansætte hære af advokater, siger han.

Plus, afhængigt af hvor meget støtte det nye agentur får fra Californiens andre embedsmænd og lovgivere, har det måske ikke ressourcerne eller talentet til at gå efter de største mål. Dette sker allerede i Europa under GDPR, siger Wright, hvor tilsynsmyndighederne ofte er mere tilbøjelige til at anlægge sag mod mindre og mellemstore virksomheder.

“De gigantiske virksomheder kan kæmpe i årevis i retten, uanset om det er i Europa eller i Californien,” siger Wright. “For tilsynsmyndighederne er det meget drænende og dyrt at kæmpe mod retssager i årevis. Et svagt agentur, der kæmper en retssag i årevis mod en magtfuld modstander, kan lide under en stor personaleudskiftning.”

Muligheder for virksomheder, der overholder CPRA

CPRA er ikke kun dårligt for virksomheder. “Forvent, at smarte virksomheder vil forsøge at udnytte dette som en mulighed for at demonstrere deres overholdelse og støtte til beskyttelse af privatlivets fred,” siger Steve Durbin, administrerende direktør i Information Security Forum.