Een nieuwe nationale privacywet die Amerikanen veel van dezelfde consumentenprivacyrechten belooft als de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, werkt zich een weg door het Amerikaanse Congres. Het voorgestelde wetsvoorstel voldoet echter niet aan de bescherming van gegevensprivacy die al is vastgelegd in de bestaande wet- en regelgeving op het gebied van privacy.
Het doel van de federale wetgeving is om een โโenkele, nationale basis te bieden voor gegevensprivacy voor consumenten en tegelijkertijd overheidstoezicht en handhaving te bieden door de Federal Trade Commission (FTC). In werkelijkheid is de voorgestelde Amerikaanse Data Privacy and Protection Act voldoet niet aan de benchmarks die zijn vastgesteld in de California Consumer Privacy Act (CCPA) van 2018, of in de vervanging Wet op de privacyrechten van Californiรซ (CPRA), die op 1 januari 2023 van kracht wordt, zeggen critici.
De wet zou vallen onder de bevoegdheid van de Federal Trade Commission (FTC), wat betekent dat het alleen de problemen dekt die al door de FTC zijn behandeld. Deze omvatten consumentenfraude, identiteitsdiefstal, de privacy van kinderen en enkele cyberbeveiligingsproblemen.
Nancy Pelosi, een vertegenwoordiger van Californiรซ die als voorzitter van het Huis de macht heeft om te voorkomen dat het wetsvoorstel de Tweede Kamer bereikt voor een stemming, een verklaring afgegeven
op 1 september en merkte op dat "de Amerikaanse Data Privacy and Protection Act niet dezelfde essentiรซle consumentenbescherming garandeert als de bestaande privacywetten van Californiรซ." Haar verklaring wordt door experts geรฏnterpreteerd om te betekenen dat ze het wetsvoorstel niet zal steunen zonder nieuwe preรซmptieve taal om de wetten van Californiรซ te beschermen, en het zou doden in plaats van het in stemming te brengen.
In een open brief aan congresleiders, 10 procureurs-generaal die staten vertegenwoordigen die momenteel privacywetten hebben, moedigden het Congres aan om wetgeving aan te nemen die slechts een basislijn vormt voor privacy. "We moedigen het Congres aan om wetgeving aan te nemen die een federale vloer, geen plafond, voor kritieke privacyrechten stelt en het belangrijke werk dat al door staten is ondernomen om onze inwoners een sterke privacybescherming te bieden, respecteert", schreven ze. Ze haalden bestaande federale basislijnen aan voor andere wetten, waaronder bestaande bescherming van de privacy van consumenten, privacy van kinderen en gezondheidsprivacy, en HIPAA. "Elk federaal privacykader moet ruimte laten voor staten om in te spelen op veranderingen in technologie en gegevensverzamelingspraktijken", schreven de procureurs-generaal in de brief. "Dit komt omdat staten beter zijn toegerust om zich snel aan te passen aan de uitdagingen van technologische innovatie die mogelijk aan federaal toezicht ontsnappen."
De Electronic Frontier Foundation ook een brief gestuurd aan Rep. Frank Pallone, voorzitter van de House Committee on Energy and Commerce en sponsor van het wetsvoorstel, met het verzoek dat de bepalingen van het federale wetsvoorstel worden versterkt en dat het voorkooprecht op staatsprivacywetten wordt geรซlimineerd. De Illinois Information Privacy Act, CCPA en de Data Broker Act van Vermont beschermen consumenten al, en andere staten bekijken soortgelijke voorstellen. "Hoewel EFF federale wetgeving ondersteunt die de privacy van consumentengegevens daadwerkelijk beschermt, zijn we er al lang tegen gekant als de prijs voorkoop is van sterkere staatswetten", schreef de EFF in de brief.
Californiรซ verzet zich tegen verzwakte bescherming
Het wetsvoorstel kreeg ook felle kritiek uit Californiรซ, waar de California Privacy Protection Agency uitvaardigde: een memorandum dat beveelt de Californische congresdelegatie, die 12% van het Huis van Afgevaardigden uitmaakt, aan om tegen het wetsvoorstel te zijn.
Californische wetgevers en staatsfunctionarissen noemen verschillende gebieden waar ze beweren dat de federale wet de privacybescherming die momenteel door bestaande staatswetten wordt geboden, zou verminderen. Deze omvatten het verminderen van privacybescherming voor personen die abortusgerelateerde diensten zien en de geestelijke gezondheid van tieners.
De federale wet, zoals deze momenteel is opgesteld, staat Californiรซ niet toe om de geldboetes in verband met de handhaving van de federale wet terug te vorderen. Daarentegen staat de CCPA momenteel de terugvordering van aanzienlijke straffen toe voor de schendingen van de staatswet.
Andere wijzigingen die ADPPA zou aanbrengen voor Californiรซ, dat momenteel onder de CCPA valt:
- De huidige opt-out voor geautomatiseerde besluitvorming verwijderen
- Vervanging van de Californische definitie van persoonlijke informatie met een definitie van gedekte gegevens dat geen enkele "afgeleide gegevens en unieke identificatiegegevens" bevat volgens de Californische wet
- Het verwijderen van bepaalde beveiligingen met betrekking tot niet-vergelding voor het uitoefenen van privacyrechten
- Een vereiste toevoegen om wereldwijde opt-out-verzoeken te verifiรซren - de Californische wet vereist dat bedrijven privacysignalen van browsers respecteren als een opt-out, terwijl ADPPA een expliciete opt-in vereist voor gevoelige categorieรซn
Debbie Reynolds, een wereldwijde expert op het gebied van gegevensprivacy en -bescherming en de CEO en chief privacy officer van Debbie Reynolds Consulting, zegt dat de federale wet de privacyrechten alleen beperkt tot de oorspronkelijke consument van een apparaat. Als een digitale assistent, zoals Alexa, bijvoorbeeld op kantoor is, zou alleen het bedrijf dat de Alexa-service heeft gekocht, hun privacy beschermen. Elke werknemer die boven het apparaat hangt en privรฉ-informatie bespreekt, zou niet door de wet worden beschermd, omdat zij niet de consument van de service van het apparaat.
Fiona Campbell-Webster, chief privacy officer bij MediaMath en voormalig hoofd juridisch adviseur en global data protection officer van cloud-based Beeswax, een SaaS-applicatie die is overgenomen door Comcast, zegt dat er reรซle gevolgen zijn.
"Ik denk dat we ons, voordat deze wetten zijn afgerond, moeten bedenken wat dat gaat betekenen voor de ervaring van het consumeren van inhoud of interactie op internet", zegt ze. "De zorgen over... de onbedoelde gevolgen van grote platforms die uiteindelijk alles beheersen."
Ze waarschuwt dat privacy een prijs heeft. "Ik denk dat het heel jammer zou zijn om een โโwereld te zien waarin we worden gestraft als we niet op een bepaalde manier voor al deze verschillende diensten die we nu gratis krijgen, zouden kunnen betalen." Sommige onbedoelde gevolgen van de privacywet, waarschuwde ze, kunnen een negatief effect hebben op kleine bedrijven, waardoor ze hogere kosten moeten betalen om aan de nieuwe privacyregelgeving te voldoen.
Canada overweegt soortgelijke wetgeving
De VS is niet het enige Noord-Amerikaanse land dat werkt aan een nieuwe, nationale privacywet. Canada introduceerde de langverwachte Digital Charter Implementation Act, 2022 โ Bill C-27 - die een soortgelijk wetsvoorstel vervangt dat in augustus 2021 niet door het Canadese parlement werd aangenomen. Het wetsvoorstel zou de Consumer Privacy Protection Act (CPPA), de Personal Information and Data Protection Tribunal Act en de Artificial Intelligence and Data Act aannemen, evenals andere bestaande wetten wijzigen.
"Dit is een zeer belangrijke wet voor Canada", zegt David Goodis, partner bij INQ Law in Toronto. โHet zal van toepassing zijn in alle provincies en territoria, behalve in British Columbia, Alberta en Quebec. Quebec heeft eerder dit jaar zijn eigen nieuwe, bijgewerkte wet aangenomen. BC en Alberta overwegen hun nu zeer oude wetten te actualiseren. Afgezien van Quebec, zal CPPA de modernste en strengste privacywet in Canada zijn, en ongeveer op รฉรฉn lijn met de Europese AVG en de CCPA in Californiรซ.โ
Er zijn een paar significante verschillen tussen de oude Bill C-11 en de nieuwe Bill C-27, zegt Goodis. โEr zijn verschillende nieuwe verplichtingen opgelegd aan organisaties die geldboetes kunnen krijgen als ze niet worden nageleefd. Organisaties moeten bijvoorbeeld een programma voor privacybeheer implementeren, ervoor zorgen dat hun serviceproviders gelijkwaardige privacybescherming hebben bij het overdragen van persoonlijke informatie van het bedrijf naar de serviceprovider, en ervoor zorgen dat een serviceprovider die een inbreuk op de beveiliging ontdekt, de organisatie op de hoogte stelt. Er is ook een geheel nieuw deel van de wetgeving dat ingaat op de specifieke zorgen rond de bescherming van de privacy van kinderenโ, legt hij uit.
Bovendien, volgens analyse
van het internationale zakenadvocatenkantoor DLA Piper, verving het oude wetsvoorstel niet de provinciale wetten die "in wezen vergelijkbaar" zijn met de federale wet, wat betekende dat de provincies Quebec, Alberta en British Columbia hun wetten in plaats daarvan hadden kunnen toepassen van de federale. Hoewel het nieuwe wetsvoorstel de federale regering in staat stelt te beslissen of provinciale wetten in wezen gelijkaardig zijn en dus mogen gelden, is het nog niet duidelijk of Alberta en British Columbia zullen slagen - Quebec, dat heeft zijn privacywet in 2021 geรผpdatet, zal naar verwachting worden vrijgesteld.
