Questa guida fornisce Università acquirenti guida su come identificare le informazioni di identificazione personale (PII) quando la negoziazione di accordi di servizio o l’emissione di ordini di acquisto per il lavoro svolto da fornitori esterni., Se il fornitore gestirà, elaborerà o avrà la possibilità di accedere alle PII, gli acquirenti devono adottare le seguenti misure:
- Ridurre al minimo l’uso, la raccolta e la conservazione delle PII da parte del fornitore a ciò che è strettamente necessario per raggiungere il loro scopo commerciale e la portata del lavoro–considerare la fattibilità di de-identificare
- Richiedere al venditore di ottenere ulteriori informazioni di sicurezza/Cyber Assicurazione di responsabilità negli importi raccomandati da Risk Management.,
- Richiedere al venditore di eseguire un Addendum sulla protezione dei dati personali (in aggiunta al contratto di servizio applicabile o all’ordine di acquisto).
Che cosa sono le informazioni di identificazione personale (PII)?,
Informazioni di identificazione personale (PII) comprende:
“(1) qualsiasi informazione che può essere utilizzato per distinguere o traccia l’identità di un individuo, come nome, numero di previdenza sociale, data e luogo di nascita, il nome da nubile della madre, o biometrici record; e (2) qualsiasi altra informazione che è collegato o collegabile ad un individuo, come medico, educativo, finanziario, e l’informazione sull’occupazione.,al telefono numeri
dati Biometrici: retina scansioni, voce firme, il viso e la geometria
le Informazioni che identificano personalmente proprietà: il numero di VIN o numero del titolo
I seguenti esempi di per sé non costituiscono informazioni personali come più di una persona in grado di condividere queste caratteristiche., Tuttavia, quando collegate o collegabili ad uno degli esempi di cui sopra, il seguente può essere utilizzato per identificare una persona specifica:
- Data di nascita
- Luogo di nascita
- telefono numero
- attività di mailing o indirizzo e-mail
- Gara
- Religione
- indicatori Geografici
- Occupazione di informazione;
- Medico information2
- Istruzione information3
- informazioni Finanziarie
Quando un Fornitore di Accesso ai dati personali?,
Esempi di servizi o lavori che coinvolgono l’accesso dei fornitori alle PII includono:
- Un appaltatore viene assunto per sviluppare software per assistere il progresso istituzionale nelle attività di raccolta fondi. Esiste il potenziale per il contraente di avere accesso a PII di alumni / donatori come nomi, indirizzi postali di casa, numeri di telefono personali e informazioni sul conto finanziario.
- Si ottiene una licenza per uno strumento di indagine basato su cloud da utilizzare dai ricercatori universitari., A seconda della natura dell’indagine, il Licenziante del servizio basato su cloud può avere accesso o ospitare PII come nomi dei rispondenti all’indagine, indirizzi e-mail, dati demografici (ad esempio, età, livello di reddito, informazioni mediche o background educativo).
- Un appaltatore viene assunto per sviluppare o aggiornare i sistemi di controllo degli accessi fisici (ad esempio, lettori di carte magnetiche). Esiste il potenziale per il contraente di avere accesso a qualsiasi PII raccolti tramite il colpo di carta come nomi, numeri di previdenza sociale, e numeri di identificazione università.,
Risorse e altre domande
Se avete domande su questa guida, si prega di contattare l’Ufficio dell’Università di Pittsburgh di University Counsel:http://ouc.pitt.edu/
Risorse aggiuntive: