Amerika's eigen GDPR light
Edward Snowden noemde de GDPR een 'papieren tijger zonder tanden'. De miljoenenboetes voor grote techbedrijven bleven grotendeels uit, terwijl vooral kleine verenigingen en bedrijven moeite hebben om de regels door te voeren. Maar de Europese privacywet heeft wel een ander effect gehad; andere overheden zijn gaan nadenken over hun eigen privacywetgevingen. Zoals in Californië, waar een regionale wet ook gevolgen heeft voor Europeanen.
Terwijl velen nog niet waren bekomen van hun kater, trad op 1 januari in de Amerikaanse staat Californië een belangrijke wet in werking. De California Consumer Privacy Act, of CCPA, is een wet die de tientallen miljoenen inwoners van de Amerikaanse staat beschermt tegen de datahonger van grote techbedrijven. De wet wordt soms ook wel de 'GDPR light' genoemd, een lichtere vorm van de veelomvattende General Data Protection Regulation die in Nederland bekendstaat als de AVG. En dat is niet helemaal onterecht.
Het lijkt misschien wat willekeurig om over een wet te schrijven die vooral van toepassing is voor de inwoners van een bepaalde regio in Amerika, maar vergis je niet in de omvang. Californië is niet zomaar een staat, het is de vijfde grootste economie ter wereld. Alleen China, Japan, Duitsland en de Verenigde Staten zelf hebben een hoger bnp. In de staat wonen meer dan twee keer zoveel mensen als in Nederland: 39,5 miljoen, meer dan een tiende van de hele bevolking van de VS. En, niet onbelangrijk, het overgrote merendeel van de wereldwijde techindustrie zetelt in Silicon Valley. Een wet die de datahandel waarmee die regio zo rijk is geworden, probeert te reguleren, is hoe dan ook interessant om te volgen.
Van burgerinitiatief naar wet
Overigens is Californië niet de enige Amerikaanse staat die een eigen privacywet in het leven heeft geroepen. Maine heeft er een en Nevada heeft er sinds 1 oktober 2019 een. De CCPA is echter de grootste in omvang, is op de meeste inwoners van toepassing en is inmiddels de beruchtste. Net als in aanloop naar de GDPR worden inwoners van de regio platgebombardeerd met herziene privacyverklaringen en verdienen consultants tienduizenden dollars aan congressen en trainingen ter voorbereiding.
De CCPA komt zelf ook niet uit de lucht vallen, maar is niet zoals de GDPR jarenlang in onderhandeling geweest. Staatssenator Robert Hertzberg introduceerde een eerste voorstel van de wet in juni 2018. Hij had niet veel keus; kort daarvoor lag er een zogeheten stemmingsinitiatief bij de lokale politiek voor een andere privacywet. De privacyorganisatie Californians For Consumer Privacy had meer dan zeshonderdduizend handtekeningen verzameld om het California Consumer Personal Information Disclosure and Sale Initiative door te voeren. Politici wilden de touwtjes liever in eigen handen houden en presenteerden vrij snel hun eigen versie van de wet, al verschilde die versie uiteindelijk niet veel van de Ccpidsi. De wet werd in een recordtempo door de staatssenaat geloodst en kwam zo bij de gouverneur terecht. Die zette er in diezelfde maand nog zijn handtekening onder.
De CCPA verandert niet alleen veel aan de rechten voor consumenten, er zit meer achter. Het is een symptoom van een verschuiving richting regulering van Big Tech-bedrijven, dataverzameling en privacy in het algemeen. En het is direct toe te schrijven aan de populariteit van de GDPR.
Rechten van burgers
De CCPA is een wet die geldt voor de hele staat Californië. Privacyvoorvechters hopen al langer dat Amerika op federaal niveau aan de slag gaat met privacywetgeving, maar vooralsnog lijkt het er niet op dat dit snel gaat gebeuren. Daarom nemen sommige staten het heft in eigen handen. De CCPA moet de rechten beschermen van iedere inwoner van de staat. Het is dus niet relevant waar het hoofdkantoor van een bedrijf staat en waar het is opgericht of is ingeschreven; als een bedrijf data verwerkt van Californische inwoners, dan is de CCPA van toepassing. Daarin lijkt de wet dus op de GDPR. Die omzeilde het probleem dat sommige bedrijven zichzelf niet aansprakelijk achtten omdat hun hoofdkantoor toevallig buiten Europa stond.
Omdat de wet alleen op burgers van die staat van toepassing is, betekent dat internetbedrijven in principe alleen een eis hoeven in te willigen als de eiser inwoner van Californië is. Technische oplossingen, zoals de verplichte opt-outvinkjes moeten alleen bij inwoners van die staat te zien zijn. Zeker dat laatste blijkt lastig. Het is daarom vaak gemakkelijker om een functie direct wereldwijd uit te rollen.
Niet voor ieder bedrijf
Het belangrijkste verschil tussen de GDPR en de CCPA zit in het feit dat de Europese wet draait om alles wat en iedereen die persoonsgegevens verwerkt, en de CCPA is ingericht als wet voor het bedrijfsleven en de handel in data. De wet is beslist niet van toepassing op ieder bedrijf dat in de staat opereert. Een bedrijf hoeft pas aan de CCPA te voldoen als het voldoet aan een van de volgende eisen:
- minimaal 25 miljoen dollar jaaromzet;
- data verhandelen van 50.000 unieke inwoners of data;
- meer dan de helft van de omzet uit klantgegevens halen.
Waar de zwaarste last van de GDPR dus vooral bij kleine bedrijven en verenigingen terechtkwam, is de CCPA duidelijk bedoeld om grote bedrijven in toom te houden. Bij de GDPR bleek Big Tech al snel aan de regels te kunnen voldoen, maar kleine en middelgrote bedrijven, verenigingen en de veelgenoemde 'slager om de hoek' hebben moeite om de regels te interpreteren en toe te passen. Bij de CCPA hoeven die kleine groepen daar niet zo bang voor te zijn, zeker Europese bedrijfjes niet.
Rechten van consumenten
De CCPA is van toepassing op data die al verzameld is
De CCPA is bedoeld om inwoners van de staat meer controle te geven over wat er met hun digitale gegevens gebeurt. Dat is een subtiel, maar fundamenteel verschil met de GDPR. Het doel van de CCPA is niet zozeer om de dataverzameling van bedrijven in te perken, maar eerder om de consument te beschermen tegen de data díe wordt verzameld. Met de CCPA krijgen Californiërs bepaalde rechten, zoals het recht om vergeten te worden, dat al langer onder de GDPR geldt. De wet weerhoudt bedrijven er niet van data te verzamelen. Sterker nog, de regels rondom dataverzameling worden in de wet nauwelijks aan banden gelegd. Het belangrijkste concrete verschil is dat er voortaan een opt-outvinkje moet staan bij een online dienst die data verzamelt. Vergelijk dat maar eens met de Europese wet, die volledig draait om de vraag wanneer een bedrijf met data verzamelen mag beginnen.
'Gegevens' of 'data' is in de context van de CCPA ruim gedefinieerd. Het gaat om informatie die direct of indirect identificerend is voor, gerelateerd is aan of redelijkerwijs gekoppeld kan worden aan een individuele inwoner of huishouden van Californië. Voorbeelden in de wet zijn een naam en adres, maar ook een ip-adres of accountnaam. Zelfs browse- en zoekgeschiedenis vallen onder die definitie. Opvallend is daarbij dat het niet alleen gaat om data die van toepassing is op een specifieke persoon, maar ook om data van een huishouden.
Rechten onder de wet
De wet kent Californiërs ruwweg vijf rechten toe. Al is hij verder behoorlijk uitgebreid en complex, in de basis komt het neer op de volgende eisen:
| Recht op opt-out |
Het recht om te voorkomen dat bedrijven data aan andere partijen doorverkopen. |
Onder dit recht valt onder andere de verplichting van bedrijven om een knop toe te voegen aan hun website of dienst waarmee klanten kunnen aangeven dit niet te willen. |
| Recht op voorlichting |
Het recht om vóór het verzamelen van data voorgelicht te worden over die verzameling.
|
Dit betekent in de praktijk een lading e-mails met waarschuwingen van bedrijven over welke data zij van klanten hebben verzameld. Ook moeten bedrijven klanten wijzen op de mogelijkheid data te verwijderen. |
| Recht op inzage |
Het recht om inzage te krijgen in welke gegevens een bedrijf van een individu heeft.
