Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

De Tennessee Information Protection Act

Startpagina Woordenlijst De Tennessee Information Protection Act

De Tennessee Information Protection Act (TIPA) is een uitgebreide wet op het gebied van gegevensprivacy die is ontworpen om de privacy van inwoners van Tennessee te beschermen. Het wetsvoorstel werd in 2023 goedgekeurd door wetgevers en maakt deel uit van een groeiende trend van privacywetgeving op staatsniveau. In dit artikel gaan we dieper in op de details van TIPA, de vereiste en de gevolgen voor bedrijven binnen het nieuwe nalevingskader.

De Tennessee Information Protection Act

De trend van privacywetten op staatsniveau in de Verenigde Staten

Het parlement van Tennessee heeft op 21 april 2023 de Tennessee Information Protection Act aangenomen. Deze wetgeving maakt deel uit van een trend waarbij steeds meer staten privacywetten invoeren om de privacy van hun burgers te beschermen. Alleen al dit voorjaar hebben vier staten privacywetten aangenomen. Momenteel zijn er negen staten met privacywetgeving, waaronder Californië, Colorado, Connecticut, Indiana, Iowa, Montana, Virginia en Utah. Hoewel TIPA pas op 1 juli 2025 van kracht wordt, betekent de goedkeuring ervan opnieuw een belangrijke stap vooruit in de inspanningen van staten om de privacyrechten van hun inwoners te beschermen.

Wat is de Tennessee Information Protection Act (TIPA)?

De Tennessee Information Protection Act verplicht bedrijven om de nodige maatregelen te nemen om de persoonlijk identificeerbare informatie (PII) van inwoners van Tennessee te beschermen in het geval van een datalek. TIPA is van toepassing op elke persoon of entiteit die persoonlijke informatie van inwoners van Tennessee bezit, licentieert of beheert in het kader van de normale bedrijfsvoering. Naleving van TIPA is essentieel voor bedrijven die risico lopen op financiële en reputatieschade door een datalek, maar het kan bedrijven ook helpen om vertrouwen op te bouwen bij hun klanten.

Hoe TIPA zich verhoudt tot de Virginia Consumer Data Protection Act

TIPA is sterk geïnspireerd op de recent ingevoerde Virginia Consumer Data Protection Act (VCDPA). Beide kaders delen vergelijkbare definities, verplichtingen en kernrechten voor consumenten, zoals de vereiste om toestemming te verkrijgen voor het verwerken van gevoelige persoonsgegevens en het recht van consumenten om af te zien van gegevensverkoop, gerichte reclame en belangrijke profileringsbeslissingen.

Toch wijkt TIPA op diverse punten af van de VCDPA, waardoor het over het algemeen een minder beschermende privacywet is. Dit betreft onder meer drempelwaarden waardoor de wet waarschijnlijk op minder bedrijven van toepassing is, brede uitzonderingen voor pseudonieme gegevens die de impact van opt-outrechten kunnen beperken, en een uitzondering voor de verzekeringssector.

Een aspect waarin TIPA sterker is dan de VCDPA is het bieden van een langere hersteltermijn bij vermeende overtredingen van de wet. TIPA introduceert ook een uniek verweer voor bedrijven die aantoonbaar voldoen aan het National Institute of Standards and Technology (NIST) Privacy Framework of andere gedocumenteerde beleidslijnen, standaarden en procedures die zijn ontworpen om de privacy van consumenten te waarborgen. Het is echter onduidelijk hoe dit verweer in de praktijk zal werken.

Een ander verschil is dat TIPA rechtbanken toestaat om drievoudige schadevergoedingen toe te kennen bij opzettelijke of bewuste overtredingen, terwijl de VCDPA alleen een maximale civiele boete van $7.500 per overtreding toestaat.

Reikwijdte van de Tennessee Information Protection Act

TIPA is van toepassing op bepaalde entiteiten die in Tennessee opereren en de persoonlijke informatie van inwoners van Tennessee verwerken. Om onder TIPA te vallen, moet een entiteit (aangeduid als “controller”) aan de volgende criteria voldoen:

  • Een jaarlijkse omzet van meer dan $25.000.000 hebben
  • Ofwel (a) de persoonlijke informatie van 175.000 of meer inwoners van Tennessee verwerken in een kalenderjaar, of (b) de persoonlijke informatie van ten minste 25.000 consumenten verwerken en meer dan de helft van de bruto-omzet halen uit de verkoop van persoonlijke informatie

De term “omzet” wordt niet gedefinieerd door TIPA, maar het is waarschijnlijk dat hiermee de wereldwijde jaarlijkse bruto-omzet van de entiteit wordt bedoeld, zoals in Californië en Utah.

Ook definieert TIPA een “consument” als een natuurlijk persoon die inwoner is van Tennessee en handelt in persoonlijke hoedanigheid. Dit betekent dat werknemers en business-to-business contacten niet als consumenten worden beschouwd onder TIPA.

Tot slot heeft TIPA ook betrekking op leveranciers en andere partijen (bekend als “processors”) die persoonlijke informatie verwerken namens een controller. Dit kan onder meer dienstverleners en softwareleveranciers omvatten.

Compliance and Certification Table

Kiteworks beschikt over een lange lijst van behaalde nalevings- en certificeringsprestaties.

Wat wordt onder persoonlijke informatie verstaan volgens TIPA?

TIPA definieert persoonlijke informatie als een combinatie van de voornaam of het initiaal en de achternaam van een inwoner, samen met een van de volgende gegevens:

  • Burgerservicenummer
  • Rijbewijsnummer of door de overheid uitgegeven identiteitskaartnummer
  • Rekeningnummer, creditcard- of debetkaartnummer, in combinatie met een vereiste beveiligingscode, toegangscode of wachtwoord waarmee toegang tot de financiële rekening van een inwoner kan worden verkregen
  • Nummer van de zorgverzekering of identificatienummer van de zorgverzekeringsabonnee in combinatie met een ander uniek kenmerk dat door de zorgverzekeraar wordt gebruikt om de inwoner te identificeren
  • Gebruikersnaam of e-mailadres, in combinatie met een wachtwoord of beveiligingsvraag en antwoord waarmee toegang tot een online account kan worden verkregen

Consumentenrechten en opt-outs onder TIPA

TIPA kent bepaalde rechten toe aan consumenten van wie de persoonlijke informatie wordt verwerkt door controllers die onder TIPA vallen. Consumenten hebben onder TIPA met name de volgende rechten:

  • Het recht op inzage in hun persoonlijke informatie, inclusief het recht om te bevestigen of een controller hun persoonlijke informatie verwerkt
  • Het recht om verwijdering van persoonlijke informatie te verzoeken die door of over hen is verstrekt of verkregen
  • Het recht om een kopie van hun persoonlijke informatie te verkrijgen in een overdraagbaar formaat, maar alleen voor zover de gegevens eerder door de consument zijn verstrekt
  • Het recht om onjuistheden in hun persoonlijke informatie te corrigeren, maar alleen voor zover de gegevens eerder door de consument zijn verstrekt
  • Het recht om in beroep te gaan tegen een weigering van een consumentenverzoek met betrekking tot bovenstaande rechten

Daarnaast verplicht TIPA controllers om consumenten de mogelijkheid te bieden zich af te melden voor de volgende praktijken:

  • Profilering die juridische of vergelijkbare significante gevolgen heeft voor de consument
  • Gerichte reclame
  • De verkoop van persoonlijke informatie

Het is echter belangrijk op te merken dat TIPA bepaalt dat deze opt-outrechten niet van toepassing zijn op “pseudonieme” gegevens (dat wil zeggen gegevens die onder controle staan die voorkomen dat de controller toegang krijgt tot identificerende informatie), of op geanonimiseerde gegevens (gegevens die niet kunnen worden toegeschreven aan een specifieke natuurlijke persoon of apparaat dat aan een persoon is gekoppeld).

