<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><a href="https://www.natlawreview.com/article/delaware-passes-amendment-to-data-breach-notification-law">https://www.natlawreview.com/article/delaware-passes-amendment-to-data-breach-notification-law</a></div><div dir="ltr"><br></div><div dir="ltr"><p class="gmail-Default gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">For the first time since 2005, Delaware has amended its data breach notification law (DE Code Tit. 6, 12B-101-104). Whereas Delaware’s previous law only required companies to notify affected residents of a breach “as soon as possible” after determining that “misuse of information about a Delaware resident has occurred or is reasonably likely to occur,” <a href="https://legis.delaware.gov/BillDetail/26009" target="_blank" style="border:none;color:rgb(240,122,34);text-decoration-line:none;word-break:break-word">House Substitute 1 for House Bill 180</a> strengthens the requirements for companies that conduct business in Delaware in several ways.</p><h3 class="gmail-Default gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Reasonable Data Security</span></h3><p class="gmail-Default gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">Any “person” who conducts business in Delaware and “owns, licenses, or maintains” personal information is required to “implement and maintain reasonable procedures and practices to prevent the unauthorized acquisition, use, modification, disclosure, or destruction of personal information collected or maintained in the regular course of business.” This puts Delaware in line with 14 other states that require private organizations to maintain reasonable data security practices. It also makes private organization susceptible to liability for failing to maintain adequate security procedures, even where notification of a breach is not required.</p><h3 class="gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Definition of Personal Information</span></h3><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">Delaware’s law previously defined “personal information” as a Delaware resident’s first name or first initial and last name in combination with their (1) Social Security number, (2) driver’s license number or state identification number, or (3) account number, credit card number or debit card number in combination with any required security code, access code or password that would permit access to a financial account. The revised law adds the following data elements to the definition of “personal information,” which continues a trend of states focused on protecting information related to health, technology and personal finance:</p><ul style="margin:0px;padding:0px 0px 0px 1.2em;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px"><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Federal identification number</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Passport number</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Username or email address in combination with a password or security question and answer that would permit access to an online account</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Medical history, treatment or diagnosis by a health care professional</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">DNA profile</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Health insurance identification number</p></li><li><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:717.375px">Taxpayer identification number. </p></li></ul><h3 class="gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Threshold for Notification – Risk of Harm & Encryption Safe Harbor</span></h3><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">Notification to affected individuals (and in certain instances the Delaware Attorney General) is not required if the company reasonably determines through an investigation that the data breach is unlikely to result in harm to the affected individuals. Notification also is not required if the breach involves encrypted data, unless the breach includes the encryption key that could reasonably render the data readable or useable, which is another new element of the law.</p><h3 class="gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Timing</span></h3><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">Notification to affected individuals must be made “without unreasonable delay” and within 60 days after discovering the breach. Some states have more restrictive timelines, such as Florida, which requires notification within 30 days, and Vermont, Ohio, Rhode Island and Washington, which require notification within 45 days. Whereas the previous law required notification “in the most expedient time possible,” the amendment offers clear guidance. The amendment further notes that the new timing requirement does not apply where a shorter time is required under federal law or if law enforcement requests that notice be delayed so as not to impede a criminal investigation.</p><h3 class="gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Attorney General Notification</span></h3><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">If the breach affects more than 500 Delaware residents, companies are required to notify the Delaware Attorney General “not later than the time when notice is provided to the resident.” Similar to the previous law, the Attorney General may bring an action in law or equity to ensure proper compliance or to “recover direct economic damages resulting from a violation.”</p><h3 class="gmail-rtejustify" style="text-align:justify;margin:5px 0px;color:rgb(25,76,129);font-family:Oswald,sans-serif;font-weight:400;font-size:14px"><span style="font-weight:800">Credit Monitoring Now Required</span></h3><p class="gmail-rtejustify" style="line-height:20px;margin:10px 0px;text-align:justify;width:732.969px;color:rgb(0,0,0);font-family:Merriweather,serif;font-size:13px">If the breach includes an individual’s Social Security number, companies are required to offer credit monitoring and identity theft protection services for one year. California and Connecticut are the only other states with such a requirement.</p><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><b><span style="font-size:10pt"></span></b><span style="font-size:10pt"></span><span style="font-family:arial,helvetica,sans-serif"></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>