|
Onder dit recht kan een klant een inzageverzoek doen, net als bij de AVG. Onder dit recht valt ook dataportabiliteit, waarbij een bedrijf verplicht is die data in een gemakkelijk lees- en bruikbaar bestandsformaat af te geven. |
| Recht op verwijdering |
Het recht om een verzoek te doen om verzamelde gegevens te verwijderen. |
Een klant kan een verzoek doen aan een bedrijf om alle verzamelde data te verwijderen. Een bedrijf moet daaraan voldoen, tenzij er uitzonderingsregels van toepassing zijn, zoals bij data die nodig is voor de bedrijfsvoering of vanuit veiligheidsoverwegingen. |
| Recht op gelijke behandeling |
Het recht om dezelfde prijs te krijgen als klanten die met data betalen |
Het opvallendste recht: bedrijven mogen klanten niet weigeren als die zich op hun privacyrechten beroepen. Tegelijk mogen bedrijven wel bonussen of extraatjes geven in ruil voor persoonlijke info. |
Handhaving
Weliswaar is de wet sinds 1 januari van dit jaar officieel van kracht, de werkelijke handhaving begint pas in juli. Sinds begin deze maand kunnen klanten wel gebruikmaken van hun rechten, maar pas vanaf 1 juli gaat de toezichthouder actief toezicht houden en bedrijven aanspreken als ze zich niet aan de regels houden. Dat toezicht wordt gedaan door de procureur-generaal van Californië, vergelijkbaar met het Openbaar Ministerie. Er is dus geen aparte toezichthouder zoals in Europa. Naast wachten op handhaving kunnen consumenten wel al zelf rechtszaken aanspannen tegen bedrijven als ze dat willen.
Verschil met de Europese wet
We noemden eerder al een paar kleine verschillen tussen de CCPA en de GDPR. Vooral op welke bedrijven de CCPA van toepassing is, verschilt flink, maar ook in de rechten van consumenten zit verschil. Oppervlakkig lijken de wetten echter overeen te komen, zegt Ronald Leenes, hoogleraar regulering door technologie en hoofd van het Tilburg Instituut voor Law, Technology en Society van de Universiteit van Tilburg tegen Tweakers. "Als je kijkt naar de wet, lijkt het op het eerste gezicht alsof hij veel elementen van de AVG overneemt." Hij doelt daarmee onder andere op elementen zoals het recht om vergeten te worden en het recht om data niet te laten doorverkopen.
Toch, zegt Leenes, zit er een fundamenteel verschil tussen de twee wetten. "De CCPA legt vooral regels op aan de handel in data. De GDPR gaat over alle verwerkingen." Het verschil zit voor een groot deel in de manier waarop data mag worden verzameld. De GDPR gaat uit van 'toestemming', waarbij een klant zelf moet kiezen om akkoord te gaan met het verzamelen van data. Ideaal is dat niet en de definitie van toestemming is aan interpretatie onderhevig. Denk maar eens aan de dark patterns in cookiemuren of aan de manier waarop Google of Facebook stelt dat een paginalange privacyverklaring gelijkstaat aan toestemming. Het achterliggende verschil blijft dat voor dataverzameling bij de GDPR vooraf duidelijke toestemming nodig is en onder de CCPA niet. Daar gaat het vooral om wat je als consument mag nadat die data is verzameld, welke rechten je hebt over je data.
Bijzondere gegevens
De CCPA maakt geen onderscheid tussen normale en bijzondere persoonsgegevens
Uniek aan de GDPR is ook het onderscheid dat de wet maakt tussen normale en bijzondere persoonsgegevens. Die laatste categorie is van toepassing op onder andere medische gegevens, maar ook data die iets zegt over iemands religie of lidmaatschap van een vakbond. Dat soort informatie moet onder de Europese wet voldoen aan nog strengere eisen, zoals expliciete toestemming en duidelijker gedefinieerde bewaartermijnen. Onder de CCPA bestaat dat onderscheid niet. Leenes: "Je zag in Amerika wel altijd regelgeving voor specifieke gevallen, zoals wetten die kinderen beschermen tegen datamisbruik en regels voor medische gegevens. Maar die kwamen vaak voort uit incidenten, als er een schandaal was. Er is verder in Amerika minder behoefte aan algemene wetgeving. Californië is daar dus uniek in." Onder de CCPA zitten overigens ook wel speciale regels voor jongeren. Kinderen onder de dertien jaar moeten expliciet toestemming van hun ouders krijgen voordat een bedrijf hun data verzamelt.
