CCPA, CPRA and Third-Party Risk Management
The California Consumer Privacy Act regulates business’ collection and sale of consumer data to protect California residents’ sensitive personal information and provide consumers with control over how that information is used. The CCPA was expanded in 2023 with the California Privacy Rights Act (CPRA), adding new compliance obligations that mandate strict third-party agreements to ensure the secure collection, use and disposal of consumer information.
The CCPA and CPRA apply to consumer data collected from any resident of California – whether by a company headquartered there or just doing business there. If a business is found to be liable for a civil penalty under the CCPA, the penalty can reach $7,500 per intentional violation and $2,500 per unintentional violation. The court may also order statutory damages for consumers.
Unternehmen sollten daher sicherstellen, dass ihre externen Partner und Dienstleister gut auf den Schutz von Verbraucherdaten vorbereitet sind. Der erste Schritt eines jeden Sicherheitsprogramms ist die Identifizierung und Priorisierung bestehender Risiken durch eine gründliche Sicherheitsbewertung.
Einschlägige Verordnungen
- 1798.81.5 (b) “A business that owns, licenses, or maintains personal information about a California resident shall implement and maintain reasonable security procedures and practices appropriate to the nature of the information, to protect the personal information from unauthorized access, destruction, use, modification, or disclosure.”
- 1798.140(c) “Permits, subject to agreement with the contractor [or service provider], the business to monitor the contractor’s [or service provider’s] compliance with the contract through measures, including, but not limited to, ongoing manual reviews and automated scans and regular assessments, audits, or other technical and operational testing at least once every 12 months.”
- 1798.185 (b) "der kalifornischen Datenschutzbehörde regelmäßig eine Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten vorlegen."
- 1798.100 (d) “A business…shall enter into an agreement with such third party, service provider, or contractor, that: … Obligates the third party, service provider, or contractor to comply with applicable obligations under this title and obligate those persons to provide the same level of privacy protection as is required by this title; Requires the third party, service provider, or contractor to notify the business if it makes a determination that it can no longer meet its obligations under this title.”
- 1798.185 (a) "Führen Sie jährlich ein Cybersicherheitsaudit durch, einschließlich der Festlegung des Umfangs des Audits und der Einführung eines Verfahrens, das gewährleistet, dass die Audits gründlich und unabhängig sind. Zu den Faktoren, die bei der Bestimmung, wann die Verarbeitung ein erhebliches Risiko für die Sicherheit personenbezogener Daten darstellen kann, zu berücksichtigen sind, gehören die Größe und Komplexität des Unternehmens sowie die Art und der Umfang der Verarbeitungstätigkeiten."
Erfüllung der CCPA TPRM-Anforderungen
Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Best Practices des CCPA-Risikomanagements für Dritte einzuhalten:
CCPA Bewährte Praktiken
Wie wir helfen
Entdeckung & Daten-Mapping
Prevalent unterstützt planmäßige Bewertungen, um Datenflüsse zwischen Beziehungen zu identifizieren und festzustellen, wo Daten vorhanden sind, wohin sie fließen und mit wem sie außerhalb des Unternehmens geteilt werden, indem eine einzigartige Beziehungszuordnungsfunktion verwendet wird. Automatische Erstellung eines Risikoregisters, das die wichtigsten Risikobereiche hervorhebt, um die Transparenz der Daten zu erhöhen.
Risikobewertungen von Anbietern
Prevalent bewertet die Datenschutzkontrollen von Anbietern anhand des Prevalent Compliance Framework (PCF) im Hinblick auf den CCPA. Spezifische Fragebögen helfen bei der Identifizierung und Zuordnung von Risiken, die während der Bewertung identifiziert wurden, zu den Kontrollen, um einen klaren Überblick über potenzielle Schwachstellen zu erhalten.
Risiko-Reaktion
Prevalent automatisiert die Risikoerkennung auf der Grundlage von in der Plattform festgelegten Schwellenwerten. Beschleunigt die Reaktion mit vordefinierten Workflow-Regeln, die identifizierte Risiken zur sofortigen Überprüfung und Beseitigung an den richtigen Stakeholder weiterleiten.
Verfolgung der Einhaltung von Vorschriften und Berichterstattung
Prevalent erstellt Berichte über die CCPA unter Verwendung des Prevalent Compliance Frameworks, das automatisch Risiken und Reaktionen auf Kontrollen abbildet, eine prozentuale Bewertung der Konformität liefert und stakeholder-spezifische Berichte bereitstellt, um die Datensicherheit transparent zu machen.
Überwachung der Benachrichtigung bei Sicherheitsverletzungen
Prevalent bietet Zugang zu einer Datenbank, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Sie enthält Arten und Mengen gestohlener Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.
Anträge auf Zugang zum Thema
Prevalent ermöglicht Anbietern und Geschäftsanwendern die Auslösung von SAR-Workflows (Subject Access Request) auf der Grundlage von Anfragen, die sie erhalten, und nutzt eine proaktive Bewertung zur Erfassung der relevanten Daten. Mithilfe der Relationship Map können Risiko- und Datenschutzteams visualisieren, mit wem Daten geteilt werden und wer Zugang zu den Daten dieses Anbieters hat.
Vendor Contract Management
Prevalent centralizes the distribution, discussion, retention, and review of vendor contracts, including workflow capabilities to automate the contract lifecycle from onboarding to offboarding.
Mit Prevalent verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Durchsetzung von Lieferantenvertragsbestimmungen und KPIs und vereinfachen die Verwaltung und Überprüfung.
