Hva er Lazarus-alliansen?

Lazarus Alliance er en erfaren global leverandør av Proactive Cybersecurity®-tjenester. I over 26 år har vi levert løsninger innen revisjon, samsvar, risikostyring, personvern, penetrasjonstesting og styring til organisasjoner i alle størrelser på tvers av alle bransjer og jurisdiksjoner.

Hva betyr Proaktiv cybersikkerhet®?

Proactive Cybersecurity® er vår kjernefilosofi om å stoppe trusler før de blir til problemer. Vi fokuserer på kontinuerlig overvåking, risikostyring i sanntid og å bygge bærekraftige programmer i stedet for reaktive «avkrysningsboks»-revisjoner.

Hvilke samsvarsrammeverk støtter dere?

Vi spesialiserer oss på FedRAMP (3PAO), CMMC (C3PAO), GovRAMP, SOC 1 og 2, HIPAA, PCI DSS, ISO 27001, NIST 800-53/171, GDPR, CCPA og dusinvis av andre amerikanske og internasjonale standarder, inkludert C5, ENS og EUCS.

Hvordan er Lazarus Alliance forskjellig fra andre compliance-firmaer?

Vi leverer en samarbeidsbasert, concierge-nivå opplevelse i stedet for en kontradiktorisk revisjon. Vårt fokus er på partnerskap, åpenhet og reell risikoreduksjon ved hjelp av vår proprietære IT Audit Machine® (ITAM) og AI-forbedrede Cybervisors®.

Hva er en Cybervisor®?

En Cybervisor® er vår AI-forbedrede cybersikkerhetsrådgiver på seniornivå som fungerer som en forlengelse av teamet ditt. De tilbyr strategisk veiledning, praktisk implementering og kontinuerlig støtte for å akselerere samsvar og styrke den generelle sikkerhetsstillingen.

Jobber du med oppstartsbedrifter og små bedrifter?

Ja. Vi samarbeider med organisasjoner i alle størrelser, fra oppstartsbedrifter til globale bedrifter som Cisco og Vanguard, på tvers av alle større bransjer. Vår effektive metode gjør det mulig å overholde regelverket uten unødvendig kompleksitet eller kostnader.

Tilbyr dere tjenester internasjonalt?

Absolutt. Vi støtter kunder over hele verden med dyp ekspertise innen både amerikanske og internasjonale regelverk, inkludert CCPA, PIPEDA, DPDP og andre globale krav til personvern og cybersikkerhet.

Hvordan kommer jeg i gang med Lazarus-alliansen?

Kontakt oss i dag for en uforpliktende konsultasjon. En av våre nettrådgivere vil lytte til dine behov og gi en klar vei videre, skreddersydd for din organisasjon. Ring 1-888-896-7580 eller fyll ut skjemaet på denne siden.

CPRA- og CCPA-revisjoner: Lazarus Alliance Compliance Services

California erstattet CCPA ved å vedta California Privacy Rights Act ("CPRA"). CPRA endrer California Consumer Privacy Act ("CCPA"). Lazarus Alliance vil koordinere direkte med organisasjonen din for å planlegge vurderingen av California Privacy Rights Act (CPRA). Våre bedømmere vil hjelpe med å identifisere nivået på sertifiseringen basert på bedriftens spesifikke forretningskrav.

De viktige delene er:

Bedrifter vil bli pålagt å overholde den nye forskriften hvis de betjener innbyggere i California og har minst 25 millioner dollar i årlig inntekt.
Bedrifter som får 50 % eller mer av sine årlige inntekter fra å selge eller deling forbrukernes personopplysninger.
Bedrifter som er kategorisert som "tredjepartsleverandører" og "tjenesteleverandører" under CCPA, legger CPRA nå til "entreprenør" som en distinkt klasse av regulerte enheter.
Bedrifter av alle størrelser som har personopplysninger om minst 100,000 XNUMX personer eller som samler inn mer enn halvparten av inntektene sine fra salg av personopplysninger.

For å støtte håndhevelsen av CPRA opprettet California California Privacy Protection Agency ("Privacy Agency"). Personvernbyrået vil ha full administrativ makt, myndighet og jurisdiksjon til å implementere og håndheve CCPA og CPRA. Byrået har fullmakt til å ilegge en bot på $2,500 for hvert brudd på CPRA eller $7,500 for hvert forsettlig brudd eller hvert brudd som involverer en mindreårig. Før denne handlingen ble CCPA håndhevet av California Office of the Attorney General.

CPRA eliminerer CCPAs 30-dagers varsel og kur, men personvernbyrået har skjønn til å gi en virksomhet en tidsperiode for å kurere det påståtte bruddet og tar i betraktning en manglende intensjon om å bryte CPRA og frivillig innsats for å kurere det påståtte bruddet før du blir varslet om en klage.

Snakk med en av våre Cybervisors™

Bare fakta ...

Hva er en dekket virksomhet?

CPRA endrer CCPAs definisjon av "virksomhet", og endrer hvilke enheter som dekkes. På den ene siden øker CPRA CCPA-innsamlingsterskelen fra 50,000 100,000 forbrukere eller husholdninger til 50 XNUMX, og den fjerner enheter fra denne tellingen. Denne endringen vil gi lettelser for små bedrifter. På den annen side utvider CPRA dekningen til å omfatte enheter som får XNUMX % eller mer av sine årlige inntekter fra salg eller deling forbrukernes personopplysninger, uavhengig av om de mottar økonomisk kompensasjon. Selv om handlingen med deling forbrukerpersonopplysninger er lagt til, forblir terskelen på 50 % uendret. Andre endringer inkluderer joint ventures eller partnerskap og selvsertifiserte enheter.

Til slutt, i tillegg til kategoriene «tredjepartsleverandører» og «tjenesteleverandører» under CCPA, legger CPRA til «leverandør» som en egen klasse av regulerte enheter. En leverandør er en tredjepart som virksomheten gjør forbrukerens personopplysninger tilgjengelig for forretningsformål. Som med tjenesteleverandører må leverandører nå inngå en skriftlig kontrakt og samtykke i å ta passende skritt for å beskytte dekkede elektroniske data.

Hva er sensitiv personlig informasjon?

En av de viktigste endringene fra CCPA er opprettelsen av en ny klassifisering av personlig informasjon – sensitiv personlig informasjon. Dette er en underkategori av PI som inkluderer:

Personnummer, førerkort, stats-ID eller passnummer
Finansiell kontoinformasjon
Nøyaktig geolokalisering
Rase av etnisk opprinnelse
Sexliv eller seksuell legning
Religiøs eller filosofisk tro
Fagforeningsmedlemskap
Ikke-offentlig kommunikasjon
Genetiske, biometriske og helsedata

Innsamling av sensitive personopplysninger krever ytterligere krav til offentliggjøring, fravalg og bruk. Den særskilte behandlingen inkluderer å gi forbrukere rett til å begrense utlevering og bruk av sensitive personopplysninger, med mindre det er nødvendig for å utføre tjenestene. Selskaper må oppgi en lenke på nettstedet deres med tittelen "Begrens bruken av min sensitive personlige informasjon" i tillegg til CCPAs påkrevde frameldingslenke slik at forbrukere kan utøve denne retten.

Hva er de nye og utvidede forbrukerrettighetene?

CCPA utvidet rettighetene til California-innbyggere som gikk langt utover eksisterende personvernrettigheter for forbrukere i USA: Retten til å vite, retten til tilgang, retten til å slette og en privat rett til å handle med lovfestet erstatning. CPRA utvider noen av disse rettighetene og legger til nye.

Utvidet rett til å vite/rett til tilgang. CPRA utvider dette rett utover CCPAs normale 12-måneders tilbakeblikkperiode så lenge det ikke er "umulig" eller ikke innebærer en "uforholdsmessig" innsats. CPRA utvider CCPAs krav om å oppgi kategoriene av tredjeparter som den utleverer personlig informasjon til, til å omfatte kategoriene tjenesteleverandører og kontraktører som den utleverer informasjon til.
Utvidet rett til å slette. CCPA gir innbyggere i California rett til å be om at en bedrift sletter deres personlige opplysninger hvis det ikke lenger er nødvendig for å oppfylle et av de lovbestemte formålene. CPRA utvider denne retten, og krever at virksomheter sender forespørselen om sletting til tredjeparter som har kjøpt eller mottatt forbrukerens personopplysninger, slik at alle parter må etterkomme forespørselen.
Rett til å velge bortCCPA gir forbrukere rett til å reservere seg mot at bedrifter selger dataene deres til tredjeparter. CPRA utvider denne retten til å omfatte deling av personlig informasjon, i tillegg til salg. Bedrifter må nå varsle forbrukerne når informasjonen deres vil bli delt, og også varsle dem om retten deres til å reservere seg mot dette.
Påmeldingsrettigheter for mindreårige. CCPA krever at virksomheter innhenter samtykke til å selge personopplysningene til en mindreårig i California under 16 år. CPRA utvider denne retten, og krever at virksomheter venter 12 måneder før de ber en mindreårig om samtykke til å selge eller dele deres personlige opplysninger etter at den mindreårige har takket nei.

I tillegg til å utvide flere CCPA-rettigheter, introduserer CPRA også flere nye personvernrettigheter for forbrukere:

Rett til korrekt informasjon. California-forbrukere har nå rett til å be om at en bedrift retter opp unøyaktig personlig informasjon.
Rett til å begrense bruk og avsløring av sensitive PI. California-forbrukere har nå rett til å begrense bruken og avsløringen av sensitiv personlig informasjon til bruk som er nødvendig for å utføre tjenester eller levere varer rimelig forventet av en gjennomsnittsforbruker. Tjenesteleverandører og tredjeparter er også pålagt å overholde denne begrensningen.
Rett til tilgang til informasjon om automatisk beslutningstakingI likhet med GDPR har forbrukere nå rett til å få tilgang til informasjon om hvordan bedrifter bruker automatisert beslutningsteknologi. CPRA gir forbrukere rett til å reservere seg mot automatiserte beslutningsprosesser.
Rett til dataportabilitet. California-forbrukere har nå rett til å be om at bedrifter overfører personlig informasjon til en annen enhet, i den grad det er teknisk mulig.