Invloed van de GDPR en vice versa
Als je spreekt van een 'veelomvattende privacywet', kun je bijna niet anders dan aan de GDPR denken. Dat is ook in dit geval niet gek. De Europese GDPR heeft veel invloed gehad op de vorming van de Amerikaanse tegenhanger. "Bij het opstellen van de GDPR kwamen er meer dan vierduizend amendementen binnen, veelal afkomstig van grote techbedrijven", zegt Leenes. "Ondertussen zie je dat het denken aan het verschuiven is. Er ontstaat discussie in de VS en met name in Californië."
Leenes denkt dat de GDPR een directe invloed heeft gehad op de vorming van de CCPA. Hij verwijst in een blogpost op Privacy Web naar het zogeheten Brussels Effect. Dat is een fenomeen waarmee 'een land of jurisdictie de facto normen kan opleggen aan andere landen in een proces dat unilateral regulatory globalization heet'. Het Brussels Effect beschrijft enkele voorwaarden waaraan moet worden voldaan voordat regionale, lokale of continentale regelgeving doorstroomt naar plekken buiten het jurisdictiegebied. Case in point is de GDPR. Die is opgelegd aan een gigantische groep van 400 miljoen burgers en de uitvoerende macht van de Europese Commissie is sterk. "Als diensten en producten zijn aangepast aan de Europese markt, is de stap naar toepassing op de lokale markt niet zo groot en kan deze onder druk van consumenten mogelijk tot stand komen", schrijft Leenes in zijn blog.
Amerika heeft een heel andere cultuur als het om persoonlijke data gaat
Het is aan de andere kant wel opvallend dat uitgerekend in Amerika aan een privacywet wordt gesleuteld, zegt Leenes. Hij ziet een fundamenteel cultuurverschil tussen Amerika en Europa als het gaat om datagebruik. "We denken weleens dat we erg op elkaar lijken, maar op het gebied van data is dat niet zo. In Europa behandelen we alles volgens principes die zijn vastgelegd in het Europees Verdrag voor de Rechten van de Mens. Daarin staat menselijke waardigheid voorop, met daarop volgend zaken als autonomie, zelfbeschikking en andere fundamentele rechten. Dat verklaart waarom een strenge wet als de GDPR uit Europa komt; ons privacydenken is op die waarden gestoeld." In Amerika gelden andere culturele normen, zegt Leenes. De data driven economy heerst meer, het ondernemerschap ook. "Het is daar bijna een soort morele plicht om daarmee iets te doen." Daarom is het moeilijk een grote dataprotectiewet voor het hele land in te voeren.
Progressieve staat
Van alle plekken in Amerika is Californië vervolgens wel weer een logische plek om een voorzichtige eerste privacywet in te voeren. De staat is veel progressiever, denkt meer vanuit zaken als natuur- en mensenrechtenbescherming dan de meeste andere staten. Dat de grote techbedrijven grotendeels hier zitten, maakt daarin geen verschil.
Vanuit die lokale statelijke wetgeving is vervolgens weer een cultuuromslag te zien naar de rest van het land. De CCPA is niet de enige poging om privacy per wet te regelen. Er zijn verschillende pogingen geweest om een federale wetgeving door te voeren. Goed, dat mislukte, de wet van twee Californische senatoren strandde al in het Huis van Afgevaardigden, maar toch. "Je ziet wel dat het denken aan het schuiven is", zegt Leenes. Hij wijst daarbij ook op de grote techbedrijven. Zelfs die zien de bui al hangen. "Het is verbazingwekkend hoe goed de industrie meedenkt met deze wet. Grosso modo is de industrie natuurlijk niet gecharmeerd van beperkingen. Van de andere kant zien ze druk ontstaan door bijvoorbeeld de GDPR en dan zien ze dat de huidige 'wild west-mentaliteit' rondom data niet heel lang meer kan duren. Die weten: dit gaat veranderen."
