De Amerikaanse federale overheid heeft een behoorlijk deel van de voorgestelde brede consumentenprivacywetten gezien, die allemaal lijken te verwelken. De nieuwste versie kan anders zijn.
Hoewel de meeste andere wetgevingspogingen partijdig waren, hebben de auteurs van de Amerikaanse Privacy Rights Act (APRA), Rep. Cathy McMorris Rodgers (R-WA) en senator Maria Cantwell (D-WA), komen van beide kanten van de Senaatsvloer. Senator Cantwell gekant tegen APRA's voorganger, de Amerikaanse Data Privacy and Protection Act (ADPPA), dat in 2022 het bureau van de president niet bereikte. Nu is zij de tweeledige auteur van de vervanging ervan. Hoewel dit voorstel nog maar een discussieontwerp is, zou dit alleen al het dichtst bij een AVG-achtig Amerikaans federaal wetsontwerp tot nu toe kunnen komen.
Brede dekking
Indien aangenomen, zouden organisaties die onder de reikwijdte van APRA vallen, de normen voor gegevensminimalisatie moeten volgen en deze alleen voor beperkte doeleinden moeten verzamelen. Consumenten zouden toegang kunnen krijgen tot hun gegevens, kunnen eisen dat deze worden verwijderd, gecorrigeerd en geëxporteerd, en zouden zich kunnen afmelden voor niet-gevoelige gegevensoverdracht aan derden. Ze zouden zich ook moeten aanmelden voor de overdracht van gevoelige gegevens.
Organisaties die onder de wet vallen, zijn organisaties die het doel van het verzamelen of verwerken van gegevens bepalen en die onder de FTC-wet vallen. Er is een subgroep van grote datahouders met hogere minimumdrempels ($250 miljoen en vijf miljoen mensen), waarvan de leden met strengere beperkingen te maken krijgen. Bedrijven die jaarlijks minder dan 40 miljoen dollar verdienen en de gegevens van niet meer dan 200,000 mensen verwerken, vallen buiten het toepassingsgebied ervan.
De wet heeft betrekking op gegevens die redelijkerwijs aan een apparaat kunnen worden gekoppeld, maar niet op openbare of werknemersinformatie. Er is ook een subset van gevoelige gegevens die gegevenspunten omvat zoals: gezondheid; biometrische (geen foto's, audio of video) en genetische informatie; race; etniciteit; nationale afkomst; religie; en seks; samen met financiële rekening- en betalingsgegevens. Deze gevoelige categorie gaat breder en omvat nauwkeurige geolocatie-informatie, inloggegevens, privécommunicatie, telefoonlogboeken en zelfs agendagegevens.
Er zijn ook enkele expliciete definities, waaronder foto's en opnames voor privégebruik, naakte of privéafbeeldingen en informatie die seksueel gedrag onthult.
Ben Sperry, senior wetenschapper innovatiebeleid bij het International Centre for Law & Economics, maakt zich zorgen over een bepaald gegevenstype in de categorie gevoelige gegevens: online activiteiten die in de loop van de tijd en op websites van derden worden verzameld.
“Dit is over het algemeen hoe gericht adverteren werkt”, vertelt hij aan ISMS.online, eraan toevoegend dat het inperken van de mogelijkheid om advertenties te targeten gevolgen zal hebben voor de bedrijfsmodellen van online platforms en de makers van inhoud die deze gebruiken.
Brede verplichtingen
De verplichtingen voor degenen die onder het wetsvoorstel vallen, zijn talrijk. Er is een sectie die manipulatiepraktijken verbiedt die bedoeld zijn om de aandacht van consumenten af te leiden van hun privacyrechten (bekend als 'donkere patronen'), en een andere sectie die passende beveiligingspraktijken verplicht stelt. Nog een ander probleem vereist due diligence bij het selecteren van externe dienstverleners die gebruikersgegevens zullen verwerken.
Algoritmen zijn ook onderworpen aan regelgeving in het kader van de voorgestelde wet, waarbij grote gegevenshouders verplicht zijn om effectbeoordelingen uit te voeren op degenen met een “vervolgrisico op schade”. Zij moeten deze melden aan de FTC. Consumenten zouden het recht hebben om zich af te melden voor deze algoritmen.