Hva er vedtakelsen av visse GDPR-prinsipper?

CPRA har kodifisert følgende GDPR-inspirerte bestemmelser:

Dataminimering. CPRA begrenser personlig informasjon samlet inn av virksomheter til det som er "rimelig nødvendig og forholdsmessig for å oppnå formålene som personopplysningene ble samlet inn for." Denne delen forhindrer også selskaper fra å unngå CPRA-forpliktelser ved å sende personlig informasjon ut av staten eller gjennom tredjeparter, entreprenører eller tjenesteleverandører. Når en virksomhet samler inn personopplysninger og gir dem videre til en annen enhet for et forretningsformål, krever CPRA også at det inngås en avtale som spesifiserer de begrensede formålene med den gitte personopplysningen. De mottakende partene må også overholde CPRA-forpliktelsene og sørge for det samme nivået av personvern mens informasjonsdelingsvirksomheten har lov til å ta rimelige skritt for å bidra til å sikre at informasjonen overføres på riktig måte.
Formålsbegrensning. CPRA tillater virksomheter å samle inn personlig informasjon kun for "spesifikke, eksplisitte og legitime avslørte formål" som avsløres på forhånd til forbrukere.
Begrensning av datalagringCPRA inneholder begrensninger for datalagring som, i likhet med GDPR, krever at bedrifter opplyser forbrukerne om «hvor lenge bedriften har til hensikt å oppbevare hver kategori av personopplysninger, eller hvis det ikke er mulig, kriteriene som brukes for å bestemme en slik periode...»
Rimelig sikkerhetCPRA tar uttrykkelig for seg sikkerhet og sikkerhetsbrudd, som er en annen GDPR-inspirert bestemmelse. Hvis en bedrift bryter sin plikt til å implementere og opprettholde riktige sikkerhetsprosedyrer og -praksiser, kan forbrukere ha et sivilt søksmål for å få erstatning, få pålagt forføyninger eller fastsettelsesrettslige avgjørelser, eller annen avgjørelse retten anser som passende.

Hva er den private handlingsretten?

CPRAs utvidelse av den private søksmålsretten er uten tvil en av de viktigste bestemmelsene for bedrifter, gitt den nylige økningen i datainnbrudd. CCPA gir forbrukere i California den private retten til å ta rettslige skritt dersom deres ikke-krypterte eller ikke-redigerte personopplysninger blir eksponert fordi en bedrift ikke har implementert rimelige sikkerhetstiltak. CPRA utvider denne private søksmålsretten til å omfatte uautorisert tilgang til e-postadresser og passord eller sikkerhetsspørsmål.

Ser fremover

Dette er bare noen av endringene CPRA gjør i verden av data- og personvernoverholdelse. Selv om alle aspekter av CPRA ikke trer full effekt før 1. januar 2023, bør selskaper som driver virksomhet i California begynne å legge det interne grunnlaget for CPRA-overholdelse i løpet av 2021 og 2022.

For å forberede seg på CPRA, kan organisasjoner ta proaktive skritt som:

Bestem om du er underlagt CPRA. Noen virksomheter som ikke var underlagt CCPA vil bli påvirket av CPRA, og omvendt.
Forbrukerforespørsler: Bedrifter bør sikre at de har tilstrekkelige interne prosesser for å håndtere forbrukerforespørsler og identifisere hvordan de kan utvide slike prosesser for å gjøre det mulig for forbrukere å utøve nye og utvidede rettigheter under CPRA.
Oppdater personvernregler. Bedrifter bør gjennomgå og vurdere hvilke oppdateringer som bør gjøres i den første innsamlingsmeldingen og personvernerklæringen for nettstedet for å gjenspeile nye krav, inkludert de som gjelder sensitiv personlig informasjon og de nye/utvidede rettighetene.
Datakartlegging og revisjoner. Bedrifter bør vurdere å gjennomføre en datakartleggingsøvelse for å identifisere typene data organisasjonen lagrer, hvordan den flyter gjennom hele organisasjonen, hvem som har tilgang til dataene og virkningen av et potensielt brudd.
Gjennomgå avtaler med tredjeparter. Bedrifter bør revidere avtaler med tredjeparter for å avgjøre om et databeskyttelsestillegg er nødvendig for å bringe avtalen i samsvar med CPRA.

Til slutt er det viktig å huske at CCPA fortsatt er i kraft og vil forbli slik til 2023. I mellomtiden er Lazarus Alliance klar til å hjelpe din bedrift med å sikre overholdelse av CCPA og CPRA.

CPRA & CCPA Revisjon og vurderinger; vi er klare når du er! Ringe +1 (888) 896-7580 i dag.

Snakk med en av våre Cybervisors™

Last ned vår firmabrosjyre.

Bare fakta ...

Fordeler med å samarbeide med Lazarus Alliance ...

Kostnadsreduksjoner

Proaktiv ikke reaktiv

Start til slutt på rekordtid

Snakk med en av våre eksperter