VoIP-Regeln und -Vorschriften: Ist Ihr Anbieter mit Ihrer Branche konform?

Stellen Sie sich vor, Sie sehen sich eine Science-Fiction-Show in den 1970er Jahren an. Sie sehen Ärzte, die Patienten diagnostizieren, indem sie Roboter aus einer anderen Welt manipulieren. Sie sehen, wie Verbraucher auf Bildschirmen mit Kundendienstmitarbeitern sprechen und ihnen persönliche Einkaufsempfehlungen geben. Sie sehen einen Bericht, der in einem kleinen Block abgelegt ist, gesichert durch einen Fingerabdruck. Sie sehen fliegende Autos mit Atomantrieb. Nun, abgesehen von letzterem sind wir mit VoIP und moderner Cloud-Technologie ziemlich weit weg.

Cartoons und Shows mit großen, gummiartigen Monstern zeigten, dass diese Technologien nur für das Gute eingesetzt wurden.

Aber in der realen Welt gibt es echte Risiken und echte Vorschriften, um diese Risiken zu mindern. Wertvolle Informationen gehen jede Sekunde durch diese Kabel und Server, und einige Sektoren haben spezielle Regeln, die sich im Laufe der Zeit weiterentwickelt haben, um sich an den technologischen Fortschritt anzupassen. Hier ist eine Liste einiger Regulierungsstandards, mit denen Sie vertraut sein sollten, wenn es um Ihr VoIP und andere Datennetzwerke geht.

Hinweis: Wir decken nur Vorschriften ab, die sich auf die elektronische Kommunikation und die Speicherung digitaler oder persönlicher Informationen beziehen.

1. CPNI

- Was ist es?
Die kundeneigenen Netzwerkinformationen sind Informationen, die Telekommunikationsdienstanbieter über ihre Abonnenten sammeln. Insbesondere verbindet es die Art des Dienstes, den die Abonnenten nutzen, die Menge und Art der Nutzung. Beispielsweise kann ein Mobilfunkanbieter verfolgen, wie oft Sie Ihr Telefon verwenden und dass Sie es sowohl für soziale Netzwerke als auch für Anrufe verwenden. Die Informationen sollen vertraulich bleiben, aber nur, wenn der Kunde sich dagegen entscheidet. Wenn der Kunde sich nicht abmeldet, kann der Anbieter diese Informationen an Vermarkter weitergeben, um andere Dienstleistungen zu verkaufen, solange der Kunde benachrichtigt wird. Wenn Sie Ihren Anbieter für einen anderen verlassen, ist es dem Unternehmen untersagt, das CPNI zu verwenden, um zu versuchen, Sie zurückzubekommen. Wenn Sie sich vom CPNI abmelden möchten, können Sie „CPNI abmelden (Name Ihres Anbieters)“ googeln und den Anweisungen folgen, die Sie finden.

– Wen betrifft es?
Jeder Telekommunikationsanbieter unterliegt der CPNI-Beschränkung. Aber wie viele Informationen jeder Anbieter zur Verfügung hat und damit das Risiko der Weitergabe von Daten (entweder rechtmäßig oder auf andere Weise) hängt von der Art des bereitgestellten Dienstes ab. Kabelgesellschaften, Telefongesellschaften und Mobilfunkanbieter werden heute immer austauschbarer, da wir von unserem Internetanbieter aus telefonieren und unsere Telefone für den Zugriff auf das Internet verwenden. Alle diese Informationen können Ihrem ISP zur Verfügung stehen. 2007 erweiterte die FCC ausdrücklich die Anwendung der CPNI-Regeln der Kommission des Telekommunikationsgesetzes von 1996 auf Anbieter von zusammengeschalteten VoIP-Diensten. Seltsamerweise erfordern die gleichen Informationen, die mit minimalen Einschränkungen an Marketingunternehmen weitergegeben werden können, einen Haftbefehl für die Strafverfolgungsbehörden, um darauf zugreifen zu können.

– Was sind die Risiken?
Im Jahr 2015 einigte sich AT&T mit der FCC auf eine Rekordstrafe von 25 Millionen Dollar, nachdem auf 280.000 Namen und vollständige oder teilweise SSNs ohne Genehmigung zugegriffen worden war. Laut FCC verschafften sich Mitarbeiter von AT&T-Callcentern in Mexiko, Kolumbien und auf den Philippinen Zugriff auf die Informationen, während sie Mobiltelefone rechtmäßig entsperrten, diese Informationen dann aber an Dritte weitergaben, um gestohlene Mobiltelefone zu entsperren. Dies war der mit Abstand größte Vergleich für eine Datenschutzklage. Das zweitgrößte Unternehmen war Verizon Wireless, das 2014 7,4 Millionen US-Dollar zahlen musste, nachdem es zwei Millionen seiner Kunden nicht darüber informiert hatte, dass es ihre Informationen für Tausende von Marketingkampagnen verwendete.

2. KOPPA

- Was ist es?
Das Gesetz zum Schutz der Privatsphäre von Kindern im Internet von 1998 verbietet irreführendes Marketing an Kinder oder das Sammeln persönlicher Informationen ohne Offenlegung gegenüber ihren Eltern. Das Urteil trat im Jahr 2000 in Kraft und wurde 2011 geändert, um zu verlangen, dass die gesammelten Daten nach einer gewissen Zeit gelöscht werden und dass die Weitergabe von Informationen an Dritte für den Vormund des Kindes einfach sein muss Schützen Sie diese Informationen. Personenbezogene Daten können in diesem Fall der Name des Kindes, die physische oder IP-Adresse, ein Benutzername/Bildschirmname, eine Sozialversicherungsnummer und Fotos sein. Unternehmen dürfen Kinder nicht auffordern, diese Informationen zu übermitteln.

– Wen betrifft es?
Das COPPA wird von der FTC durchgesetzt. Die COPPA-Regeln gelten für alle Website-Betreiber oder Online-Diensteanbieter, die Informationen über Benutzer sammeln, von denen bekannt ist, dass sie unter 13 Jahre alt sind. Gemeinnützige Organisationen sind unter bestimmten Umständen von COPPA ausgenommen. Im Jahr 2014 gab die FTC Richtlinien heraus, dass Apps und App-Stores eine „überprüfbare Zustimmung der Eltern“ erfordern. Die Regeln für Kreditkartennummern wurden dahingehend geändert, dass ein Kauf (dh Geld ausgeben) nicht erforderlich war, um eine Kreditkartennummer zu validieren, sondern dass die Kreditkartennummern allein kein Beweis für die Zustimmung der Eltern waren und verwendet werden mussten Verbindung mit anderen Maßnahmen wie Geheimfragen.

– Was sind die Risiken?
Xanga, eine Online-Blogging- und Social-Networking-Plattform, zahlte 2006 den größten Vergleich, 1 Million US-Dollar, für die Verletzung der Online-Privatsphäre von Kindern ohne Offenlegung. Xanga ist nicht zu verwechseln mit Zynga, dem Unternehmen hinter FarmVille und anderen Kuhklicker-Spielen. Spiele wie Candy Crush und Pet Rescue fallen in unklares Terrain, weil sie von Facebook gehostet werden und Facebook zumindest theoretisch auf Menschen über 13 Jahre beschränkt ist. Viele Datenschützer und Verbraucherschützer setzen sich für strengere Regeln ein Anwendungen.

Die Topps Company, die Muttergesellschaft von Ring Pops, hat sich den Zorn von Datenschutzgruppen für ihre Social-Media-Kampagne „#RockThatRock“ zugezogen. Jugendliche. Zum jetzigen Zeitpunkt wurden sie noch nicht bestraft.

3. HIPAA

- Was ist es?
Der Health Insurance Portability and Accountability Act stammt aus dem Jahr 1996 und Titel II legt speziell die Regeln für elektronische Transaktionen im Gesundheitswesen fest. Mit anderen Worten, alle Informationen über Ihre Gesundheit, die digital gespeichert werden, unterliegen strengen Datenschutzbestimmungen. So wie Sie die Vertraulichkeitsvereinbarung zwischen Arzt und Patient haben, sind auch Ihre Informationen vertraulich und dürfen nur mit Ihrer Erlaubnis oder auf Anordnung eines Richters weitergegeben werden.