 

Verantwoordelijkheden van controllers en processors onder TIPA

TIPA legt bepaalde verplichtingen op aan controllers en processors die persoonlijke informatie van inwoners van Tennessee verwerken. Controllers moeten er bijvoorbeeld voor zorgen dat de verwerking van persoonlijke informatie beperkt blijft tot wat redelijkerwijs noodzakelijk en proportioneel is voor de doeleinden die in hun privacyverklaringen zijn vermeld. Ze moeten ook redelijke technische en organisatorische maatregelen implementeren om de beveiliging van persoonlijke informatie te waarborgen, onwettige discriminatie van consumenten die hun rechten onder TIPA uitoefenen vermijden, en transparant zijn in hun privacyverklaringen.

Daarnaast moeten controllers ervoor zorgen dat hun contracten met processors bepalingen bevatten om de relatie te beheersen en de processor verplichten om de controller te ondersteunen bij het voldoen aan verzoeken van consumenten met betrekking tot hun persoonlijke informatie.

Processors moeten op hun beurt de verwerkingsinstructies van de controller volgen en de benodigde informatie verstrekken om de controller te ondersteunen bij het voldoen aan de verplichtingen onder TIPA.

Controllers moeten toestemming van de consument verkrijgen voor het verwerken van gevoelige gegevens, of in het geval van gevoelige gegevens over een bekend kind, de gegevens verwerken in overeenstemming met de federale wetgeving.

Verder vereist TIPA dat controllers gegevensbeschermingseffectbeoordelingen uitvoeren voor verwerkingsactiviteiten die zijn gecreëerd of gegenereerd op of na 1 juli 2024. Deze beoordelingen moeten de voordelen van de verwerkingsactiviteit voor de controller, consumenten en andere belanghebbenden in overweging nemen, evenals eventuele potentiële risico’s voor consumentenrechten. De beoordelingen moeten rekening houden met het gebruik van geanonimiseerde gegevens, de redelijke verwachtingen van consumenten en de context van de verwerkingsactiviteit. Processors moeten controllers in redelijkheid ondersteunen bij het uitvoeren van deze beoordelingen.

Het is belangrijk op te merken dat de vereiste voor een gegevensbeschermingseffectbeoordeling niet met terugwerkende kracht geldt voor verwerkingsactiviteiten die vóór 1 juli 2024 zijn uitgevoerd.

Opvallende bepalingen in TIPA

TIPA bevat diverse opvallende bepalingen, waaronder specifieke uitzonderingen voor bepaalde entiteiten zoals financiële instellingen die onder de Gramm-Leach-Bliley Act (GLBA) vallen en entiteiten die onder de Health Insurance Portability and Accountability Act (HIPAA) en Family Educational Rights and Privacy Act (FERPA) regelgeving vallen. De wet definieert “consumenten” uitsluitend als natuurlijke personen die inwoner zijn van Tennessee en handelen in een persoonlijke context.

Consumenten hebben het recht om verwijdering, inzage, correctie en overdraagbaarheid van hun persoonlijke informatie te eisen, evenals het recht om zich af te melden voor de verkoop van persoonlijke gegevens en gerichte reclame.

Gegevensbeschermingseffectbeoordelingen zijn vereist voor bepaalde verwerkingsactiviteiten met betrekking tot persoonlijke informatie, waaronder gerichte reclame, de verkoop van persoonlijke gegevens en de verwerking van gevoelige gegevens, onder andere.

De wet staat civiele boetes toe tot $7.500 per overtreding, met een hersteltermijn van 60 dagen voor overtredingen. Bedrijven moeten ook een schriftelijk privacyprogramma opstellen en onderhouden dat voldoet aan het NIST Privacy Framework om in aanmerking te komen voor een verweer tegen vermeende overtredingen van TIPA.

