Florida herziet zijn wet inzake meldingsplicht bij inbreuken op gegevensbeveiliging met ingang van 1 juli 2014
Deze maatregel in Florida sluit aan bij een reeks recente voorstellen en wetten inzake datalekken in een aantal staten, waaronder Californië, New Mexico, Iowa en Kentucky. De wet wijzigt onder meer de definitie van persoonlijke informatie die aanleiding kan geven tot een meldingsplicht door hieraan ziektekostenverzekeringen, medische informatie, financiële informatie en online accountinformatie toe te voegen, zoals beveiligingsvragen en -antwoorden, e-mailadressen en wachtwoorden. De huidige wetgeving heeft betrekking op de voornaam of initiaal en achternaam van een persoon, in combinatie met: (i) een sofinummer; (ii) rijbewijs- of identiteitskaartnummer; (iii) of rekeningnummer, creditcard- of debetkaartnummer in combinatie met een vereiste beveiligingscode of wachtwoord om toegang te krijgen tot de rekening.
Betrokken personen moeten zo snel mogelijk op de hoogte worden gebracht, maar uiterlijk 30 dagen nadat de inbreuk is ontdekt of het bedrijf redelijkerwijs van mening is dat er een inbreuk heeft plaatsgevonden. De huidige wetgeving schrijft voor dat kennisgeving zonder onredelijke vertraging en uiterlijk 45 dagen na ontdekking van de inbreuk moet plaatsvinden.
In het geval van een datalek waarbij 500 of meer inwoners betrokken zijn, moet uiterlijk 30 dagen na ontdekking van het lek schriftelijk melding worden gemaakt bij de procureur-generaal. Op verzoek van de procureur-generaal moet het bedrijf een kopie verstrekken van zijn beleid met betrekking tot datalekken, de maatregelen die zijn genomen om het lek te verhelpen, en een politierapport, incidentrapport of computerforensisch rapport aan de procureur-generaal.
Als de inbreuk meer dan 1.000 personen betreft, moet het bedrijf ook de grote kredietinformatiebureaus (Experian, TransUnion en Equifax) op de hoogte stellen.
Kennisgeving is niet vereist indien, nadat de organisatie een passend onderzoek heeft uitgevoerd en overleg heeft gepleegd met de relevante wetshandhavingsinstanties, het bedrijf redelijkerwijs vaststelt dat de inbreuk niet heeft geleid en waarschijnlijk ook niet zal leiden tot identiteitsdiefstal of andere definitieve schade voor de betrokken personen. De vaststelling moet schriftelijk worden vastgelegd, gedurende ten minste vijf jaar worden bewaard en binnen 30 dagen na de vaststelling aan de procureur-generaal worden verstrekt.
De wet voegt een vereiste toe dat bedrijven redelijke maatregelen moeten nemen om persoonlijke informatie in elektronische vorm te beschermen en te beveiligen. Hoewel de wet geen details geeft over wat deze maatregelen kunnen zijn, zal het bedrijf in geval van een inbreuk op de beveiliging minimaal moeten aantonen dat het commercieel redelijke veiligheidsmaatregelen heeft genomen om persoonlijke informatie te beschermen in overeenstemming met de industrienormen.
Ten slotte machtigt de wet de procureur-generaal om handhavingsmaatregelen te nemen op grond van de Unfair and Deceptive Trade Practices Act van Florida voor elke overtreding. De civielrechtelijke boetes kunnen oplopen tot $ 500.000 – $ 1.000 per dag voor de eerste 30 dagen van de overtreding, en $ 50.000 voor elke volgende periode van 30 dagen tot maximaal 180 dagen. Als de overtreding langer dan 180 dagen voortduurt, kunnen de boetes oplopen tot $ 500.000.
Impact op het bedrijfsleven
De wet legt aanvullende en strengere eisen op aan bedrijven die te maken krijgen met een inbreuk op de beveiliging waarbij persoonlijke gegevens van klanten, werknemers of andere personen openbaar worden gemaakt. De inbreuk kan het gevolg zijn van een kwaadwillende hacker, een ontevreden werknemer of het onopzettelijk kwijtraken van een laptop of smartphone met persoonlijke gegevens. Bedrijven moeten hun rampenplannen voor gegevensinbreuken aanpassen om aan de nieuwe eisen te voldoen (en, uiteraard, een rampenplan opstellen als ze dat nog niet hebben). Bedrijven moeten ervoor zorgen dat als een inbreuk leidt tot een verzoek van de procureur-generaal om de toepasselijke beleidsregels van het bedrijf, deze beleidsregels in overeenstemming zijn met de wet en de huidige beste praktijken.
Legal News Alert maakt deel uit van ons voortdurende streven om actuele informatie te verstrekken over urgente kwesties of branchegerelateerde onderwerpen die van belang zijn voor onze cliënten en onze collega's. Als u vragen heeft over deze update of dit onderwerp verder wilt bespreken, neem dan contact op met uw Foley-advocaat of met:
Chanley T. Howell
Jacksonville, Florida
904.359.8745
[email protected]
James R. Kalyvas
Los Angeles, Californië
213.972.4542
[email protected]
Michael R. Overly
Los Angeles, Californië
213.972.4533
[email protected]
Steven M. Millendorf
San Diego, Californië
858.847.6737
[email protected]