– Wen betrifft es?
Alle abgedeckten Unternehmen unterliegen HIPAA. Laut Health and Human Services kann dies ein Gesundheitsdienstleister (Arzt, Zahnarzt, Apotheke), ein Gesundheitsplan (Versicherung, HMO, Medicare, Medicaid, The VA) oder eine Clearingstelle für das Gesundheitswesen (eine öffentliche oder private Einrichtung, die nimmt Informationen mit Branchenjargon und macht sie für einen Laien besser lesbar.)

– Wie müssen Patienten geschützt werden?
Es gibt administrative, physische und technische Sicherheitsvorkehrungen, um Verstöße zu verhindern. Zu den administrativen Sicherheitsvorkehrungen gehören das Gewähren/Einschränken des Zugriffs auf die Mitarbeiter, die Zugriff auf Informationen benötigen/nicht benötigen, das Sicherstellen, dass Passwörter regelmäßig geändert werden, und das Aufstellen spezifischer schriftlicher Richtlinien zum Verhalten der Mitarbeiter. Physische Schutzmaßnahmen beziehen sich auf den persönlichen Zugang zu Geräten und Standorten und umfassen Dinge wie sichere Schlösser und Alarme, Sicherheitspersonal und Kameras sowie das Wissen, wie man alte Laufwerke sicher entsorgt. Technische Sicherheitsvorkehrungen beziehen sich auf das An- und Abmelden von einer Arbeitsstation, das Verfolgen von Benutzeraktivitäten und die sichere Datenverschlüsselung.

– Was sind die Risiken?
Wenn Informationen verletzt werden, muss das betroffene Unternehmen die Person, deren Informationen durchgesickert sind, per E-Mail oder Post erster Klasse benachrichtigen. Im Falle eines größeren Verstoßes, wenn ein Ereignis mehr als 500 Personen betrifft, müssen sie „bekannte Medien“ und den Sekretär von HHS benachrichtigen. Hier können Sie eine Liste aller gemeldeten Datenschutzverletzungen einsehen, die mehr als 500 Personen betreffen. Sie können Ihre eigene Beschwerde bei HHS einreichen, um zu überprüfen, ob bei Ihnen oder jemandem, den Sie kennen, per Post, Fax oder E-Mail in die Privatsphäre eingegriffen wurde.

Verstöße gegen HIPAA können zu hohen Bußgeldern oder strafrechtlichen Sanktionen führen. Im Jahr 2014 ließ HHS den Hammer auf das New York-Presbyterian Hospital und das Columbia University Medical Center fallen, nachdem die Daten von 6.800 Patienten für öffentliche Suchmaschinen verfügbar waren; Die beiden Krankenhäuser wurden mit einer Gesamtstrafe von 4,8 Millionen US-Dollar belegt.

4. SOX

- Was ist es?
Der Sarbanes-Oxley Act von 2002 wurde nach dem Crash von 2002 geschaffen, um schändliche Finanzaktivitäten zu verhindern. Jedes Unternehmen, das öffentlich an einer Börse gehandelt wird, unterliegt SOX. Abschnitt 404 von SOX verlangt von Unternehmen, Informationen über ihre interne Kontrollstruktur und die Genauigkeit ihrer Finanzunterlagen zu veröffentlichen.

Um den Gesetzentwurf selbst zu zitieren, verlangt die SEC von Unternehmen, dass sie „die Feststellung eines unbefugten Erwerbs, einer unbefugten Nutzung oder Veräußerung von Vermögenswerten des Emittenten, die einen wesentlichen Einfluss auf den Jahresabschluss haben könnten, verhindern oder rechtzeitig aufdecken“.

– Wen betrifft es?
Jedes Unternehmen, das öffentlich an einer Börse gehandelt wird, unterliegt SOX. Abschnitt 404 von SOX verlangt von Unternehmen, Informationen über ihre interne Kontrollstruktur und die Genauigkeit ihrer Finanzunterlagen zu veröffentlichen.

Sarbanes-Oxley unterscheidet nicht zwischen materiellen und immateriellen Vermögenswerten. Das bedeutet, dass Unternehmen Wert auf ihre zukünftigen Geschäftspläne, unangekündigte Produkte, die sich noch in der Testphase befinden, und alles, was als Geschäftsgeheimnis gelten kann, legen müssen. Unternehmen müssen sich auch davor schützen, dass ehemalige Mitarbeiter Geschäftsgeheimnisse mitnehmen oder sogar Geschäftsgeheimnisse von ehemaligen Mitarbeitern von Wettbewerbern erhalten.

