De voorschriften inzake gegevensbeveiliging in Massachusetts zijn opnieuw gewijzigd: werkgevers, detailhandelaren en leveranciers zullen waarschijnlijk aan strenge controles worden onderworpen.

Op 4 november 2009 heeft het Massachusetts Office of Consumer Affairs and Business Regulation ("OCABR") definitieve voorschriften (201 CMR 17.00) bekendgemaakt waarin wordt voorgeschreven hoe entiteiten die persoonlijke gegevens van inwoners van Massachusetts bezitten of verwerken, deze gegevens moeten beschermen. De definitieve voorschriften en de technische wijzigingen die ze bevatten, treden op 1 maart 2010 in werking. De belangrijkste wijzigingen bieden duidelijkheid over wanneer bedrijven de specifieke regels moeten toepassen op contracten met dienstverleners.

Zoals we in twee eerdere Foley Legal News Alerts hebben aangegeven, zijn de gegevensbeveiligingsvoorschriften die door de OCABR zijn uitgevaardigd het resultaat van de wetgeving inzake melding van inbreuken van het Gemenebest uit 2007. In tegenstelling tot de meeste rechtsgebieden, die ofwel niets zeggen over specifieke beleids- en technische vereisten ofwel het gebruik van "redelijke" maatregelen vereisen om de gegevens te beschermen, heeft Massachusetts een reeks beleids- en technische vereisten ontwikkeld die van toepassing zijn op "persoonlijke informatie" zoals gedefinieerd door de wet. Omdat de gegevensbeveiligingsvereisten van de OCABR voortvloeien uit een wet inzake identiteitsdiefstal, wordt persoonlijke informatie gedefinieerd in termen van voornaam of initiaal plus achternaam en elke combinatie van bekende identificatiegegevens, zoals burgerservicenummer, rijbewijsnummer of andere gegevens, zoals financiële rekeninginformatie. De kern van de gegevensbeveiligingsvoorschriften is de verplichting tot een uitgebreid informatiebeveiligingsprogramma – een programma, niet alleen een beleid – en de versleuteling van laptops en andere draagbare apparaten, naast andere vereisten.

De belangrijkste wijzigingen, die op 4 november 2009 zijn aangekondigd, zijn onder meer: 1) de toevoeging van het woord 'opslaat' aan de definities van 'bezit of licentieert' en 'dienstverlener', en 2) verduidelijking van relevante data voor de conformiteit van contracten met dienstverleners. De toevoeging van de term "opslaat" lijkt relatief weinig praktische gevolgen te hebben, aangezien de regels van toepassing zouden zijn op iedereen die "persoonlijke informatie ontvangt, bewaart, verwerkt of anderszins toegang heeft tot persoonlijke informatie...". Niettemin is het opslaan van gegevens – zelfs zonder toegang tot de gegevens – een dienst die tot verlies kan leiden. Evenzo luidt de definitie van dienstverlener nu: "iedere persoon die persoonlijke informatie ontvangt, opslaat, bewaart, verwerkt of anderszins toegang heeft tot persoonlijke informatie door het rechtstreeks verlenen van diensten aan een persoon die onder deze verordening valt". De entiteiten die waarschijnlijk het meest door deze uitbreiding zullen worden getroffen, zijn de subgroep van dienstverleners die gegevens opslaan maar er verder op geen enkele manier toegang toe hebben.

Van groter belang voor bedrijven die maatregelen nemen om aan deze ingrijpende regelgeving te voldoen, is de verduidelijking dat contracten die op 1 maart 2010 van kracht zijn, tot 1 maart 2012 als conform worden beschouwd, zelfs als ze niet aan de vereisten van het Gemenebest voldoen. Na 1 maart 2010 moeten nieuwe contracten of verlengingen van bestaande contracten echter specifieke beveiligingsmaatregelen voor persoonlijke gegevens bevatten. Daarom hoeft een dienstverleningsovereenkomst van 1 januari 2009 met een looptijd van vier jaar niet te worden gewijzigd vóór 1 maart 2010, maar moet deze wel vóór 1 maart 2012 worden bijgewerkt, ook al is deze nog niet aan vervanging toe.

De OCABR verwacht geen toekomstige wijzigingen in de regelgeving, maar de tijd zal het leren. De uitdaging voor bedrijven blijft om zelf aan de regels te voldoen en hun dienstverleners binnen de gestelde termijnen te organiseren. Gezien de publiciteit rond deze regelgeving is het onwaarschijnlijk dat de procureur-generaal van Massachusetts, die toeziet op de naleving van de regelgeving, veel begrip zal hebben voor bedrijven die zich niet aan de regels houden, ongeacht waar ter wereld de persoonlijke gegevens van inwoners van Massachusetts worden bewaard.

Conclusie
Europeanen zijn de afgelopen jaren gewend geraakt aan dit soort prescriptieve regels voor privacy en gegevensbeveiliging. In de Verenigde Staten is dit een nieuwe trend, nu onder andere Massachusetts, Nevada en Minnesota beginnen met het voorschrijven van normen voor gegevensbeveiliging. De regel van Massachusetts treedt op 1 maart 2010 in werking en is van toepassing ongeacht of de gegevens in Massachusetts, Californië of elders worden bewaard. Daarom moet nu serieus worden begonnen met interne beoordelingen van de gegevensbeveiliging.

Links naar andere relevante juridische nieuwsmeldingen:

17-11-2008
Massachusetts stelt invoering van nieuwe regelgeving inzake gegevensbeveiliging uit (http://www.foley.com/publications/pub_detail.aspx?pubid=5450)

13-10-2008
De voorschriften inzake gegevensbeveiliging in Massachusetts leggen strenge controles op aan werkgevers en detailhandelaren en hebben gevolgen voor outsourcingrelaties (http://www.foley.com/publications/pub_detail.aspx?pubid=5364)

Legal News Alert maakt deel uit van ons voortdurende streven om actuele informatie te verstrekken over urgente kwesties of branchegerelateerde onderwerpen die van belang zijn voor onze cliënten en onze collega's. Als u vragen heeft over deze update of dit onderwerp verder wilt bespreken, neem dan contact op met uw Foley-advocaat of met:

Peter McLaughlin
Senior Counsel
Boston
617.502.3265
[email protected]