2023: een druk jaar voor de Amerikaanse privacywetgeving

Door Danny Bradbury • 10 januari 2024

Dankzij een verdeeld Huis bevindt het Amerikaanse Congres zich misschien midden in een disfunctionele malaise, maar dat weerhoudt vertegenwoordigers er niet van om in 2023 een stortvloed aan privacygerelateerde wetsvoorstellen in te dienen. Volgens de International Association of Privacy Professionals (IAPP) Het Congres heeft sinds de start in januari in totaal 27 privacywetten geïntroduceerd, die een reeks onderwerpen bestrijken, van toezicht op de werkplek tot AI en onderwijs. Deze wetsvoorstellen weerspiegelen de brede zorgen over privacy in een breed spectrum van het Amerikaanse leven.

Privacy in een post-Roe-tijdperk

Verschillende wetsvoorstellen probeerden de privacyrechten van vrouwen op reproductieve gezondheid te beschermen na de vernietiging van Roe v. Wade door het Hooggerechtshof in juni 2022. Wetgevers hebben hun bezorgdheid geuit over het gebruik van persoonlijke gegevens om de activiteiten van zwangere vrouwen te volgen, terwijl de anti-abortuswetgeving van de staat zich steeds verder verspreidt. met Stories van privacyschendingen. De HANDHAVEN Privacywet, geïntroduceerd op 2 maart, zou het verzamelen van locatie- en gezondheidsgegevens voor advertenties verbieden, samen met de verkoop ervan aan datamakelaars, terwijl de Mijn lichaam, mijn gegevenswet zou de verzameling van reproductieve gezondheidsgegevens tot een minimum beperken.

Sommige wetsvoorstellen zouden meer samenwerking creëren tussen het Department of Health and Human Services (HHS) en de FTC om mensen te beschermen tegen het volgen van gezondheidsgegevens. De HHS Ombudsmanwet voor reproductieve en seksuele gezondheid en Wet bescherming seksuele en reproductieve gezondheid zou een ombudsman bij de HHS oprichten om met de FTC samen te werken om privacyproblemen met betrekking tot reproductieve gezondheidsgegevens aan te pakken.

Gegevensprivacy in een tijdperk van AI

Algoritmische transparantie was een groot probleem op de Hill toen de dreiging van meer alomtegenwoordige AI groeide. De Wet op de transparantie van algoritmische rechtvaardigheid en onlineplatforms zou het voor een onlineplatform onwettig maken om AI te gebruiken op een manier die iemand van zijn burgerrechten berooft. Dit omvat ook het discrimineren van gebruikers. De Geen Robot Bosses Act Dit zou werkgevers ervan weerhouden uitsluitend op geautomatiseerde systemen te vertrouwen bij het nemen van arbeidsbeslissingen op de werkplek.

Het valt nog te bezien hoe dit soort wetsvoorstellen naast de bredere poging van senator Chuck Schumer zullen staan om AI in de VS te reguleren. In april zei de meerderheidsleider in de Senaat aangekondigde plannen een wetgevend kader creëren dat het verantwoorde gebruik van de technologie regelt.

Andere opmerkelijke federale privacywetten op de werkplek waren onder meer een wetsvoorstel om onredelijk toezicht op werknemers aan te pakken. De Stop het bespioneren van bazen, een wetsvoorstel van de Senaat, zou de openbaarmaking van bepaalde soorten gegevensverzameling over werknemers verbieden of vereisen, terwijl de No Robot Bosses Act.

Het gebruik van onze gegevens door grote technologiebedrijven beperken

De Algorithmic Justice and Online Platform Transparency Act is slechts een van de vele wetsvoorstellen die proberen de macht van grote technologieplatforms te beheersen. Deze omvatten die van de Senaat Wet Platformverantwoording en Transparantie, wat de FTC zou verplichten de rapportage van platforms rond inhoudsmoderatie en algoritmen te reguleren. Een ander, de Wet ter vermindering van misleidende ervaringen voor onlinegebruikers, zou 'donkere patronen' aanpakken; trucs voor de gebruikersinterface die onlineplatforms gebruiken om persoonlijke informatie van gebruikers af te persen. De Wet toezichthoudende reclame verbieden zou gerichte reclame door advertentiebedrijven en hun klanten verbieden (maar helaas zou het wel advertenties toestaan waarbij gebruik wordt gemaakt van contextuele en locatiegebaseerde gegevens).

