Im Rahmen einer abschließenden Anordnung muss Illuminate Education seine Schutzmaßnahmen verbessern, die Speicherung und Erhebung personenbezogener Daten begrenzen und die vorgeschriebenen Schritte zur Löschung und Benachrichtigung einhalten. Laut FTC war von dem Vorfall mindestens 10,1 Millionen Studierende betroffen.

Neben der Zustimmung zu einer durch Vergleichsregelung getragenen Vollzugsmaßnahme stellte die FTC klar, dass die auferlegten Verpflichtungen bei Illuminate Education Inc. sowohl Sicherheitskontrollen als auch Schwächen im Datenlebenszyklus adressieren sollen. Die Behörde wirft Illuminate vor, keine angemessenen Maßnahmen ergriffen zu haben, um die personenbezogenen Informationen der Schüler zu schützen—dadurch habe ein Angreifer auf Datensätze zugreifen können, die mit 10,1 Millionen Studierenden verknüpft waren. Die FTC betont, dass solche Identifikatoren, darunter Namen und Geburtsdaten, Betrügern helfen können, Konten zu eröffnen, Identitätsprüfungen zu bestehen oder sogar synthetische Identitäten zu schaffen. Die finale Anordnung verlangt von Illuminate Verbesserungen, die das Risiko weiterer unbefugter Zugriffe senken sollen. Gleichzeitig muss das Unternehmen seine Art der Datenerhebung und Datenhaltung anpassen: Die Speicherung sensibler Informationen soll begrenzt werden, und die Erhebung personenbezogener Daten muss sich stärker an dem ausrichten, was für legitime operative Zwecke erforderlich ist. Ergänzend enthält die Anordnung Pflichten rund um Löschung und Benachrichtigung. Damit unterstreicht die FTC nach eigener Darstellung ein wiederkehrendes Vollzugsmuster: Wer hoch sensible Daten nicht ausreichend absichert, muss im Nachgang nicht nur mit Datenschutzvorfällen rechnen, sondern kann auch Einschränkungen bekommen, was mit personenbezogenen Informationen künftig erlaubt ist.