Veranderingen
Een technische oplossing om aan de lokale wet te voldoen, kan gemakkelijk internationaal beschikbaar worden gemaakt
Op welke manier dat veranderen moet, is een ander vraagstuk. Maar politieke regelgeving komt na signalen uit de samenleving dat er 'iets' moet veranderen. In ieder geval in Californië. Omdat de CCPA alleen voor inwoners van Californië geldt, lijkt de wet misschien een kleine stap, maar hij kan op zijn beurt internationale gevolgen hebben. Dat gebeurt al voorzichtig. Zo biedt Mozilla Firefox-gebruikers sinds begin januari de optie om telemetrie te verwijderen uit de browser. Die optie geldt voor alle gebruikers van de browser, ook in Nederland. Dat is ook niet gek. Waarom zou Mozilla de optie alleen aan Californiërs beschikbaar stellen, zeker als het bedrijf data niet als verdienmodel heeft? "Je kunt met bijvoorbeeld geofencing regelen dat de wet alleen van toepassing is op personen in een bepaald gebied", zegt Leenes. "Maar dat is een ontzettend gedoe. Het is dan gemakkelijker een technische oplossing direct beschikbaar te maken voor alle gebruikers wereldwijd." Een soortgelijke shift zag je ook bij de GDPR. Bedrijven veranderden hun privacybeleid voor internationale gebruikers. Uiteraard niet vanuit de goedheid van hun hart, maar omdat het nu eenmaal gemakkelijker is om functies direct voor iedereen beschikbaar te stellen.
Toch is dat niet de enige reden, zeker niet als het gaat om grote bedrijven die hun geld bijna exclusief verdienen met data. Wetten zoals de CCPA en de GDPR zijn een symptoom van de tijdgeest. In die tijdgeest past ongebreidelde dataverzameling niet meer, en eisen burgers en klanten steeds meer regulering daarvan. Leenes: "Bedrijven zien door de druk van de GDPR dat het niet lang meer kan duren."
En de toekomst?
Het lijkt er voorlopig niet op dat we in Europa heel veel gaan merken van de CCPA, hoewel vrijwel alle Big Tech uit die contreien komt. De regels die de bedrijven wereldwijd beschikbaar kunnen maken door de nieuwe wet, zijn voor een belangrijk deel al geregeld in de GDPR. Leenes zegt ook dat andere landen nu met hun eigen privacywetgeving komen, ook buiten Europa en Noord-Amerika. In Brazilië is sinds vorig jaar de Brazilian General Data Protection Law van kracht en in Kenia is er de Data Protection Bill die sinds 2018 in de maak was. Leenes durft ook die wetten direct aan de GDPR te linken. Wereldwijd ontstaan er dan ook veel meer beweging op privacyniveau en meer bewustzijn van de risico's van datamisbruik. Leenes: "Door de druk van de GDPR en nu de CCPA zie je een race naar de bovenkant. Maar misschien ben ik daarin wel te hoopvol."
:strip_icc():strip_exif()/i/2003230864.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2002904974.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2002794784.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2002554326.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2001987691.jpeg?f=fpa_thumb)
:strip_exif()/i/1322564626.jpeg?f=fpa)
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
:strip_exif()/u/9784/refuse.gif?f=community){kind=small}
) /u/27299/hoofd.png?f=community){kind=small}
)./u/241825/Avatar_for_terrorist.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/349830/crop6161c0d097b64_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/348363/crop5673ea2423487_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
/u/381607/have%2520a%2520nice%2520day%2520-%2520small.png?f=community){kind=small}
:strip_icc():strip_exif()/u/149760/MG_logo.jpg?f=community){kind=logo}
:strip_exif()/u/682799/crop5fc57c6c9c5fa_cropped.gif?f=community){kind=small}
/u/9258/killbill.png?f=community){kind=small}
:strip_icc():strip_exif()/u/83337/countess6-nice.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/116283/crop5814e3224425d_cropped.jpeg?f=community){kind=small}
/u/501/esa2.png?f=community){kind=small}