De opkomst en impact van Amerikaanse privacywetgeving

Coauteur: Kim Slobbe.


Er is een ontwikkeling gaande in de Verenigde Staten (‘VS’): in verschillende Amerikaanse staten treden dit jaar nieuwe privacywetten in werking, waaronder de Californische Privacy Rights Act (‘CPRA’). Deze ontwikkeling heeft niet alleen gevolgen voor Amerikaanse bedrijven, maar kan ook impact hebben op internationale organisaties, inclusief Nederlandse. In dit blog bespreken we de opkomst van Amerikaanse privacywetgeving en vergelijken we deze met de Algemene verordening gegevensbescherming (‘AVG’), of in English: de General Data Protection Regulation (‘GDPR’). Is er een rode draad in deze nieuwe Amerikaanse privacywetten, hoe verhouden deze zich tot de AVG, en welke impact kunnen deze ontwikkelingen hebben op Nederlandse organisaties?

Amerikaanse privacywetgeving in beweging

Iedereen die wel eens met Amerikaanse privacywetgeving te maken heeft gehad, weet dat het onderwerp daar heel anders wordt benaderd dan in Europa. Waar wij één wet hebben die in alle lidstaten en sectoren direct van toepassing is, is privacy in de VS mogelijk per onderwerp en per staat apart geregeld. Voor sommige onderwerpen is er wel federale wetgeving van toepassing, denk bijvoorbeeld aan de zorgwet HIPAA en aan de online marketingwet CAN-SPAM.

In verschillende staten groeit de behoefte om het onderwerp zelf te reguleren. Zodoende treden in 2023 in verschillende Amerikaanse staten privacywetten in werking, waarvan de CPRA de opvallendste is. De CPRA heeft als doel het beschermen van de gegevens van consumenten en is (grofweg) van toepassing op for-profit organisaties die zakendoen in Californië. Deze wet is niet helemaal nieuw, maar wijzigt en versterkt de bestaande California Consumer Privacy Act (‘CCPA’).

Vele staten volgen het Californische voorbeeld ondertussen, waaronder:

  • Virginia met de Virginia Consumer Data Protection Act (‘VDPA’)
  • Colorado met de Colorado Privacy Act (‘CPA’)
  • Connecticut met de Connecticut Data Privacy Act (‘CDPA’)
  • Utah met de Utah Consumer Privacy Act (‘UCPA’).

Terwijl de VDPA op 1 januari 2023 in werking trad, werden de CPA en CDPA van kracht op 1 juli 2023. De UCPA wordt op 31 december 2023 van kracht.

Verhouding met de AVG

Zowel in Europa als in de VS beogen we uiteraard om de privacy van personen te beschermen. Niettemin doen we dat op verschillende manieren. Dat maakt het organisaties die wereldwijd actief zijn er niet makkelijker op. Hieronder een aantal voorbeelden.

Reikwijdte

De AVG heeft een brede reikwijdte en is – in grote lijnen – van toepassing op elke organisatie die is gevestigd in de EU of hier producten of diensten aanbiedt. We maken daarbij geen onderscheid tussen sectoren. De Amerikaanse staatswetten gelden daarentegen niet voor alle organisaties. Ze zijn vaak alleen van toepassing op for-profit organisaties die zakendoen in de desbetreffende staat en gelden alleen voor bedrijven die bepaalde drempels halen. Deze drempels variëren, maar het gaat over het algemeen om bedrijven die aanzienlijke jaarlijkse omzet genereren (bijvoorbeeld $ 25 miljoen), een aanzienlijke hoeveelheid gegevens verwerken (bijvoorbeeld persoonlijke informatie van 100.000 consumenten), of een aanzienlijk deel van hun omzet halen uit het “verkopen” of “delen” van persoonlijke informatie (bijvoorbeeld 50%). Ook bevatten de Amerikaanse staatswetten vrijstellingen voor verschillende soorten organisaties en soorten gegevens. Zo gelden er in alle staten, behalve Colorado, vrijstellingen voor non-profitorganisaties. Ook gelden in alle staten, behalve Californië, vrijstellingen voor HR-gegevens en B2B-gegevens.

Doe je zaken in de VS? Dan is het allereerst goed om te kijken of de organisatie deze drempels haalt. Is dat niet het geval, dan hoeft er ook geen rekening mee te worden gehouden.

Persoonsgegevens

Net als de AVG hanteren de Amerikaanse staatsprivacywetten een brede definitie van persoonsgegevens. In tegenstelling tot de AVG sluiten echter alle Amerikaanse staatswetten “openbaar beschikbare informatie” uit. Dit verschil is met name belangrijk voor organisaties die openbaar beschikbare informatie verzamelen en verwerken als onderdeel van hun kernactiviteiten, zoals recruiters en marketeers. Het andere belangrijke verschil is hoe de Amerikaanse staatswetten informatie definiëren die “niet-persoonlijk” is en daarom buiten de reikwijdte valt. Terwijl de AVG een zeer hoge standaard hanteert voor anonieme gegevens, beschouwen de Amerikaanse staatswetten “geïdentificeerde” gegevens als gegevens die buiten de reikwijdte vallen, zolang het bedrijf bepaalde technische en organisatorische maatregelen heeft geïmplementeerd.

Informatie die voor de doeleinden van de Amerikaanse staatsprivacywetten is “geïdentificeerd”, voldoet waarschijnlijk niet aan de hoge drempel voor anonieme gegevens onder de AVG. In veel gevallen valt informatie die “geïdentificeerd” is nog steeds onder de reikwijdte van de AVG, omdat deze slechts pseudoniem is en niet anoniem.

Privacyrechten

Zowel in Europa als in de VS kennen we personen een aantal vergelijkbare rechten toe, waaronder inzage, correctie en verwijdering. In de Amerikaanse wetten springt met name de opt-out eruit voor de “verkoop” of het “delen” van persoonlijke informatie voor gerichte reclame.

In de VS is het doorslaggevend of organisaties persoonlijke informatie “verkopen” of “delen” voor gerichte reclame. Dit kan van toepassing zijn op vele bedrijven gezien de alomvattendheid van digitale reclame.

Wat is de impact op Nederlandse organisaties?

Voor Nederlandse organisaties kunnen deze Amerikaanse ontwikkelingen zowel kansen als uitdagingen met zich meebrengen. Organisaties die zakendoen in de Verenigde Staten doen er goed aan om zich bewust te zijn van de verschillende vereisten in de verschillende staten. Dit kan extra administratieve lasten met zich meebrengen, aangezien de wetgeving overal net iets anders is. Op een federale Amerikaanse privacywet hoeven we voorlopig in ieder geval niet te rekenen.  

Concluderend

De opkomst van Amerikaanse privacywetgeving is van belang voor wereldwijde spelers die persoonsgegevens verwerken. Hoewel er enkele overeenkomsten zijn tussen de Amerikaanse staatswetten en de AVG, zijn er ook aanzienlijke verschillen, vooral met betrekking tot de reikwijdte en specifieke vereisten. Nederlandse organisaties die zakendoen in VS moeten zich bewust zijn van deze ontwikkelingen en mogelijk aanvullende inspanningen leveren om aan de verschillende privacyvereisten te voldoen. Het is van belang dat organisaties op de hoogte blijven van de voortdurende evolutie van privacywetgeving in zowel de VS als Europa om compliant te blijven en de privacy van hun betrokkenen te kunnen waarborgen.


Vragen over hoe je praktisch aan al deze privacywetgeving kunt voldoen? Neem dan contact met ons op via contact@ictrecht.nl.

Terug naar overzicht