Denne veiledningen gir University kjøpere veiledning om hvordan å identifisere personlig identifiserbar informasjon (PII) når forhandle avtaler eller utstedelse av innkjøpsordrer for arbeid som skal utføres av eksterne leverandører., Hvis selgeren vil håndtere, prosess eller har mulighet til å få tilgang til sensitiv informasjon, klikk kjøpere må ta følgende fremgangsmåte:
- Minimer leverandørens bruk, innsamling og oppbevaring av PII til det som er strengt nødvendig for å oppnå sine forretningsmessige formål og omfang av arbeid–vurdere gjennomførbarheten av de-identifisere eller anonymizing informasjon.
- Kreve at leverandøren for å få mer Informasjon Sikkerhet/Cyber ansvarsforsikring i de mengder som er anbefalt av risikostyring.,
- Kreve at leverandøren skal utføre en Beskyttelse av Personlige Data Addendum (i tillegg til de aktuelle tjenestene avtalen eller innkjøpsordre).
Hva er Personlig Identifiserbar Informasjon (PII)?,
Personlig Identifiserbar Informasjon (PII) inkluderer:
«(1) enhver informasjon som kan brukes til å skille eller spore en persons identitet, som navn, personnummer, fødselsdato og-sted, mors pikenavn, eller biometrisk poster; og (2) eventuelle andre opplysninger som er koblet til eller linkable til en enkeltperson, for eksempel medisinsk, pedagogisk, økonomisk, sysselsetting og informasjon.,al telefonnumre
Biometriske data: retina-skanner, stemme signaturer, eller ansikts geometri
Informasjon som identifiserer personlig eid eiendom: VIN nummer eller tittel nummer
følgende eksempler på sin egen ikke utgjør PII som mer enn en person, kan dele disse trekkene., Men, når du er koblet til eller linkable til ett av eksemplene ovenfor, følgende kan brukes til å identifisere en bestemt person:
- fødselsdato
- fødested
- Business telefon nummer
- Forretnings-post eller e-post adresse
- Race
- Religion
- Geografisk indikatorer
- Sysselsetting informasjon
- Medisinsk information2
- Utdanning information3
- Finansiell informasjon
Når Ville en Leverandør Har Tilgang til PII (personlig identifiserbar informasjon?,
Eksempler på tjenester eller arbeid som leverandøren tilgang til PII inkluderer:
- En entreprenør er ansatt for å utvikle programvare for å hjelpe Institusjonell Utvikling i pengeinnsamling aktiviteter. Det er potensiale for leverandøren å ha tilgang til PII av alumni/givere som for eksempel navn, hjemme-postadresser, personlige telefonnumre og finansielle konto informasjon.
- En lisens som er anskaffet for en cloud-basert survey-verktøyet til å bli brukt av forskere., Avhengig av arten av undersøkelsen, utgiveren av den skybaserte tjenesten, kan få tilgang til eller vert PII (personlig identifiserbar informasjon som navn av respondentene, e-postadresser, demografiske data (for eksempel, alder, inntekt nivå, medisinsk informasjon, eller pedagogisk bakgrunn).
- En entreprenør er ansatt for å utvikle eller oppgradere fysisk adgangskontroll systemer (f.eks., kort sveip oppføring lesere). Det er potensiale for leverandøren å ha tilgang til PII (personlig identifiserbar informasjon samlet inn via kort sveip, slik som navn, personnummer, og universitetet ID-numre.,
Ressurser og Ytterligere Spørsmål
Hvis du har spørsmål om denne håndboken, kan du kontakte University of Pittsburgh ‘ s Office of University Råd: http://ouc.pitt.edu/
Ekstra Ressurser: