Articles

Ad Law Access

In het kader van Data Privacy Day is het vandaag een goed moment om te inventariseren hoe de Amerikaanse privacywetgeving zich verhoudt tot de ontwikkelingen van de afgelopen jaren. In minder dan twee jaar tijd zijn de GDPR en de CCPA de meest uitgebreide privacywetten geworden die van kracht zijn, waarbij aan personen uitgebreide rechten op hun informatie zijn toegekend, talrijke verantwoordingsverplichtingen zijn ingevoerd en aan de autoriteiten de bevoegdheid is verleend om potentieel hoge boetes op te leggen. (Voor meer informatie over de GDPR, zie onze blogposts, waaronder die hier en hier.)

De CCPA heeft een debat ontketend over de vraag of de CCPA de “Amerikaanse benadering” van privacy verwerpt of handhaaft. Sommige waarnemers hekelden de CCPA omdat deze afwijkt van de “Amerikaanse aanpak” van “grotendeels ongeoorloofde innovatie met een post hoc regelgevend antwoord op concrete schade”. Anderen bekritiseerden de CCPA omdat deze het verzamelen en gebruiken van persoonsgegevens in het algemeen toestaat, tenzij dit verboden is door een “specifieke rechtsregel.”

Dit debat zal waarschijnlijk niet snel of definitief worden opgelost, maar het is duidelijk dat op federaal niveau en op het niveau van de staten de Amerikaanse privacywetgeving waarschijnlijk zal worden uitgebreid. Terwijl sommige staten – waaronder Washington en Virginia – uitgebreide wetsvoorstellen overwegen die door de GDPR zijn beïnvloed, blijven staten ook wetten overwegen en toevoegen die betrekking hebben op specifieke gegevenspraktijken, wat kan leiden tot verdere versnippering van de Amerikaanse privacywetgeving en extra nalevingsuitdagingen voor bedrijven.

Hoe moeten bedrijven omgaan met het onzekere pad dat de privacywetgeving in de VS bewandelt? Een alomvattende, holistische kijk op de gegevenspraktijken van een organisatie is vaak de sleutel tot naleving van de huidige vereisten (zoals de CCPA) en zal waarschijnlijk ook een effectieve manier zijn om de uiteenlopende staatswetten te beheren naarmate deze zich ontwikkelen.

Naar alomvattende staatsprivacywetten

De GDPR heeft een belangrijke impact gehad op de wereldwijde privacywetgeving. Onder meer Argentinië, Brazilië, Maleisië en Uruguay hebben privacywetten aangenomen die naar het model van de GDPR zijn opgesteld. De CCPA bevat verscheidene GDPR-elementen, zoals het recht op toegang en op verwijdering, hoewel er nog belangrijke verschillen bestaan. (Voor een meer gedetailleerde vergelijking van de GDPR en de CCPA, zie onze vergelijkingstabel hier). Bovendien dringen wetgevers in de staat Washington momenteel aan op een Washington Privacy Act (SB 6281), een nieuwe verordening inzake gegevensprivacy en gezichtsherkenning. Het wetsvoorstel verwijst expliciet naar de GDPR en stelt: “De Europese Unie heeft onlangs haar privacywetgeving geactualiseerd door de goedkeuring en implementatie van de algemene verordening gegevensbescherming, die haar inwoners de sterkste privacybescherming ter wereld biedt. De inwoners van Washington hebben recht op dezelfde robuuste privacywaarborgen” (onderstreping toegevoegd). Ook in Virginia wordt privacywetgeving overwogen die consumenten het recht geeft hun gegevens in te zien en na te gaan of ze aan een gegevensmakelaar zijn verkocht (HB 473). Het wetsvoorstel van Virginia zou in grote lijnen de GDPR-consumentenrechten volgen, waaronder het recht op toegang, correctie, wissen en het recht om af te zien van verdere verwerking.

De verschillen: Een voorbeeld

Andere aspecten van de “Amerikaanse aanpak” van privacy houden stand tegen de beweging in de richting van alomvattende wetten. Biometrische privacy is een voorbeeld van de verschillende benaderingen van de EU en de VS. In de EU vallen biometrische gegevens onder de GDPR als een “speciale categorie persoonsgegevens”, en bedrijven mogen deze gegevens niet verwerken tenzij ze daarvoor uitdrukkelijk toestemming hebben gekregen, of de verwerking voldoet aan andere strenge gronden voor rechtmatige verwerking die in alle EU-lidstaten van toepassing zijn. Ook als onderdeel van de GDPR moet elke ongeoorloofde toegang tot of verwerving van biometrische gegevens die een datalek vormt, binnen 72 uur aan de relevante autoriteit worden gemeld.

In de Verenigde Staten is biometrische privacy (vooralsnog) een kwestie van staatsrecht, aangevuld met een handvol handhavingsbevelen die betrekking hebben op biometrische gegevens. Slechts drie staten hebben relevante wetgeving op dit gebied – Illinois, Washington en Texas – en de reikwijdte van en de eisen in het kader van deze wetten lopen sterk uiteen. Zo kunnen biometrische gegevens bij compromittering aanleiding geven tot verplichtingen inzake de kennisgeving van inbreuken op persoonsgegevens, maar of die verplichtingen al dan niet worden opgelegd, verschilt van staat tot staat. Een belangrijk onderscheid ligt ook in de handhavingsmogelijkheden – de biometrische wet van Illinois kent een particulier vorderingsrecht, terwijl de wetten van Texas en Washington dat niet kennen. Bovendien kunnen wetten als HIPAA en Titel VII in sommige situaties extra bescherming bieden.

Naast de VS en de EU volgen landen het voorbeeld van Europa. Zeer weinig landen hebben specifieke wetten die biometrische gegevens regelen, en in plaats daarvan vallen deze gegevens onder een nationale wet, die vaak eisen inzake geïnformeerde toestemming en rechten van de betrokkene bevat. Hoewel het de vraag blijft hoe beschermend deze aanpak is waar het biometrische gegevens betreft, zijn er maar heel weinig landen die deze vragen aanpakken door middel van wetten die van toepassing zijn op sectoren of gebieden.

De implicaties: Een Gesprek

De EU-benadering van privacy lijkt wereldwijd te winnen, maar de Amerikaanse beleidsmakers laten meer gerichte eisen die specifieke gegevenspraktijken aanpakken, niet links liggen. Deze versnipperde aanpak kan echter ook verwarring, complexiteit en kosten veroorzaken. De eis van de CCPA “Verkoop mijn persoonlijke informatie niet” zou bijvoorbeeld snel onpraktisch kunnen worden als staten verschillende definities van het “verkopen” van persoonlijke informatie zouden hanteren.

Congresleden die een federale privacywet overwegen, hebben de kans om te beslissen hoeveel van de Amerikaanse aanpak en hoeveel van de EU-aanpak ze in een alomvattende federale wet ter bescherming van persoonlijke informatie willen opnemen, en ook om te beslissen of ze preëmption en een particulier vorderingsrecht willen opnemen. We zullen nauwlettend in de gaten houden hoe zij zullen beslissen.

Bodem, dit is nog maar het begin voor wetgeving op het gebied van gegevensprivacy. De rechten van consumenten op het gebied van gegevens, de eisen op het gebied van governance en verantwoordingsplicht en de regelgevingsstructuren zullen zich zeker ontwikkelen en waarschijnlijk nog verder worden uitgebreid. Bedrijven die hun privacyprogramma’s op de toekomst willen afstemmen, moeten de tijd nemen om inzicht te krijgen in hun gegevenspraktijken, in de soorten persoonlijke informatie die ze verzamelen en bewaren, waar die informatie zich bevindt, waarom en hoe lang ze die nodig hebben, en of de persoonlijke informatie voldoende beschermd is tegen compromittering.

Laat een antwoord achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *