Dat op 25 mei 2018 de AVG van toepassing is geworden, zal niet veel mensen ontgaan zijn. Zelfs in Sillicon Valley (Californië) - de bakermat van techbedrijven in de wereld - zijn ze van deze ontwikkeling op de hoogte. Op 28 juni 2018 is in Californië de ‘California Consumer Privacy Act’ (de CCPA) aangenomen, een nieuwe wetgeving om de persoonsgegevens van consumenten in deze staat te beschermen. Deze CCPA heeft aardig wat weg van ‘onze’ AVG. In deze blog bespreken we de totstandkoming van deze nieuwe wet, de weerstand tegen de wet en de mogelijke invloed van de CCPA.
Europa heeft met de invoering van de AVG laten zien dat veel waarde wordt gehecht aan de privacy van de burger en de bescherming van persoonsgegevens - door de wetgeving te harmoniseren. Sommige bedrijven, zoals Microsoft, hebben beloofd om over de hele wereld overeenkomstig de AVG te handelen. Dit houdt in dat de AVG een globaal effect kan hebben. Andere bedrijven, zoals Facebook, reageerden echter niet zoals verwacht. Zo heeft Facebook in april 2018 data van bijna 1,5 miljard gebruikers uit Ierland weggehaald en verplaatst naar Amerika, waar de wetgeving minder strikt is dan in de EU (mits de verwerking van persoonsgegevens niet op gebruikers uit de EU ziet, dan is de AVG namelijk van toepassing op Facebook).
In Amerika ligt de databeschermingswetgeving verankerd in het consumentenrecht. Amerika lijkt meer waarde te hechten aan economische belangen en de vrijheid van meningsuiting, waardoor deze belangen prevaleren boven het recht op privacy. Mogelijk verandert dit in Californië door het aannemen van de CCPA. Opvallend genoeg zijn de grootste bedrijven die veel persoonlijke data verwerken, zoals Google en Facebook gevestigd in Californië. Voor hen en voor andere bedrijven die zich richten op burgers uit Californië heeft deze nieuwe wetgeving invloed.
De CCPA werd in een recordtijd, unaniem aangenomen en daarna getekend door de Gouverneur van Californië, Jerry Brown. Het vormt een van de meest uitgebreide wetten van Amerika en heeft als doel om ongewenste praktijken van gegevensverzameling tegen te gaan, en de bijna 40 miljoen inwoners van de staat te beschermen tegen grote privacyschendingen, zoals het afgelopen Cambridge Analytica-schandaal. De reden dat de wet zo snel werd ondertekend door de wetgevende macht was om een stemming over een strikter voorstel door burgers te voorkomen in november. Er was namelijk een zogenaamde ‘Ballot initiative’ ingesteld door privacy-activisten, waarbij zij genoeg handtekeningen hadden verzameld wat hen in staat stelde om een voorstel tot wijziging door te voeren. Deze is door de nieuwe wetgeving teruggetrokken door de activisten.
Mogelijk zal de nieuwe privacywetgeving invloed hebben op de rest van Amerika. De (strikte) standaard is nu gezet en zal wellicht als een basis overgenomen worden door bedrijven, in plaats van dat bedrijven ‘per staat’ hun privacybeleid aan gaan passen.
Veel van wat online wordt aangeboden, wordt gevormd door wat bedrijven over consumenten weten. De voorkeuren van een consument en bijvoorbeeld informatie over financiën worden verzameld door de digitale ‘broodkruimels’ die door de consument worden verspreid, terwijl gebruik wordt gemaakt van het internet. Consumenten zouden duidelijker inzicht moeten krijgen wat er met hun gegevens gebeurt.
Het doel van de CCPA is dan ook om consumenten inzicht te geven hoe bedrijven persoonsgegevens over hen verzamelen en beheren. Het zal voor consumenten duidelijk worden waarom bepaalde gegevens verzameld worden en met wie deze gegevens gedeeld worden. Daarnaast geeft de wet consumenten het recht om gegevens te laten verwijderen en het recht om gegevens niet door te laten verkopen aan derden. Ook zal er een opt-in systeem komen voor kinderen onder de 16 jaar, voordat data over hen mag worden gedeeld of worden verkocht.
Grote techbedrijven zoals Facebook, Google, Comcast, AT&T en Verizon waren eerder een samenwerking aangegaan om deze nieuwe privacywetgeving tegen te gaan. Maar met het Cambridge Analytics-schandaal, waarbij 87 miljoen gebruikers werden ‘getroffen’, heeft Facebook haar publiekelijke mening tegen de wet teruggetrokken.
Aankomende maanden zullen techbedrijven veel gaan lobbyen om de meest ‘strenge’ maatregelen van de wet af te laten zwakken. De wet treedt namelijk pas in 2020 in werking en kan tot die tijd nog worden aangepast en gewijzigd. De Internet Association, vertegenwoordiger van de leidende globale internetbedrijven bij politieke zaken, noemt de consumenten privacywetgeving een ‘last-minute’ deal die gecorrigeerd dient te worden. Of de persoonsgegevens van consumenten in Californië daadwerkelijk goed beschermd zullen worden, zal dus afhangen van de mate waarin de oppositie de wetgevers weet te overtuigen.
De verwachting is dat er niet zo veel verandert voor bedrijven binnen Europa - die tevens gegevens verwerken van inwoners uit Californië. De CCPA lijkt in de huidige vorm zó veel op de AVG dat een bedrijf dat aan de vereisten van de AVG voldoet, eigenlijk meteen voldoet aan de privacywetgeving van Californië.
De toekomst zal ons leren in welke vorm de CCPA uiteindelijk ingevoerd gaat worden in 2020 en wat de reactie van andere staten uit de VS zal gaan zijn.
Deze blog is geschreven door stagiaire Merel van ’t Hof, in samenwerking met Fay Kartner.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.