– Was sind die Risiken?
Jedes Unternehmen, das SOX unterliegt, muss seine Informationen auch von einem vertrauenswürdigen Dritten prüfen lassen. Dies sind sensible Informationen, die übertragen und gespeichert werden, und die Prüfer und Unternehmen müssen äußerste Sorgfalt walten lassen, um sicherzustellen, dass ihre Informationen sicher sind. Suchen Sie nicht weiter als das, was in den gestrigen Schlagzeilen stand, um zu hören, dass Dokumente eines Unternehmens durchgesickert sind und nicht wenig Verlegenheit, Vertrauensverlust bei Investoren, Geschäftsverlust und manchmal Bußgelder oder strafrechtliche Sanktionen verursacht haben. Es hat sich bewährt, die Unterzeichnung einer Geheimhaltungsvereinbarung zu verlangen, Interviews zu führen, die Informationen über die Person mit Informationen sammeln und die Wahrscheinlichkeit bestimmen, dass Daten in die falschen Hände geraten, und strenge Aufzeichnungen darüber zu führen, wer legalen Zugang zu Informationen hat und wer nicht.

5. Telefon-Verbraucherschutzgesetz / Nationales Do-Not-Call-Register

- Was ist es?
Das Telefon-Verbraucherschutzgesetz von 1991 schränkte die Verwendung von automatischen Anrufen, automatischen Wählgeräten und anderen Kommunikationsmethoden ein. Die Federal Communications Commission überließ es den einzelnen Unternehmen, ihre eigenen Do-Not-Call-Listen einzurichten, und so war dies ein großer Fehlschlag. Erst 2003 wurde die National Do Not Call Registry offiziell von der Federal Trade Commission als Teil des Do-Not-Call Implementation Act von 2003 eingerichtet. Viele VoIP-Kontaktzentren verwenden die Abkürzung TCPA, wenn sie über ihre Konformität mit dem sprechen Nationale Do-Not-Call-Registrierung.

Wen betrifft es? Laut FTC kann ein Unternehmen, das eine etablierte Beziehung zu einem Kunden hat, diesen bis zu 18 Monate lang anrufen. Ruft ein Verbraucher beispielsweise das Unternehmen an, um Informationen über das Produkt oder die Dienstleistung anzufordern, hat das Unternehmen drei Monate Zeit, um sich bei ihm zu melden. Wenn der Kunde in beiden gerade erwähnten Fällen darum bittet, keine Anrufe entgegenzunehmen, muss das Unternehmen die Anrufe einstellen oder mit Geldstrafen belegt werden.

Die folgenden Arten von Anrufen sind, vorbehaltlich einer bestimmten Beschwerde, von der Do-Not-Call-Registrierung ausgenommen:

• Anrufe von einer gemeinnützigen B-Organisation. Nicht alle gemeinnützigen Organisationen sind automatisch ausgenommen.
• Bestimmte Arten von Informationsnachrichten, aber keine Werbenachrichten (z. B. eine Flugannullierung ist ausgenommen, ein Verkauf von Flugtickets nicht).
• Ruft auf, für einen politischen Kandidaten zu stimmen.
• Aufrufe zu wohltätigen Spenden.
• Anrufe bei einem Unternehmen, sogar Kaltakquise, um Verkäufe hervorzurufen.
• Anrufe von Inkassobüros, aber Inkassobüros haben ihre eigenen Gesetze darüber, wen und wann sie anrufen können.

– Was sind die Risiken?
Die Höchststrafe für Anrufe auf dem DNCR beträgt 16.000 US-Dollar. Das Eintragen Ihres Telefons in die Registrierung ist so einfach wie der Besuch der Website donotcall.gov oder der Anruf unter 1-888-382-1222 von dem Telefon, das Sie in der Liste haben möchten. Auch wenn Sie möglicherweise in einigen E-Mails oder Social-Media-Beiträgen das Gegenteil gelesen haben, bleibt eine Nummer, die einmal auf der Liste steht, für immer auf der Liste, es sei denn, sie wird aktiv entfernt. Alle Mobiltelefone sind standardmäßig in der Liste enthalten. Zum jetzigen Zeitpunkt gibt es so etwas wie eine „Do Not Text“-Registrierung nicht, und sogenannte „Junk-Faxe“ unterliegen ihren eigenen Vorschriften.

