你的合同会让你面临网络安全责任问题吗
If you haven’t reviewed your contracts lately, 你可能在不知不觉中为另一方的网络安全风险承担了责任. Worse yet, 你可能不知道他们还没有承担起保护你的数据的责任. 不幸的是,这不是一个新事物,它确实有一个名字. 它通常被称为第三方风险和预防,是一个强大的第三方尽职调查过程.
If you are signing contracts without legal review, or haven’t reviewed long-standing contracts, 你可能会承担比你意识到的更多的责任. 网络安全法正在迅速变化,了解你的行业是非常重要的. 你需要清楚地了解你的合同以及合同可能给你带来的风险. 不幸的是,我们看到很大一部分客户在理解上存在这种差距.
Know Your Clauses
Entering into contracts is an everyday business activity, and their terms define what your duties are, what you will deliver, and what your partner will pay for your services. They also define your partner’s reciprocal duties to you. In most of those contracts, 您接受或假定您的合作伙伴接受对其将拥有的数据进行法律或监管控制的责任, 在一段时间内,他们保持占有. For example, think of your relationship with your bank. 你有钱(数据)需要存入(共享)给他们(第三方),你希望他们能控制它(第三方风险). 他们接受你的存款协议(合同)中的角色。.
如果合同中的语言将所有责任推给你,而医疗服务提供者违反了HIPAA, you may find yourself liable, 即使你没有直接对数据做任何事情,使其处于危险之中.
To provide you with an information security example, in health care, 第三方供应商(业务伙伴)对其护理的患者数据遵守与共享数据的医疗保健提供者(所涵盖的实体)类似的HIPAA隐私标准. In that case, 你需要确保你的企业没有承担所有的责任,并释放第三方. 如果合同中的语言将所有责任推给你,而医疗服务提供者违反了HIPAA, you may find yourself liable, 即使你没有直接对数据做任何事情,使其处于危险之中. 然而,你显然错过了提前对合同进行尽职调查的步骤.
In another example, if you are buying a business, 你通常会获得该公司所有的监管责任. It can’t be “sold away.” Unfortunately, 很多人都没有通过公司合同中的网络安全责任敞口来评估这一点. Companies with poor cyber hygiene sell for less.
至关重要的是,你能够清楚地描述谁对什么负责.
A Growing Concern In Business
大多数行业还没有适应网络监管的速度和速度, which are involved in almost every type of transaction. Templated contracts haven’t kept up with the changes. 每个行业都有数据,责任在人们没有意识到的情况下已经转移. 如果合作伙伴持有或访问受监管的信息,则每年都需要对每份合同进行网络安全责任审查.
In addition, 企业主——尤其是小企业主——专注于生产产品或提供服务, not on their cybersecurity risk. 公司签署的协议没有经过审查, therefore, 没有意识到他们已经承担了其他企业的所有责任,如果有违约. 平均自付费用为11.9万美元,这个简单的疏忽可能会成为商业杀手.
Wondering how much a data breach could cost you? Check out our Cyber Disruption Calculator to find out.
Protect Yourself & Your Data
In order to protect yourself, you data, and your business as a whole, 您需要了解您的业务所在领域的法律法规. 法律是不断变化的,俄亥俄州的法律和印第安纳州的法律不一样. 与你所在领域的专家接触是绝对重要的, 通常是律师事务所或会计师事务所的网络安全顾问. Then, 一定要从证书和经验水平方面寻找他们技能组合的适当证据. 你想让注册会计师帮你算账,让有执照的律师给你提供咨询. 你还应该联系一位认证的网络安全风险专家,他会致力于为你的业务提供帮助. Together, 你的团队应该专注于让你的大门在明天和未来保持开放.
Then do a risk assessment. 在签署运营协议时,专家可以发现你没有注意到的风险,并找出网络安全责任方面的差距. 理想情况下,这应该在签订合同之前完成,或者至少在问题出现之前完成. 很多时候,企业在问题出现之前都不会审查他们的合同.
你可能承担了比你意识到的更多的责任, 当你续约的时候,可能是时候重新谈判或者开始准备改变了.
关键是要立即审查所有合同中的赔偿和责任条款. Do this today. 你可能承担了比你意识到的更多的责任, 当你续约的时候,可能是时候重新谈判或者开始准备改变了. And, of course, 所有未来的协议是否都由了解未来合同和责任的人审查.
As an attorney friend used to say: “Ink is cheap. Legal defense is expensive.”
如果您想了解更多关于第三方尽职调查或网络安全风险评估的信息, contact me directly at 330.651.7040 or paul.hugenberg@ranklypalindromist.com. Or, click here to fill out our “Contact Us” 表格,并要求与Rea的网络安全和数据保护服务团队成员交谈.
By Travis Strong, CISA (Wooster, OH)
Looking for additional cybersecurity insight? Check out these resources:
[ARTICLE] One Wrong Click Can Spell Danger
[PODCAST] Five Tips For A Safer Network