Handhaving van TIPA

TIPA geeft de exclusieve bevoegdheid om de bepalingen te handhaven aan de procureur-generaal (AG) van Tennessee, en er is geen privaat recht van actie toegestaan. Bij een vermeende overtreding hebben controllers en processors een hersteltermijn van 60 dagen om eventuele niet-naleving te verhelpen. In vergelijking met andere privacywetten op staatsniveau vervalt deze hersteltermijn niet. Als de controller of processor niet herstelt, kan de AG een civiele boete opleggen van maximaal $7.500 per overtreding.

Een controller of processor die wordt beschuldigd van het overtreden van TIPA kan een verweer voeren als zij een schriftelijk privacyprogramma hebben geïmplementeerd en nageleefd dat voldoet aan de vereiste van het NIST Privacy Framework getiteld “A Tool for Improving Privacy through Enterprise Risk Management Version 1.0”, of “andere gedocumenteerde beleidslijnen, standaarden en procedures die zijn ontworpen om de privacy van consumenten te beschermen.” Als het NIST of een vergelijkbaar privacyframework een herziene versie publiceert, moet de controller of processor het privacyprogramma binnen twee jaar na de publicatiedatum aanpassen aan het herziene framework.

TIPA-naleving

Bedrijven die persoonlijke informatie van inwoners van Tennessee verzamelen, moeten diverse stappen ondernemen om aan TIPA te voldoen. Deze omvatten:

  • Ontwikkel en implementeer een schriftelijk informatiebeveiligingsprogramma dat administratieve, technische en fysieke waarborgen bevat om persoonlijke informatie te beschermen
  • Voer periodiek risicobeoordelingen uit om potentiële beveiligingslekken te identificeren en aan te pakken
  • Leid medewerkers op in het correct omgaan met persoonlijke informatie
  • Implementeer procedures voor het veilig vernietigen van persoonlijke informatie wanneer deze niet langer nodig is
  • Reageer snel op datalekken en verstrek meldingen aan getroffen inwoners van Tennessee zoals wettelijk vereist

Bedrijven die niet aan TIPA voldoen, kunnen aanzienlijke juridische en financiële gevolgen ondervinden. Het is daarom essentieel dat bedrijven de vereiste van de wet begrijpen en maatregelen nemen om naleving te waarborgen.

Toon naleving van TIPA aan met Kiteworks

Kiteworks helpt bedrijven om naleving van de Tennessee Information Protection Act aan te tonen door een Private Content Network te bieden voor het verwerken en delen van persoonlijke informatie van inwoners van Tennessee. TIPA legt aanzienlijke verplichtingen op aan bedrijven bij het verwerken van persoonlijke informatie en niet-naleving kan leiden tot zware boetes en reputatieschade.

Kiteworks gebruikt een zelfstandige en vooraf geconfigureerde hardened virtual appliance om het aanvalsoppervlak van de communicatiekanalen van een organisatie te minimaliseren. Kiteworks past uitgebreide beveiligingsmaatregelen toe, zoals multi-factor authentication, granulaire beleidscontroles, rolgebaseerde machtigingen, beveiligingsinfrastructuur-integraties en end-to-end encryptie om de privacy van persoonlijke informatie te waarborgen.

Door Kiteworks te gebruiken kunnen bedrijven digitale communicatie van gevoelige inhoud van inwoners van Tennessee correct volgen, beheren en beveiligen wanneer deze wordt gedeeld met vertrouwde partijen via e-mail, bestandsoverdracht, file transfer en andere kanalen.

De uitgebreide audit logs van Kiteworks stellen organisaties ook in staat om naleving aan te tonen met privacyregelgeving zoals de Tennessee Information Protection Act, de General Data Protection Regulation (GDPR) en HIPAA.

Voor meer informatie over hoe Kiteworks kan worden ingezet om te voldoen aan de Tennessee Information Protection Act, plan vandaag nog een op maat gemaakte demo.

 

Back to Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks