Privacy buiten het gebied van de GDPR

Privacy buiten het gebied van de GDPR
Jeroen Tegelaar

Via het internet gaan digitale informatiestromen met persoonsgegevens de hele wereld over. Internationaal opererende bedrijven zijn daarom verplicht om te voldoen aan de privacy wet- en regelgeving die in verschillende landen gelden. Maar wat er onder ‘privacy’ wordt verstaan is niet overal ter wereld hetzelfde.

Er zijn verschillende interpretaties van (het recht op) privacy, en ook op juridisch gebied wordt ‘privacy’ niet overal ter wereld hetzelfde geïnterpreteerd en gewaarborgd. Zo verschillen het Amerikaanse en Europese privacy-begrip veel van elkaar. Als uw organisatie in de Verenigde Staten opereert, of met hier gevestigde partners gegevens uitwisselt, is het van groot belang om hiervan bewust te zijn. In deze blog ga ik in op het verschil tussen het Amerikaanse en Europese recht op privacy. Hierbij nuanceer ik de vooroordelen dat er in Amerika geen privacywetgeving bestaat en dat Europa een heilige is op het gebied van privacywetgeving.

Fundamenteel recht versus consumentenrecht
In Europa wordt privacy sinds de invoering van de General Data Protection Regulation (GDPR, in het Nederlands: AVG) in 2018 gezien als een fundamenteel recht van alle Europese burgers. In Europa zijn persoonsgegevens door de GDPR streng beschermd en mogen deze gegevens alleen voor wettige doelen worden verzameld en verwerkt. Daarnaast zijn er sinds de invoering van de GDPR toezichthouders aangesteld die er op toezien dat de GDPR wordt nageleefd. In de praktijk heeft de GDPR er het afgelopen jaar vooral voor gezorgd dat organisaties op papier aan de regels van de GDPR zijn gaan voldoen, maar dat een daadwerkelijke bewustwording van dataverzameling veelal is achtergebleven.

In tegenstelling tot Europa is de privacywetgeving in Amerika niet nationaal of supranationaal vastgelegd, maar kan deze wetgeving verschillen per staat en zelfs per industrie. In de Verenigde Staten is privacy dus géén fundamenteel recht zoals in Europa, maar een vorm van consumentenbescherming en daarom ook gebaseerd op een andere rechtsvorm, namelijk het consumentenrecht. Met andere woorden, in de Verenigde Staten is privacy de verantwoordelijkheid van de burger. Ben je het oneens met de stand van zaken, dan kun je naar de rechter stappen om je gelijk te halen. Hierbij staat het eigen initiatief van personen dus centraal.

GDPR versus CCPA
Toch komt er nu in Amerika een vergelijkebare wet die op sommige vlakken vergelijkbaar is met de GDPR. De California Consumer Privacy Act (CCPA) wordt in januari 2020 van kracht. Overeenkomstig met de GDPR hebben inwoners van Californië vanaf 2020 recht op inzicht in hun persoonsgegevens, en hebben ze recht op het principe van vergetelheid. Het grootste verschil is dat de CCPA geen nationale wet is, maar alleen van toepassing is op bewoners van Californië. Andere verschillen tussen de CCPA en de GDPR zijn dat de CCPA de overdracht van persoonsgegevens buiten de Verenigde Staten niet beschermd en dat er geen verplichte toezichthouders worden aangesteld, terwijl dit bij de GDPR wel het geval is.

Ondanks dat de CCPA dus wettelijk de privacy rechten van de inwoners van Californië vastlegt is de CCPA slechts een kleine stap naar een nationale privacywetgeving. De mate waarin persoonsgegevens in Amerika worden beschermd is dus nog niet op het niveau van de Europese GDPR.

Uitwisselen van persoonsgegevens met de VS
Is het dan wel veilig om persoonsgegevens met de Verenigde Staten uit te wisselen? Ja, maar onder voorbehoud. Hoewel de GDPR een Europese wetgeving is, is er namelijk ook een overeenkomst die de veiligheid van uitwisseling van persoonsgegevens tussen Europa en de Verenigde Staten waarborgt. Deze regeling heet het Privacy Shield en dit raamwerk is speciaal aangenomen voor het uitwisselen van persoonsgegevens tussen Europa en de Verenigde Staten.

Als Amerikaanse organisaties aan de certificering van het Privacy Shield voldoen weet je dat persoonsgegevens uit Europa veilig in deze Amerikaanse organisatie worden verwerkt. Ondanks het bestaan van het Privacy Shield bestaat er veel discussie over deze certificering, omdat deze alsnog te weinig zou beschermen. Zo behoudt de Amerikaanse overheid de mogelijkheid om de regels die in het Privacy Shieldstaan aan de kant te schuiven in de naam van het ‘publieke Amerikaanse belang.’ Wat er precies onder dit ‘belang’ valt is echter onduidelijk. Daarom is het belangrijk om alsnog extra beveiligingsmaatregelen te nemen of bijzonder zorgvuldig te zijn als er data wordt doorgegeven aan bedrijven in de Verenigde Staten.

Cultuur en communicatie
Kortom, De Verenigde Staten heeft dus wel degelijk gegevensbeschermingswetten, alleen zijn deze in veel opzichten anders dan in Europa. De grote overeenkomst tussen de twee systemen is dat ze beide als hoofddoel hebben om de rechten van individuen te beschermen.

Het begrijpen van de verschillen in privacywetgeving tussen landen is belangrijk voor organisaties die in meerdere continenten opereren of dit in de toekomst willen gaan doen. Tussen Europa en Amerika is er niet alleen een andere wet- en regelgeving op het gebied van privacy, maar er is ook een diepgeworteld mentaliteitsverschil tussen de twee continenten.

Cultureel gezien is er een sterkere verwachting van privacy in Europa en privacy wordt in Europa gezien als een grondwettelijk recht voor Europese burgers. Zowel de wet- en regelgeving in Amerika als Europa moet dus naast elkaar worden gelegd om aan alle eisen te voldoen en sancties in een van de twee continenten te voorkomen. Verder kan door culturele bewustwording en kennis op het gebied van interculturele communicatie tussen Europa en Amerika het verschil in mentaliteit op het gebied van privacy eerder worden herkend en kunnen de verschillen worden overbrugd.

Over Juul Dresen
Juul is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Als adviseur geeft ze doelgericht en toepasbaar advies. Daarnaast richt ze zich op hoe privacy in de praktijk wordt toegepast door organisaties en mensen.