<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><a href="https://www.huntonprivacyblog.com/2018/06/07/oregon-amends-data-breach-notification-law/">https://www.huntonprivacyblog.com/2018/06/07/oregon-amends-data-breach-notification-law/</a><br><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div class="gmail-lxb_af-post_content gmail-lxb_af-clear"><p>On June 2, 2018, <a href="https://olis.leg.state.or.us/liz/2018R1/Downloads/MeasureDocument/SB1551" target="_blank" rel="noopener">Oregon’s amended data breach notification law</a>
 (“the amended law”) went into effect. Among other changes, the amended 
law broadens the applicability of breach notification requirements, 
prohibits fees for security freezes and related services provided to 
consumers in the wake of a breach and adds a specific notification 
timing requirement.<span id="gmail-more-16431"></span></p>
<p><strong>Key Provisions of the Amended Law Include:</strong></p>
<ul>
<li><strong>Definition of Personal Information:</strong> Oregon’s 
definition of personal information now includes the consumer’s first 
name or initial and last name combined with “any other information or 
combination of information that a person reasonably knows or should know
 would permit access to the consumer’s financial account.”</li>
<li><strong>Expanded Scope of Application:</strong> Instead of applying 
only to persons who “own or license” personal information that they use 
in the course of their business, the amended law now also applies to any
 person who “otherwise possesses” such information and uses it in the 
course of their business. It also requires notice when an organization 
receives a notice of breach from another person that “maintains or 
otherwise possesses personal information on the person’s behalf.” 
Persons who maintain or otherwise possess information on behalf of 
another must “notify the other person as soon as is practicable after 
discovering a breach of security.”</li>
<li><strong>Notice Requirements:</strong> The amended law adds a new 
notice deadline. Notice of a breach of security must be given in the 
“most expeditious manner possible, without unreasonable delay,” and not 
later than 45 days after discovering or being notified of the security 
breach. Also, while the amended law exempts entities that are required 
to provide breach notification under certain other requirements (e.g., 
federal laws such as HIPAA), such entities are now required to provide 
the Attorney General with any notice sent to consumers or regulators in 
compliance with such other requirements.</li>
<li><strong>Providing Credit Monitoring Services:</strong> If 
organizations offer consumers credit monitoring services or identity 
theft prevention or mitigation services in connection with their notice 
of a breach, they cannot make those services contingent on the consumer 
providing a credit or debit card number, or accepting another service 
that the person offers to provide for a fee. The terms and conditions of
 any contract for the provision of these services must embody these 
requirements.</li>
<li><strong>Prohibiting Fees for Security Freezes:</strong> Under the 
amended law, consumer reporting agencies are prohibited from charging a 
consumer a fee for “placing, temporarily lifting or removing a security 
freeze on the consumer’s report,” creating or deleting protective 
records, placing or removing security freezes on protected records, or 
replacing identification numbers, passwords or similar devices that the 
agency previously provided.</li>
</ul>
</div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>