Bredere wetgeving inzake de bescherming van de consumentenprivacy

Er waren ook enkele pogingen om het soort bredere wetgeving inzake consumentenprivacy door te voeren die op staatsniveau is ontstaan. De Wet gegevenszorg zou een zorgplicht, loyaliteit en vertrouwelijkheid opleggen aan aanbieders van onlinediensten en de FTC in staat stellen deze af te dwingen.

De Online privacywet zou verder gaan en een Digital Privacy Agency oprichten dat de privacyrechten zou afdwingen, inclusief de mogelijkheid voor consumenten om hun persoonlijke informatie in te zien, te corrigeren, te verwijderen of te verplaatsen. Het legt ook eisen op het gebied van dataminimalisatie op aan dienstverleners in een sterke wet die veel lijkt op de California's Consumer Privacy Act en zijn opvolger, de California Privacy Rights Act. Nog een wetsvoorstel, de Gegevenseliminatie en -beperking Uitgebreide wet op volgen en uitwisselen, zou een gecentraliseerd register creëren waarmee individuen kunnen verzoeken dat gegevensmakelaars hun persoonlijke gegevens verwijderen, wat ook weerklinkt De DELETE-wet van Californië.

Er is dit jaar één opmerkelijke afwezigheid in de verzameling van brede wetten ter bescherming van de consumentenprivacy: de American Data Privacy and Protection Act (ADPPA). Dit wetsvoorstel uit 2022 werd met 53 stemmen tegen 2 door de commissie aangenomen, maar haalde de Tweede Kamer niet. In mei van dit jaar hield de Subcommissie Innovatie, Data en Handel van de House Committee on Energy and Commerce echter een hoorzitting waarin vaak werd verwezen naar maatregelen in de ADDPA. Het wetsvoorstel is niet opnieuw ingediend, maar het huidige congres duurt nog een jaar.

Een van de unieke kenmerken van de ADPAA – afgezien van het feit dat het het enige brede wetsvoorstel ter bescherming van de consumentenprivacy is dat de commissie heeft verlaten – was het voorrang op de staatswetgeving. Dat zal sommige staten waarschijnlijk boos maken, vooral omdat nog veel meer staten druk bezig zijn met het voorstellen van hun eigen wetgeving ter bescherming van de consumentenprivacy, zoals die van Californië en Virginia. Delaware, Indiana, Iowa, Montana, Oregon, Tennessee en Texas hebben dit jaar wetgeving aangenomen, terwijl andere staten rekeningen in overweging nemen. Deze omvatten Main, Massachusetts (waar er drie in de maak zijn), Michigan, New Jersey, North Carolina, Ohio, Pennsylvania en Wisconsin – meer over al die hier.

Voorbereiding op elk wetgevingsscenario

Het is gemakkelijk om een wetsvoorstel in de Tweede Kamer in te dienen. Het uit de commissie halen en via een stemming in de Senaat naar de Senaat gaan is veel complexer. Veel rekeningen komen nooit zo ver. Nu er een nieuwe voorzitter van het Huis van Afgevaardigden uit het linkerveld komt die een aanzienlijke invloed zal hebben op welke wetgeving werkelijk wordt overwogen, valt nog te bezien welke van deze voorgestelde wetten ergens toe zullen leiden.

In de tussentijd moeten bedrijven ervoor zorgen dat ze voorbereid zijn op eventuele juridische eventualiteiten. Met dat in gedachten kunnen beveiligingsframeworks zoals ISO 27001 0r 27701 of die van NIST Privacykaderbieden de belangrijkste basisprincipes om organisaties te helpen zich voor te bereiden op de naleving van welke vereisten dan ook die op hun pad komen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury