Wetten voor het melden van inbreuken op gegevens

Hoewel de meeste statuten voor het melden van datalekken vergelijkbare onderdelen bevatten, zijn er belangrijke verschillen, wat betekent dat een standaardaanpak voor het melden van datalekken niet volstaat. Naarmate het aantal datalekken blijft toenemen, reageren staten bovendien met steeds frequentere en meer uiteenlopende wijzigingen van hun statuten, wat uitdagingen creëert voor naleving. Organisaties moeten prioriteit geven aan het volgen van deze veranderingen om zich voor te bereiden en te reageren op datalekken.

Download het overzicht van Foley's State Data Breach Notification Laws Chart voor een samenvatting van de basisvereisten voor kennisgeving die van toepassing zijn op entiteiten die "eigenaar" zijn van gegevens. Deze tabel is bijgewerkt tot 17 oktober 2025 en dient uitsluitend ter informatie te worden gebruikt, omdat de aanbevolen acties die een entiteit moet ondernemen als er een beveiligingsincident of -inbreuk plaatsvindt, afhankelijk zijn van de specifieke feiten en omstandigheden.

Deze tabel is niet van toepassing op niet-eigenaren van gegevens. Als u geen eigenaar bent van de gegevens in kwestie, raadpleeg dan de toepasselijke wetgeving en neem contact op met een juridisch adviseur. Dit overzicht heeft ook geen betrekking op:

• Uitzonderingen op basis van naleving van andere wetten, zoals de Health Insurance Portability and Accountability Act (HIPAA) of de Gramm-Leach-Bliley Act (GLBA).
• Uitzonderingen met betrekking tot het te goeder trouw verkrijgen van persoonlijk identificeerbare informatie (PII) door een werknemer of agent van een entiteit voor een legitiem doel van de entiteit, mits er geen sprake is van verder ongeautoriseerd gebruik of openbaarmaking van de PII.
• Uitzonderingen met betrekking tot wat PII is, zoals openbare, versleutelde, bewerkte, onleesbare of onbruikbare gegevens. De tabel geeft aan of er een veilige haven beschikbaar kan zijn voor gegevens die als openbaar, versleuteld, bewerkt, onleesbaar of onbruikbaar worden beschouwd, maar de specifieke richtlijnen variëren afhankelijk van de omstandigheden. Sommige staten hebben bijvoorbeeld alleen een veilige haven voor gegevens die versleuteld zijn, terwijl andere staten een veilige haven kunnen hebben voor gegevens die versleuteld of openbaar zijn.
• De manier waarop een entiteit feitelijke of vervangende kennisgeving doet (bijv. via e-mail, U.S. Mail, enz.).
• Vereisten voor de inhoud van de aankondiging.
• Alle richtlijnen die zijn uitgegeven door federale en staatsagentschappen.
• Een uitgebreide beoordeling van alle wetten die van toepassing zijn op inbreuken op informatie anders dan PII.

Voor meer informatie over wetgeving inzake de melding van inbreuken op persoonsgegevens of andere kwesties op het gebied van gegevensbeveiliging kunt u contact opnemen met een van de onderstaande personen of een ander lid van Foley's Cybersecurity-praktijk.