Privacy in stukken: Staten haasten zich om gegevens te beschermen terwijl het Congres aarzelt
Indignatie redactie
6 min. lezen
Terwijl de federale overheid van de Verenigde Staten langzaam probeert om landelijke wetgeving voor dataprivacy door te voeren, hebben bepaalde staten hun eigen wetgeving gesmeed. Maar dit heeft meer dan de helft van de Amerikanen achtergelaten met weinig tot geen databescherming.
Terwijl het Congres worstelt om de uitgebreide regelgeving voor gegevensprivacy van de Europese Unie bij te benen, zijn sommige Amerikaanse staten begonnen met het smeden van hun eigen robuuste wetgeving om de bescherming van gebruikers te vergroten. Maar dit systeem beschermt alleen de gegevens van sommige Amerikanen, waardoor meer dan de helft van het land geen gegarandeerde gegevensbescherming of privacyrechten heeft.
En het kan jaren duren voordat er een nationale oplossing komt, als die er al komt.
De EU heeft jaren geleden de eerste stap gezet naar verregaande privacybescherming met de invoering van de Algemene Verordening Gegevensbescherming (AVG).
De AVG, die in 2018 van kracht werd en individuen eigenaarschap geeft over hun persoonlijke gegevens en het recht om te bepalen wie deze mag gebruiken, wordt vaak gezien als de eerste grote, multinationale stap op weg naar uitgebreide gegevensbescherming en privacy.
Traditioneel gezien is de EU-aanpak van gegevensbescherming gebaseerd op een mensenrechtenstandpunt en vindt haar oorsprong in de Tweede Wereldoorlog, toen de nazipartij persoonlijke gegevens verzamelde om talloze wreedheden te begaan. Later vond ook de invasieve staatstoezicht plaats van de Oost-Duitse geheime politie, de Stasi.
Na het einde van de oorlog werd het recht op privacy vastgelegd in het Europees Verdrag voor de Rechten van de Mens en later in het Handvest van de grondrechten van de EU . Het werd de ideologische basis waarop de wetten inzake gegevensbescherming in de EU vandaag de dag zijn gebaseerd.
Aan de andere kant van de Atlantische Oceaan voorziet de Amerikaanse grondwet niet expliciet in een recht op privacy.
In plaats van een uitgebreide federale wet in te voeren, heeft de Amerikaanse federale overheid een reactieve benadering gekozen, waarbij wetgeving pas wordt aangenomen nadat er problemen zijn ontstaan in een paar specifieke bedrijfssectoren, wat heeft geresulteerd in een reeks wetten voor gegevensbescherming die betrekking hebben op specifieke soorten gegevens. Zo hebben de Health Insurance Portability and Accountability Act (HIPAA) en de Gramm-Leach-Bliley Act (GLBA) sinds de jaren 90 respectievelijk medische en financiële gegevens beschermd.
“De VS is een echte innovatie-, kapitaalgerichte samenleving,” zei Jodi Daniels, oprichter en CEO van privacyconsultancybedrijf Red Clover Advisors. “En ze willen de mensen beschermen, maar het moet allemaal in evenwicht zijn.”
Maar de laatste jaren zijn sommige wetgevers zich tegen dit systeem gaan verzetten door uitgebreide wetsvoorstellen voor gegevensbescherming in te dienen, zoals de bipartisan American Privacy Rights Act (APRA).
APRA werd in april geïntroduceerd door senator Maria Cantwell (D-WA) en afgevaardigde Cathy McMorris Rodgers (R-WA) en lijkt op de AVG in die zin dat het niet beperkt is tot specifieke bedrijfssectoren en tot doel heeft de hoeveelheid en soorten gegevens die bedrijven kunnen verzamelen te minimaliseren, consumenten controle te geven over hun informatie en hen toe te staan zich af te melden voor gerichte advertenties.
Hoewel de wetgeving niet ver kwam en vastliep in de House Committee on Energy and Commerce, is het het verste dat een uitgebreide privacywet tot nu toe in het Congres is gekomen. Om wet te worden, zou het echter volgend jaar opnieuw moeten worden ingediend, wanneer de Republikeinen beide kamers controleren.
Sommige wetgevers, zoals senator Ted Cruz (R-TX) , beweren dat APRA meer bezig is met het “controleren van het internet” dan met het creëren van een evenwicht tussen innovatie en privacybescherming, en stellen dat het huidige recht op privé-actie dat in de wet is opgenomen, dat individuen toestaat juridische stappen te ondernemen als hun privacy wordt geschonden, overweldigende macht zal geven aan procesadvocaten.
Deze aanhoudende meningsverschillen en het gebrek aan actie van de federale overheid hebben ertoe geleid dat staten hun eigen privacywetten hebben opgesteld.
Nadat Californië in 2018 de Consumer Privacy Act (CCPA) had aangenomen, hebben 18 andere staten soortgelijke AVG-geïnspireerde wetten aangenomen. Hieruit blijkt dat er steeds meer behoefte is aan wetgeving die aansluit bij de alomvattende aanpak van de EU.
Momenteel hebben slechts acht staten wetgeving, waaronder Connecticut en Virginia. De overige elf wetten treden medio 2025 of 2026 in werking.
Mensen die buiten deze staten wonen, hebben echter nauwelijks tot geen recht op gegevensbescherming of gegevensprivacy.