6. Datenschutz- und Sicherheitsgesetz für personenbezogene Daten

- Was ist es?
Als Reaktion auf die zunehmende Besorgnis über Identitätsdiebstahl und das Wachstum der weltweiten technologischen Kapazitäten zum Speichern, Kommunizieren und Berechnen von Informationen wurden im Personal Data Privacy and Security Act von 2009 die Strafen für einige Arten von Identitätsdiebstahl und Computerhacking erhöht.

– Wen betrifft es?
Legt Anforderungen für ein Datenschutz- und Sicherheitsprogramm für Unternehmen fest, die sensible personenbezogene Daten in elektronischer oder digitaler Form von 10.000 oder mehr US-Personen aufbewahren. Viele VoIP-Anbieter haben über 100.000 Kunden. Es besteht eine gute Chance, dass der VoIP-Anbieter Ihrer Wahl diese Anforderung erfüllt. Die Regeln gelten auch für zwischenstaatliche Datenvermittler mit Informationen zu mehr als 5.000 Personen, aber VoIP-Anbieter gelten nicht als Datenvermittler.

– Was sind die Risiken?
Der Täter selbst, der vorsätzlich unbefugt auf einen Computer zugreift, kann wegen Erpressung angeklagt werden. Aber für das Unternehmen, das Opfer dieses Angriffs wird, kann das absichtliche Verbergen einer Sicherheitsverletzung von „sensiblen personenbezogenen Daten“ zu einer Geldstrafe und/oder fünf Jahren Gefängnis führen. Dies umfasst den Namen des Opfers, die Sozialversicherungsnummer, die Wohnadresse, Fingerabdruck-/biometrische Daten, das Geburtsdatum und die Bankkontonummern.

Jedes Unternehmen, das von einem Verstoß betroffen ist, muss die betroffenen Personen per Post, Telefon oder E-Mail benachrichtigen, und die Nachricht muss Informationen über das Unternehmen und Informationen zur Kontaktaufnahme mit Kreditauskunfteien enthalten (dh um Hilfe bei der Behebung ihrer Kreditwürdigkeit zu erhalten). Außerdem muss sie den Verstoß Verbrauchermeldestellen melden. Der Verstoß muss auch den großen Medien gemeldet werden, wenn sich mehr als 5.000 betroffene Personen in einem Staat befinden.

Das Unternehmen muss sich außerdem innerhalb von vierzehn Tagen an den Secret Service wenden, wenn einer oder mehrere der folgenden Fälle eintreten: Die Datenbank enthält Informationen zu mehr als einer Million Personen; der Verstoß betrifft mehr als 10.000 Personen; die Datenbank ist eine Datenbank der Bundesregierung; Der Verstoß betrifft Personen, von denen bekannt ist, dass sie Regierungsangestellte oder Auftragnehmer sind, die an der nationalen Sicherheit oder der Strafverfolgung beteiligt sind. Diese Informationen werden dann vom Secret Service an das FBI, das Postamt der Vereinigten Staaten und die Generalstaatsanwälte jedes betroffenen Bundesstaates weitergeleitet.

Abschließend:

Alle zwei Tage werden mehr Informationen generiert als die gesamte geschriebene Geschichte bis 2003. Vieles davon sind Informationen, die bis zum letzten Jahrzehnt oder so nicht richtig dokumentiert werden konnten und bis vor kurzem unpraktisch zu speichern und zu verschieben waren . Es gibt Schutzmaßnahmen wie diese Gesetze, damit wir diese Informationen auf ethische Menschen beschränken können, die das Richtige für ihre Patienten, Kunden oder was auch immer die Beziehung ist, tun können. Wir hören immer wieder von Datenbankverletzungen, und jetzt haben Sie eine bessere Vorstellung davon, was mit dem Unternehmen passieren wird, das sich selbst hacken ließ, und was es hätte tun sollen, um dies zu verhindern. Seien Sie beruhigt in dem Wissen, dass Sie als Verbraucher aufgrund dieser Regeln sicherer sind.