Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.3.4
II.3.4 California Civil Code: Security of Information en Security Breach Notification Law
12
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278819:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Cal. Civ. Code § 1798.81.5.
Cal. Civ. Code § 1798.82(a).
“own, license or maintain”, Cal. Civ. Code § 1798.81.5.
Cal. Civ. Code § 1798.81.5.(2)(b).
Vergelijkbaar met de Europese verwerkingsovereenkomst.
Ter verduidelijking heeft de Attorney General in 2016 een rapport uitgebracht waarin voorbeelden staan opgenomen, zie: K. Harris, ‘California data breach report 2012-2015’, California Department of Justice, februari 2016 (te raadplegen via https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf).
L. Determann, ‘New California Data Security and Breach Notification Requirements’, Bloomberg Law September 2016.
Cal. Civ. Code § 1798.81.5(d)(1) en 1798.82.
Als de onderschepte gegevens zijn versleuteld (‘encrypted’), dan hoeft de inbreuk niet gemeld te worden. Cal. Civ. Code 1798.82(i)(4): “For purposes of this section, “encrypted” means rendered unusable, unreadable, or indecipherable to an unauthorized person through a security technology or methodology generally accepted in the field of information security.”
Cal. Civ. Code § 1798.82(a). De wet vereist niet dat die verkregen informatie ook daadwerkelijk moet zijn gebruikt, wat een van de punten is die in deze wet als controversieel worden beschouwd, zie F. Garcia, ‘Data protection, breach notification, and the interplay between state and federal law: the experiments need more time’, Fordham Intellectual Property, Media and Entertainment Law Journal 2007, vol. 17-3, p. 693-727.
Cal. Civ. Code § 1798.82(a). Hierop kan een uitzondering worden gemaakt indien de melding een strafrechtelijk onderzoek zou doorkruisen.
Cal. Civ. Code § 1798.82(f).
Voorbeelden zijn de lettergrootte (minimaal tien), het formaat (zodanig dat het de aandacht trekt), de titel (“Notice of Data Breach”), het taalniveau (plain language), et cetera. Cal. Civ. Code § 1798.82(d).
Connecticut: S.B. 949, sec. 36a-701b(2)(b); Delaware Code 6.II § 12B 102(e).
Cal. Civil Code § 1798.82(d)(2)(G).
Bijvoorbeeld in Maine, Massachusetts, New York, Ohio, Oklahoma, Oregon, Utah. De Attorneys General spelen dan ook een grote rol bij het uitzetten van beleid en strategie ten aanzien van gegevensbescherming; zie D. Citron, ‘The privacy policymaking of State Attorneys General’, Notre Dame Law Review 2016/92-2, p. 747-816.
Cal. Civ. Code § 1798.84(b): “Any customer injured by a violation of this title may institute a civil action to recover damages.” In totaal kennen elf staten een civil right of action toe.
Cal. Civ. Code § 1798.84(c).
Sony Gaming Networks & Customer Data Sec. Breach Litigation, 996 F. Supp. 2d 942, 965, 1009-10 (S.D. Cal. 2014), p. 89.
In re: Yahoo! Inc. Customer Data Security Breach Litigation, U.S. D.C. California, 16-MD02752-LHK.
Op grond van de California Civil Code zijn bedrijven die gegevens van Californische ingezetenen bezitten of anderszins onder zich houden3 verplicht om redelijke beveiligingsprocedures te implementeren en te onderhouden. De te treffen beveiligingsmaatregelen moeten passen bij de aard van de persoonsgegevens en dienen bescherming te bieden tegen onbevoegde toegang tot de gegevens, alsook vernietiging, wijziging en openbaarmaking daarvan.4 Bedrijven zijn gehouden om deze verplichting contractueel ‘door te leggen’ op een derde partij waarmee de gegevens worden uitgewisseld.5 Wat deze ‘redelijke’ maatregelen inhouden, blijkt niet uit de wet en volgt evenmin duidelijk uit de jurisprudentie.6
Naast deze beveiligingsvoorschriften kent de California Civil Code een bepaling waarmee California in 2003 de wereldprimeur had: de verplichting voor bedrijven en overheidsorganen om ingezetenen van California op de hoogte te stellen van datalekken.7 Het gaat daarbij om personal information, een begrip dat in de wet expliciet en limitatief wordt gedefinieerd. Personal information houdt in een (voor- en achter)naam, gecombineerd met een ander element zoals een social security number, rijbewijsnummer, medische informatie of creditcardnummer mét code.8
Er is sprake van een inbreuk indien niet-versleutelde9 gegevens (naar redelijk vermoeden kunnen) zijn verkregen door een onbevoegd persoon.10 De melding dient zonder onredelijke vertraging en binnen de meest passende termijn te worden gedaan aan de betrokkenen.11 Alleen bij een inbreuk met meer dan vijfhonderd betrokkenen dient ook aan de Attorney General te worden gemeld.12 De vorm en inhoud van de melding zijn gedetailleerd omschreven en richten zich op de kenbaarheid en begrijpelijkheid voor de betrokkene.13 Anders dan in bijvoorbeeld Connecticut en Delaware kent California geen verplichting om schadebeperkende diensten, zoals credit monitoring, aan te bieden.14 Worden deze diensten evenwel vrijwillig aangeboden, dan dient dit gratis te zijn en voor minstens 12 maanden.15
In veel Amerikaanse staten is de handhaving, waaronder een boetebevoegdheid, expliciet toegekend aan de Attorney General.16 In California is dit niet het geval. De Californische wet creëert de (civiele) mogelijkheid voor betrokkenen om hun schade te verhalen bij overtreding daarvan.17 Zij kunnen een civil penalty vorderen van $ 500,- tot $ 3.000,- per overtreding.18
Een bedrijf kan aansprakelijk worden gehouden voor een niet-tijdige melding, met dien verstande dat de benadeelde moet aantonen dat de schade is veroorzaakt door de vertraging en niet (enkel) door de inbreuk zelf.19 Een voorbeeld van een grote class action onder (onder andere) de Californische wetgeving is de zaak tegen Yahoo!, waarover het District Court in California zich op 30 augustus 2017 uitsprak.20 Het District Court nam daarin onder andere aan dat de benadeelden schade hadden geleden doordat Yahoo! een (drietal) datalek(ken) niet direct aan de betrokkenen had gemeld. Het datalek was de oorzaak van onder andere identiteitsfraude, maar door de te late melding was benadeelden de gelegenheid ontnomen om zelf schadebeperkende maatregelen te treffen. Hadden zij die mogelijkheid wel gehad, dan was de schade wellicht in het geheel niet ingetreden.