<div dir="ltr"><a href="http://www.jdsupra.com/legalnews/nebraska-and-illinois-update-breach-48552/">http://www.jdsupra.com/legalnews/nebraska-and-illinois-update-breach-48552/</a><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><p>
        The data breach notification laws for <a href="http://nebraskalegislature.gov/laws/statutes.php?statute=87-801" target="_blank">Nebraska</a> and <a href="http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2702&ChapAct=815%C2%A0ILCS%C2%A0530/&ChapterID=67&ChapterName=BUSINESS+TRANSACTIONS&ActName=Personal+Information+Protection+Act." target="_blank">Illinois</a>
 have been updated  to expand the definition of “personal information” 
to include usernames and email addresses in combination with a password 
or security question and answer allowing access to an online user 
account.</p>
<p>
        In addition to expanding the scope of covered information, Nebraska’s <a href="http://nebraskalegislature.gov/FloorDocs/Current/PDF/Slip/LB835.pdf" target="_blank">L.B. 835</a>
 will require notification to the Attorney General in the event of any 
breach that requires notice to a Nebraska resident in the first 
instance.  Illinois’ <a href="http://www.ilga.gov/legislation/publicacts/99/PDF/099-0503.pdf" target="_blank">H.B. 1260</a>
 further expands the definition of PI to include a resident’s medical 
information, health insurance information, and unique biometric data, 
specifies required notice content when consumers’ usernames or email 
addresses are affected by a breach, and imposes new data security 
requirements.</p>
<p>
        Nebraska’s new law will go into effect on<strong> July 21, 2016, </strong>while Illinois’ new law will become operative on<strong> Jan. 1, 2017</strong>. Changes to these laws are summarized below, and can be compared to other states requirements on our <a href="http://www.dwt.com/statedatabreachstatutes/" target="_blank">website</a>.</p>
<p>
        <strong>Changes to Nebraska’s Breach Notification Statute </strong></p>
<ul style="margin-left:40px"><li>
                <strong>New PI Data Elements.</strong> The definition of Personal Information or “PI” is expanded to include a resident’s online <strong>username or email address</strong>, combined with a password or security question and answer allowing access to an online account.</li><li>
                <strong>Compromised Encryption Key. </strong>Nebraska’s breach 
notification statute currently includes a safe harbor that allows a 
business to forego data breach notification when affected PI is 
encrypted, redacted or otherwise made unreadable. L.B. 835 clarifies 
that data is not considered encrypted when the encryption process or key
 itself is compromised in the breach.</li><li>
                <strong>AG Notice.</strong> Nebraska’s data breach notification law 
will soon require businesses and other entities to notify the Nebraska 
Attorney General whenever notice to any state resident is required, and 
must be given no later than the time when the resident is notified.</li></ul>
<p>
        <strong>Changes to Illinois’ Breach Notification Statute</strong></p>
<ul style="margin-left:40px"><li>
                <strong>New PI Data Elements.</strong>B. 1260 will enlarge the definition of PI to include:</li><li>
                A resident’s <strong>medical information, health insurance information, and unique biometric data</strong> when combined with a consumer’s first name or first initial and last name; and</li><li>
                A resident’s online <strong>username or email address</strong>, combined with a password or security question and answer allowing access to an online account.</li><li>
                <strong>Notice Content for Breach of Username or Email Address</strong>.
 Businesses will be permitted to notify Illinois residents of a breach 
affecting usernames or email addresses via electronic or other form 
directing residents to promptly change their username or password and 
security question or answer or take “other appropriate steps” to protect
 all affected online accounts which use the same username or email 
address and security question or answer.</li><li>
                <strong>Compromised Encryption Key</strong>. H.B. 1260 clarifies Illinois’ safe harbor <em>does not apply</em> when the key to unencrypt, unredact, or otherwise read the data elements is itself compromised in the breach.</li><li>
                <strong>Substitute Notice to “Local Media.”</strong> If a breach impacts Illinois residents in <em>one geographic area</em>,
 affected businesses otherwise permitted by the statute to give notice 
via substitute notice (i.e. if notification costs exceed $250,000 or if 
the affected business would have to notify more than 500,000 residents) 
will be allowed to notify prominent <em>local</em> media instead of major <em>statewide</em>
 Businesses should note that such localized notice is in addition to the
 other substitute notice requirements (i.e. email notice if residents’ 
addresses on file, and conspicuous posting of the notice on the 
business’ website), and must be “reasonably calculated” to give 
residents actual notice.</li><li>
                <strong>Data Security Requirements.</strong> In addition, H.B. 1260 
expands the current Illinois statute to include data security 
requirements very similar to those demanded by Nevada’s data breach 
notification laws (<a href="http://www.leg.state.nv.us/NRS/NRS-603A.html" target="_blank">NRS 603A.210</a>).
 When the statute goes into effect next year, all entities that own, 
license, maintain or store records containing residents’ PI will be 
required to:
                <ul><li>
                                Implement and maintain <strong>“reasonable security measures”</strong> to protect from unauthorized access, acquisition, destruction, use, modification, or disclosure; and</li><li>
                                Require all third parties to implement and maintain similar security
 measures when PI will be disclosed pursuant to a contract.</li></ul>
        </li><li>
                <strong>Entities Covered by other Federal Privacy and Data Security Regimes</strong>
                <ul><li>
                                Covered entities and business associates subject to and in 
compliance with the Health Insurance Portability and Accountability Act 
as amended (HIPAA) and the Health Information Technology for Economic 
and Clinical Health (“HITECH”) Act will be deemed complaint with the 
Illinois statute for data security purposes, <u>but</u> any covered 
entity or business associate required to provide notification of a 
breach to the Secretary of Health and Human Services pursuant to HITECH 
must provide notice to the Illinois Attorney General within 5 business 
days of notifying the Secretary.</li><li>
                                Financial institutions subject to applicable provisions of the 
Gramm-Leach-Bliley Act will also be deemed in compliance with Illinois’ 
new data security requirements.</li></ul>
        </li></ul>
<p>
        <strong>What’s Next for Businesses?</strong></p>
<p>
        The Nebraska and Illinois updates are just the latest changes in the 
patchwork of state-level data breach notification requirements.  <a href="http://www.privsecblog.com/2016/04/articles/dataprotection/tennessee-gives-businesses-45-days-for-data-breach-notice/" target="_blank">Tennessee</a>
 recently passed substantive amendments to its breach notification 
statute that will which go into effect on July 1 and the amendments <a href="http://www.privsecblog.com/2015/07/articles/policy-regulatory-positioning/2015-data-breach-legislation-six-month-review-many-proposals-few-changes/" target="_blank">to Rhode Island’s statute</a> will take effect on July 2.</p>
<p>
        Some of Nebraska’s and Illinois’ expanded requirements mirror those 
that already exist under other states’ notice regimes, however, all 
entities that collect consumer information  should:</p>
<ul style="margin-left:40px"><li>
                <strong>Review breach notification policies and procedures and update as needed. </strong>As
 with any change to state data breach notification statutes, businesses 
and other entities are strongly encouraged to revisit, review, and 
revise their breach notification policies and procedures where needed to
 be in compliance with the alterations to these statutes.</li><li>
                <strong>Don’t Store Data and Encryption Keys in the Same Place.</strong>
 The tweaks to Nebraska’s and Illinois’ encryption safe harbors are good
 reminders that encrypting or taking other measures to make sensitive 
data unreadable will not do much if the keys to decode the data are 
compromised as well. Companies should <em>not</em> store their 
encryption keys on the same machine or in the same location as the data 
that the keys secure. More importantly, when transmitting encrypted 
files, companies should use alternate methods of transmitting the 
encryption keys.  For instance, don’t email an encrypted file and 
include the encryption key in the same email.</li></ul>
<p>
        Cut: Companies required by other state or federal laws to implement 
greater protections to safeguard records with PI, as well as those 
subject to and in compliance with the Gramm-Leach-Bliley Act, will be 
deemed in compliance.</p></div></div></div></div></div></div></div></div></div>
</div>