“Stel je voor dat iemand achter je staat met een notitieblok en alles wat je doet in de gaten houdt, en opschrijft wat je doet. Binnen 30 seconden zou je je omdraaien en vragen waarom ze je volgen,” zei Daniels, verwijzend naar mensen zonder privacybescherming. “Dat is wat we online doen, en we vinden dat oké.”
In staten zonder privacywetgeving worden bepaalde gegevens beschermd door sectorale wetten zoals HIPAA of Sectie 5 van de Federal Trade Commission Act (FTCA), die mensen alleen beschermt tegen bedrijven die misleidend omgaan met de gegevens van consumenten.
“Het enige wat je kunt doen is hopen dat bedrijven artikel 5 naleven en een privacyverklaring afgeven”, aldus Daniels.
En HIPAA, dat gezondheidsgegevens beschermt, beschermt niet alle informatie die verband houdt met de gezondheid van een persoon. Gegevens die worden verzameld door fitnesstracker-apps of andere welzijnssites, worden niet gedekt, wat betekent dat alleen een zeer specifieke set gezondheidsgegevens wordt beschermd voor personen buiten staten met uitgebreide wetgeving.
Afgezien van deze beperkte bescherming is het aan de bedrijven om te beslissen of ze de privacyrechten en -bescherming die vereist zijn in staten met uitgebreide wetgeving, uitbreiden naar mensen die buiten deze gebieden wonen.
Maar zelfs binnen de staten die effectieve privacywetten hebben, hebben deze bedrijven te maken met een complex systeem van uiteenlopende wetgevingen, waardoor het lastig is om aan de regels te voldoen en de gegevens van mensen te beschermen.
Tegenwoordig moeten bedrijven die zaken willen doen in de EU en de VS voldoen aan zowel de AVG als de wetten van afzonderlijke staten, maar deze verschillen enigszins in reikwijdte en vrijstellingen, waardoor het voor bedrijven moeilijk is om eenvoudig te voldoen aan de AVG. Terwijl de AVG bijvoorbeeld vereist dat bedrijven gebruikers de mogelijkheid bieden om zich aan te melden voor het verzamelen van gegevens en cookies, gaat de CCPA uit van voorafgaande toestemming en vereist alleen dat consumenten zich afmelden.
Vanwege de verschillen in regelgeving besteden bedrijven veel geld aan het inhuren van juristen om juridische onduidelijkheden te ontcijferen en plannen te maken die ervoor zorgen dat aan alle wetten wordt voldaan.
“De hoeveelheid juridisch werk, tolkwerk en juridische bijstand waarvoor je moet betalen om compliant te zijn, is ontmoedigend”, aldus Nicole Lapierre, een advocaat die gespecialiseerd is in gegevensprivacy en cyberbeveiliging bij adviesbureau BD Emerson.
Zodra bedrijven de complexiteit van naleving van de bestaande wetgeving hebben ontrafeld, beslissen ze of ze dezelfde bescherming willen bieden aan bedrijven zonder wetgeving.
Maar de meeste bedrijven beschermen geen gegevens en bieden geen privacyrechten als ze hiertoe niet verplicht zijn.
Veel experts die voor dit artikel zijn benaderd, noemden Lululemon als voorbeeld van een bedrijf dat inwoners van staten als Georgia, waar geen uitgebreide wetgeving inzake gegevensbescherming bestaat, niet dezelfde rechten op het gebied van gegevensbescherming biedt als inwoners van Californië.
Als we naar de toekomst kijken, kan het nog jaren duren voordat alle Amerikanen over een goede gegevensbescherming beschikken.
Totdat de federale overheid een allesomvattende, overkoepelende privacywet aanneemt, of totdat elke staat zijn eigen wetgeving heeft, zullen veel Amerikanen weinig tot geen privacyrechten of -bescherming hebben, afgezien van de paar federale wetten die specifieke soorten gegevens beschermen.
Veel experts, zoals data privacy consultant van 20 jaar Carey Lening, vrezen dat een federale wet nooit zal worden aangenomen. En als dat wel gebeurt, zal die niet zo effectief zijn als staatswetten.
“Elke poging tot invoering van een federale wet zal worden afgezwakt en in feite betekenisloos zijn”, aldus Lening, die opmerkte dat veel huidige staatswetten robuustere regels zouden hebben omdat ze minder tegenstand ondervinden.
Daniels dringt er bij mensen op aan om zichzelf te informeren over wat er met hun gegevens gebeurt en om het te melden als ze het gevoel hebben dat er iets niet klopt.
“De gemiddelde burger weet nauwelijks iets over privacywetten,” zei Daniels. “Consumenten moeten zich meer bewust zijn van wat er gebeurt. Ze moeten verantwoordelijkheid nemen voor zichzelf en zich inzetten.”
Wat de toekomst ook in petto heeft voor privacybescherming, experts als Daniels dringen er bij mensen op aan om bedrijven met een logische blik te bekijken in plaats van ervan uit te gaan dat ze hun beste belangen voor ogen hebben.
“Consumenten moeten er niet langer van uitgaan dat het bedrijf voor hen zal zorgen, want uiteindelijk zijn we in de Verenigde Staten een kapitalistische samenleving”, aldus Daniels.
