De Gramm-Leach-Bliley Act (GLBA), ook wel bekend als de GLB Act of in sommige gevallen de Financial Services Modernization Act van 1999, is een wet die is aangenomen door het Amerikaanse Congres om te bepalen hoe financiële instellingen omgaan met gevoelige persoonlijke informatie van hun klanten.

Om te voldoen aan de bepalingen van deze federale wet moeten financiële instellingen transparant zijn over hoe zij omgaan met de privégegevens van hun klanten, meldingen geven wanneer zij deze gegevens delen en klanten informeren dat zij het recht hebben om af te zien van gegevensdeling. Daarnaast beschrijven de Safeguards- en Privacyregels in de wet de specifieke stappen die een financiële instelling moet nemen om klantgegevens te beschermen.

De GLBA wordt voornamelijk gehandhaafd door de Federal Trade Commission, andere federale toezichthouders en toezichthoudende instanties op het gebied van verzekeringen van de deelstaten. Hieronder volgt een diepgaande uitleg van de details van de GLBA en hoe organisaties te allen tijde naleving van regelgeving kunnen waarborgen.

De belangrijkste onderdelen van de GLBA

De Gramm-Leach-Bliley Act bestaat uit drie onderdelen:

  • De Financial Privacy Rule
  • De Safeguards Rule
  • Pretexting-bepalingen

De Financial Privacy Rule regelt het verzamelen en openbaar maken van financiële informatie, terwijl de Safeguards Rule financiële instellingen verplicht om beveiligingsprotocollen te implementeren ter bescherming van verzamelde informatie. Pretexting-bepalingen hebben betrekking op pogingen om op oneigenlijke wijze toegang te krijgen tot gevoelige informatie.

Het primaire doel van de GLBA is het aanvullen van bestaande strategieën en programma’s voor risicobeheer cyberbeveiliging binnen bedrijven. De GLBA voegt in wezen een extra beveiligingslaag toe aan financiële persoonlijk identificeerbare informatie (PII).

De GLBA legt de verantwoordelijkheid voor het beschermen van gevoelige PII bij de instelling die deze verzamelt, met als uitgangspunt dat de wensen van de klant om deze gegevens privé te houden worden gerespecteerd. Als een bedrijf bepaalde PII-gegevens van een klant wil delen of bewaren voor toekomstig gebruik, moet het bedrijf de klant hiervan op de hoogte stellen en de mogelijkheid bieden om af te zien van gegevensdeling.

Wat is de Gramm-Leach-Bliley Act (GLBA)?

Wat is een “financiële instelling” onder de GLBA?

De GLBA definieert duidelijk wat wordt beschouwd als een financiële instelling—zowel wat wel als niet is inbegrepen. Concreet geldt dat elk bedrijf dat financiële producten aanbiedt, zoals verzekeringen, leningen, financieel advies of beleggingsadvies, wordt aangemerkt als financiële instelling.

Onder de GLBA moeten deze bedrijven hun praktijken rondom gegevensdeling openbaar maken en uitleggen hoe zij gevoelige gegevens van hun klanten beveiligen. Ook moeten zij hun klanten informeren over hun recht om af te zien van eventuele bestaande gegevensdelingsafspraken.

De GLB Act beperkt in hoeverre een financiële instelling gevoelige gegevens mag delen met niet-gelieerde derden en hoe klanten hierover moeten worden geïnformeerd. Daarnaast zijn partijen die dergelijke informatie ontvangen beperkt in het gebruik of de verdere verspreiding ervan.

Welke entiteiten moeten voldoen aan de GLBA?

De GLB Act of Financial Services Modernization Act van 1999 is van toepassing op alle bedrijven die significant betrokken zijn bij het leveren van financiële producten en diensten aan consumenten.

De term significant betrokken is in de wet goed gedefinieerd om bepaalde bedrijven wel of niet onder de wet te laten vallen. Samengevat geldt dat alle bedrijven die in hun normale bedrijfsvoering in aanraking komen met niet-openbare persoonlijke informatie van financiële aard van hun klanten, moeten voldoen aan de vereiste voor naleving van deze wet.

