现有的马萨诸塞州数据泄露通知法规的更新(定于2019年4月11日生效)引入了向受影响个人和监管机构发出通知的新要求,并要求在某些情况下至少提供18个月的信用监控服务。立法对法规进行了许多细节上的更新,但我们在此关注最引人注目的新要求。

重要更新

给受影响个人的通知。如果在初始通知后,组织发现更新或更正此类通知中要求的信息的信息,则更新后的法规可能要求组织向受影响的个人提供多个(即重复)通知。其他违规通知法,例如欧盟的《通用数据保护条例》和加拿大的违规通知法,可能会迫使组织持续承担向监管机构通报违规的最新信息的义务,但马萨诸塞州的法规可能会将同一义务应用于个人通知。该法规还规定了通知必须包含的其他内容类别。

给马萨诸塞州监管机构的通知。新法规包括一些新的,独特的报告要求,例如识别造成违规的人(如果知道)。此外,尽管马萨诸塞州法规已经要求其范围内的组织具有书面信息安全程序(WISP),但是更新后的违规通知法规要求组织在其违规通知中向马萨诸塞州监管机构声明他们是否拥有该信息。 (马萨诸塞州在线违规通知表已经有“是”或“否”的问题,并且可以描述因该事件而对WISP进行的修订。)从本质上讲,此违规通知要求可作为组织机构监控的手段遵守WISP义务。如果组织的通知表明它没有WISP,则马萨诸塞州的监管机构可以将这一断言视为承认该组织不遵守WISP义务。如果需要遵守马萨诸塞州数据安全法规的组织尚未实施WISP,则应优先制定和实施WISP。

提供信用监控。马萨诸塞州与其他一些州一样,要求组织为受到数据泄露影响的马萨诸塞州的个人提供第三方信用监控服务。如果组织知道或有理由相信社会安全号码在数据泄露中受到损害,则该法规要求该组织聘请第三方为受影响的个人提供18个月的信用监控服务(如果是,则为42个月)消费者报告机构)。此要求不同于康涅狄格州和特拉华州的违约通知法,该法要求进行一年的信用监控。数据泄露的社会安全号码后,组织通常会提供一年的身份保护服务,但州监管机构已经有一种趋势,期望进行两年的信用监控。马萨诸塞州决定半途而废。

含义

历史上,马萨诸塞州总检察长办公室一直在执行英联邦的隐私和数据安全法。处理马萨诸塞州居民个人信息的组织应继续特别注意英联邦的法规要求和执法活动。根据马萨诸塞州违规通知法规的变更,组织应查看和更新​​(或创建)其违规响应准备工具包和通知模板。重新访问其WISP不仅可以满足特定的法律义务,而且可以改善组织的数据安全状况,并希望完全防止数据泄露,从而使组织也将从中受益。