De betrokken organisaties zouden een privacybeleid moeten publiceren waarin de doeleinden van de gegevensverwerking worden uitgelegd en hoe lang deze zullen worden bewaard. Het beleid zou derde partijen moeten vermelden aan wie de gegevens worden overgedragen, inclusief datamakelaars. De FTC zou ook een register voor gegevensmakelaars moeten opzetten met een opt-outmogelijkheid voor consumenten.
De FTC speelt een belangrijke rol in deze wetgeving en fungeert als handhavingsorgaan voor zover zij deze zou beëindigen Regelgeving inzake commercieel toezicht en gegevensbeveiliging toen de wet in werking trad.
Ashley Johnson, senior beleidsmanager bij de lobbygroep voor de technologie-industrie, de Information Technology & Innovation Foundation (ITIF), noemt de rol van de FTC als knelpunt voor het voorgestelde wetsvoorstel. De eis voor een opt-out centraal FTC-register ondermijnt de opt-out-bepalingen voor gedekte gegevens, vertelt ze aan ISMS.online, eraan toevoegend dat dit de advertentie-inkomsten voor online diensten zou doen dalen.
Wiens wet telt?
Een ander twistpunt is welke wetten voorrang zouden krijgen; APRA of wetgeving op staatsniveau. In zijn huidige vorm zou de federale wet voorrang hebben op staatswetten – behalve wanneer dat niet het geval is, wat, zo blijkt, vrij vaak gebeurt.
“Hoewel APRA ernaar streeft een nationale norm vast te stellen, probeert het ook de sterke bescherming van staatswetten zoals die in Californië, Illinois en Washington te integreren”, waarschuwt Perla Khattar, een promovendus aan het Tech Ethics Lab van de University of Notre Dame Law School. . “Het balanceren van deze doelstellingen om de zorgen van staten met robuuste privacybescherming weg te nemen, vormt een complexe uitdaging.”
De pre-emption-kwestie speelt in op een ander spanningspunt: het wetsvoorstel voorziet in particuliere rechtszaken naast straffen van de procureurs-generaal en de FTC. Dit zorgt ervoor dat ITIF zich zorgen maakt over op hol geslagen kosten.
“Onder de Illinois Biometric Information Privacy Act (BIPA) zijn er enorme schikkingen van rechtszaken geweest in de orde van miljoenen dollars, alleen al voor die ene staatswet”, zegt Johnson van ITIF. De wet staat individuen toe om particuliere rechtszaken aan te spannen.
“Veel bedrijven kijken naar dat soort voorbeelden en denken ‘hoe zou dat eruit zien als het op federaal niveau was?’.”
De wet zou het voor individuen in Illinois mogelijk maken om een aanklacht in te dienen op grond van het BIPA en de Genetic Information Privacy Act wanneer de overtreding daar plaatsvond. Het staat Californiërs ook toe een rechtszaak aan te spannen op grond van de California Privacy Rights Act. Johnson noemt dit ‘handelen in achterkamertjes’, waardoor staten een oneerlijk voordeel zouden krijgen.
Geschillen als deze zijn moeilijk op te lossen, gezien de vele belanghebbenden en agenda's die erbij betrokken zijn, en de tijd dringt.
“Als het wetsvoorstel te lang blijft hangen zonder vooruitgang, riskeert het het momentum en de steun van de belangrijkste belanghebbenden te verliezen”, waarschuwt Khattar.
“Aangezien 2024 een verkiezingsjaar is, wordt de timing nog belangrijker voor de goedkeuring van wetgeving zoals de APRA. Wetgevers reageren in deze periode doorgaans beter op de publieke opinie. Ze kunnen echter ook voorzichtig zijn met het steunen van controversiële of verdeeldheid zaaiende maatregelen.”
Zelfs de meest veelbelovende wet heeft weinig nut als deze de grens niet overschrijdt. Niettemin moeten bedrijven zich voorbereiden op de APRA – of eventuele daaropvolgende pogingen tot wetgeving – als een bedrijfsrisico.
“Beoordeel eerst hoe goed uw huidige gegevensverwerking aansluit bij de strenge staatswetten, zoals die van Californië of Illinois”, besluit Khattar. “Bedrijven die al aan zulke robuuste regelgeving voldoen, zullen de overgang naar APRA-compliance wellicht soepeler vinden. Als uw werkwijze echter is aangepast om aan minder strenge normen te voldoen, zijn er mogelijk aanzienlijke aanpassingen nodig.”
Waar mogelijk kan het nu al voldoen aan de belangrijkste bepalingen problemen later voorkomen. Het kan ook helpen om waardevol klantvertrouwen op te bouwen.