Hieronder vallen ook bedrijven die doorgaans niet als financiële instellingen worden gezien. Voorbeelden zijn:

  • Taxateurs van onroerend goed
  • Incassobureaus
  • Flitskredietverstrekkers
  • Kredietunies
  • Belastingadviseurs
  • Bedrijven voor het innen van cheques
  • Accountantskantoren
  • Koeriersdiensten
  • Hypotheekbemiddelaars
  • Autoverhuurbedrijven
  • Kredietinformatiebureaus
  • ATM-exploitanten
  • Aandelenmakelaars
  • Hedgefondsen

Traditionele financiële instellingen zoals banken, verzekeraars, investeringsmaatschappijen en makelaarskantoren die grote hoeveelheden gevoelige gegevens verwerken, vallen ook onder de financiële dienstverleners die door de GLBA worden gereguleerd. Als een organisatie dus in een van deze categorieën valt, of op andere wijze significant betrokken is bij de financiële sector, is naleving van de GLBA VERPLICHT.

Gegevens die onder de GLBA vallen

De GLBA heeft betrekking op niet-openbare persoonlijke informatie (NPI) die financiële instellingen van hun klanten verzamelen. NPI wordt juridisch gedefinieerd als PII van financiële aard. De GLBA geldt niet voor openbare registers of informatie die breed wordt verspreid via de media. Voorbeelden van informatie die als NPI wordt beschouwd zijn onder meer:

  • Adressen
  • Persoonlijk inkomen
  • Credit-/debetkaartgegevens
  • Bankrekeningen
  • Banksaldi
  • Kredietgeschiedenis
  • Vastgoedgegevens
  • Burgerservicenummer
  • Belastinginformatie

Deze lijst is niet uitputtend; dit zijn slechts voorbeelden van het soort informatie dat als NPI wordt beschouwd. De GLBA heeft bijvoorbeeld ook betrekking op afgeleide informatie op basis van deze gegevens.

Hoe voldoe je aan de GLBA?

De sleutel tot naleving van de wet ligt in het begrijpen van de drie regels. Dit zijn de drie onderdelen die we eerder hebben besproken.

De Financial Privacy Rule

De Financial Privacy Rule beschrijft aan welke organisaties de wet moet worden nageleefd en welk type informatie moet worden beschermd. Het definieert NPI, zoals namen, adressen, burgerservicenummers en andere transactiegegevens zoals bankrekeningen, creditcardinformatie en kredietrapporten.

De Financial Privacy Rule bepaalt dat een organisatie “duidelijke en opvallende kennisgeving” moet geven van al haar privacy- en gegevensbeschermingsbeleid bij het aangaan van een klantrelatie. Klanten moeten daarnaast jaarlijks een privacyverklaring ontvangen.

De Financial Privacy Rule gaat verder door te definiëren wie een klant is en wie een consument. Een klant is iemand met een doorlopende relatie met een financiële instelling. Een consument daarentegen is iemand zonder een dergelijke relatie.

De Safeguards Rule 

De Safeguards Rule beschrijft de middelen die nodig zijn om de informatie te beschermen die onder de Financial Privacy Rule valt. Volgens deze regel moeten organisaties die onder de GLBA vallen technische, administratieve en fysieke beveiligingsmaatregelen treffen bij het verzamelen, benaderen, gebruiken, verspreiden en delen van klantinformatie.  

Cybersecurity risico’s die onder de Safeguards Rule vallen zijn onder meer:

  • Phishing
  • Cyberaanvallen
  • E-mail spoofing

De Safeguards Rule, uitgevaardigd door de Federal Trade Commission in 2002, vereist verder dat een financiële instelling, zoals gedefinieerd in de wet, één persoon aanwijst die verantwoordelijk is voor de ontwikkeling en het testen van een geïntegreerd plan voor beheer van beveiligingsrisico’s en Threat Intelligence voor de organisatie. 

Een financiële instelling die NPI-gegevens deelt, moet een risicobeheerplan voor derden hebben. Daarnaast is de verzamelende instelling verantwoordelijk in het geval van een beveiligingsincident.

Pretexting-bepalingen

Pretexting-bepalingen zijn bedoeld om alle mazen in de wet te dichten die slimme of kwaadwillende actoren kunnen benutten om vertrouwelijke gegevens te benaderen of te stelen. Financiële instellingen die onder de GLBA vallen, moeten maatregelen nemen om dergelijke ongeoorloofde toegang tot gegevens in hun bezit te detecteren en te voorkomen.

Sancties bij niet-naleving van de GLBA

Een financiële instelling die onder het toezicht van de GLBA valt, riskeert hoge financiële sancties bij overtreding van de wet. Daarnaast kunnen leidinggevenden en medewerkers die verantwoordelijk zijn voor gegevensbescherming persoonlijke boetes krijgen.

Voor instellingen bedraagt de boete maximaal $100.000 per overtreding. Voor leidinggevenden en medewerkers kan de boete oplopen tot $10.000 en tot vijf jaar gevangenisstraf, of beide, als zij schuldig worden bevonden aan nalatigheid.

Naast de mogelijke sancties en boetes is er een verhoogd risico op verlies van vertrouwen van klanten in de bedrijfsvoering, wat kan leiden tot een grotere negatieve impact dan de financiële sancties en boetes.

Een veelgebruikte manier voor bedrijven om nalevingsproblemen met de GLBA en andere wetten te voorkomen, is door te investeren in een robuust cyberbeveiligingsplatform dat is ontworpen om te voldoen aan hun bedrijfsbehoeften en klantbehoeften, en om naleving van de wet te waarborgen.

Een andere manier om GLBA-naleving te waarborgen is door onafhankelijke adviesbureaus in te schakelen om de cyberbeveiligingsinfrastructuur en -praktijken te auditen en zo kwetsbaarheden te identificeren die tot nalevingsproblemen kunnen leiden.

Voordelen van GLBA-naleving

Naast het vermijden van sancties en boetes zorgt naleving van de GLBA ervoor dat een financiële instelling haar merkreputatie beschermt, wat op zijn beurt vertrouwen creëert en meer zaken oplevert. Er zijn ook bijkomende voordelen verbonden aan GLBA-naleving. De mogelijkheden voor risicobeheer cyberbeveiliging die een organisatie nodig heeft voor GLBA-naleving versterken namelijk ook de beveiliging. Door te voldoen aan de GLBA breiden de maatregelen voor beheer van beveiligingsrisico’s zich uit naar andere soorten vertrouwelijke informatie—zoals beschermde gezondheidsinformatie (PHI), intellectueel eigendom (IP) van het bedrijf, gecontroleerde niet-geclassificeerde informatie, en meer. Deze beheersmaatregelen voor beveiligingsrisico’s kunnen zelfs helpen beschermen tegen bedreigingen in de toeleveringsketen.

Een ander belangrijk voordeel van naleving van de GLBA is dat het de naleving en bescherming versterkt van andere regelgeving op het gebied van gegevensprivacy, zoals de Health Insurance Portability and Accountability Act (HIPAA), de Personal Information Protection and Electronic Documents Act (PIPEDA) van Canada, de General Data Protection Regulation (GDPR) van de Europese Unie, de California Consumer Privacy Act (CCPA) en de Data Protection Act (DPA) in Frankrijk en het Verenigd Koninkrijk.

GLBA-meldingsprocedures bij datalekken

In sommige gevallen kan er, zelfs wanneer een organisatie compliant is, toch een datalek optreden. In dat geval vereist de GLBA dat de getroffen organisatie het datalek onderzoekt om vast te stellen of gevoelige klant-PII is benaderd. De getroffen klanten moeten binnen een redelijke termijn op de hoogte worden gesteld.

De melding moet het type datalek beschrijven, welke gegevens zijn benaderd, wat de klant moet doen om zijn identiteit te beschermen en een telefoonnummer voor verdere hulp verstrekken.  

Privacy en naleving van gevoelige communicatie-inhoud onder de GLBA

Gevoelige communicatie-inhoud valt onder de rechtsbevoegdheid van de GLBA. Financiële instellingen die vertrouwelijke informatie verzenden, delen, ontvangen en opslaan—zowel intern als extern—moeten voldoen aan de GLBA. Omdat de meeste organisaties nog steeds moeite hebben om gevoelige communicatie-inhoud via meerdere kanalen te beheren met een allegaartje aan technologische hulpmiddelen, kan dit een aanzienlijke uitdaging zijn. Zonder metadata over alle gevoelige communicatie-inhoud moeten organisaties kostbare tijd en middelen besteden aan het samenvoegen van gegevens uit elk van die tools. En zonder gecentraliseerd en geautomatiseerd beheer van beveiliging en compliance kan effectief beheer van beveiligingsrisico’s lastig of zelfs onmogelijk zijn.

Het Kiteworks-platform centraliseert alle gevoelige communicatie-inhoud—beveiligde e-mail, bestandsoverdracht, file transfer, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s)—zodat organisaties consistente en conforme uitvoering van governance, compliance en beveiliging over elk communicatiekanaal kunnen waarborgen. Kiteworks stelt organisaties in staat om Private Content Networks te creëren, inclusief de optie voor FedRAMP-geautoriseerde hosting, waarmee het risico op niet-naleving van regelgeving zoals de GLBA en datalekken van privégegevens wordt geminimaliseerd.

Bekijk een korte video-overzicht van hoe Kiteworks Private Content Networks mogelijk maakt. Of plan direct een op maat gemaakte demo om het Kiteworks-platform in actie te zien.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks