‘Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft eenieder recht op bescherming door de wet.’
Zo luidt artikel 12 van de Universele Verklaring van de Rechten van de Mens van de Verenigde Naties.
Hoewel de verklaring van de rechten van de mens uit 1943 een verwijzing naar privacy bevat, wordt er pas sinds kort meer nadruk gelegd op privacy op het internet. Het digitale landschap van vandaag heeft druk uitgeoefend op de definitie van privacy die vroegere generaties niet konden voorzien. De definitie van privacy in de fysieke wereld verschilt van die in de digitale wereld. Vóór de digitale revolutie werd gedacht dat het grootste risico voor de privacy kwam van de overheden, die de meeste kans hadden om grote hoeveelheden gegevens over individuen te verzamelen en op te slaan. Met de explosie van digitale en onlinediensten waarop we allemaal dagelijks vertrouwen, verzamelen de bedrijven die deze diensten beheren enorme hoeveelheden gegevens over ons.
Eerdere regelgeving die vooral betrekking had op overheidsorganisaties en -instellingen zoals banken en verzekeringsmaatschappijen, bleek ontoereikend te zijn voor de nieuwe digitale wereld. Deze duidelijke behoefte aan betere regelgeving heeft bijgedragen tot de totstandkoming van regelgeving zoals de AVG in de Europese Unie.
Hoewel in de meeste landen van de wereld betere regelgeving tot stand is gekomen, is het goed om te begrijpen dat deze in sommige gevallen meestal wordt genegeerd. China bijvoorbeeld heeft privacywetten toegevoegd die vaak door de overheden zelf over het hoofd worden gezien. Zelfs wanneer de wetten door de regeringen worden nageleefd, bevatten zij vaak uitzonderingen voor sommige instanties om redenen van nationale veiligheid.
De EU-landen hebben een grote stap voorwaarts gezet in de bescherming van de privacy van hun burgers. Laten we eens dieper ingaan op de AVG en deze vergelijken met de gelijkwaardige regelgeving in de VS.
AVG
De Algemene Verordening Gegevensbescherming (AVG) van de EU heeft tot doel de privacyrechten van EU-burgers te beschermen. Het voornaamste doel van de AVG is een kader te bieden voor bedrijven die gegevens over EU-burgers opslaan of beheren. Uiteindelijk zal de AVG zorgen voor sterkere privacyrechten voor individuen door te definiëren hoe met privégegevens moet worden omgegaan en door straffen vast te stellen voor inbreuken op deze voorschriften.
AVG is een reactie op de opkomst van diensten die uw gegevens online opslaan en verwerken. De regelgeving inzake privacy was, en is nog steeds, in het grootste deel van de wereld, gefragmenteerd. Met de AVG beschikt de EU nu over het meest uitgebreide en beschermende regelgevingskader voor digitale privacy ter wereld.
De rechten gelden voor alle EU-burgers, zelfs als de dienst die zij gebruiken niet in de EU is gevestigd, zolang zij maar een dienst binnen de EU of aan EU-burgers aanbieden.
De AVG voorziet in 8 rechten voor gebruikers. Dat zijn:
Het recht op informatie: Het individu heeft het recht om te weten wat voor gegevens worden opgeslagen en hoe ze worden gebruikt.
Het recht van inzage: U hebt het recht om te zien welke informatie de dienst over u heeft opgeslagen.
Het recht op rectificatie: U hebt het recht om gegevens die de diensten over u hebben opgeslagen, te corrigeren.
Het recht op gegevenswissing: U hebt het recht om van de dienst te verlangen dat hij de gegevens die hij over u heeft opgeslagen, wist.
Het recht op beperking van de verwerking: U hebt het recht om in bepaalde gevallen te verzoeken om de verwerking van uw gegevens te staken.
Het recht op overdraagbaarheid van gegevens: Het recht om de persoonsgegevens waarover de dienst beschikt voor persoonlijke doeleinden te ontvangen of naar een andere dienst te sturen.
Het recht van bezwaar: U hebt het recht om bezwaar te maken tegen de verwerking van uw gegevens, zo heeft u het recht om bezwaar te maken tegen het volgen van cookies.
Het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming: U hebt het recht om niet te worden onderworpen aan geautomatiseerde verwerking of profilering.
Al deze rechten hebben uitzonderingen en andere bepalingen, maar in essentie bieden ze u de mogelijkheid om te beslissen of de dienst gegevens over u mag opslaan, en als dat is toegestaan, hebt u controle over hoe die gegevens worden gebruikt en kunt u vragen om verwijdering van de gegevens.
De AVG definieert de gegevens in twee categorieën, ‘persoonlijk identificerende’ en ‘gevoelige persoonlijke’ gegevens. Zoals we in het vorige hoofdstuk hebben behandeld, zijn persoonlijk identificeerbare gegevens, gegevens die aan u persoonlijk kunnen worden gekoppeld, zoals adressen. Gevoelige persoonsgegevens zijn gegevens die uw biometrische, genetische, gezondheids-, seksuele, religieuze, filosofische, politieke, raciale of etnische informatie kunnen onthullen. Als de dienst gevoelige persoonsgegevens opslaat en gebruikt, gelden er strengere maatregelen voor toestemming en voor bescherming van de gegevens tegen ongeoorloofd gebruik.
De AVG heeft heel wat controverses gekend en er is veel druk geweest om wijzigingen aan te brengen in de regelgeving, maar de kerninhoud van de regelgeving zal waarschijnlijk niet veel veranderen. De AVG-sancties voor overtredingen hebben ook tot veel discussie geleid. De boetes kunnen oplopen tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van welk bedrag hoger is.
Privacywetten in de VS
De Verenigde Staten hebben geen verordening zoals de AVG in de EU, al kan dit in de toekomst nog veranderen. In plaats daarvan gelden in de VS verschillende regelingen op federaal en staatsniveau. Regelgeving zoals de AVG is ook in de VS niet uitgesloten, hoewel organisaties zoals Privacy for America, een lobbygroep voor sectororganen in de VS, eraan werken om ervoor te zorgen dat aan de noden van deze bedrijven tegemoetgekomen wordt. Er werd al opgeroepen tot de oprichting van een agentschap voor gegevensbescherming, dat als rol zou krijgen de Amerikaanse wetten te doen naleven. De verschillen betekenen niet dat de VS geen privacywetten hebben; die hebben ze wel. De meeste problemen in de VS hebben te maken met het patchwork aan regelgevingen en wetten waar sommige wetten zich op het federale niveau bevinden en andere op staatsniveau.
Het grootste obstakel voor een Amerikaanse wetgeving zoals de AVG, is wellicht het verschil tussen de VS en de EU. De VS benadrukken vooral de rechten van de staat, en van de federale regelgeving wordt gezegd dat ze het recht op zelfbestuur van de staten schendt. Uiteindelijk zal er hoogst waarschijnlijk ook in de VS wel een of andere oplossing komen, maar het eindresultaat zou er wel eens heel anders kunnen uitzien dan wat wij in de EU kennen.
Sommige staten hanteren een veel strengere interpretatie van de privacy van hun burgers dan op federaal niveau het geval is. Zo beschermt de Californische wet op consumentenprivacy (CCPA) in essentie dezelfde rechten als de AVG. Verder beschermt de CCPA ook alle Californiërs wereldwijd en dat is niet min, want Californië is de vijfde grootste economie ter wereld.
Het EU-VS-privacyschildkader
De EU en de VS hebben overleg gepleegd om de gegevensoverdracht tussen de partijen te vereenvoudigen en tegelijk de privacy zodanig te beschermen, dat beide zich erin kunnen vinden. Amerikaanse bedrijven die gegevens willen overbrengen tussen de VS en de EU moeten zichzelf erkennen in het kader van het privacyschild.
Het privacyschild is geen regelgeving maar een akkoord. Dit betekent dat schendingen door Amerikaanse bedrijven in het kader van de AVG niet kunnen worden afgedwongen tenzij deze bedrijven de voorschriften van de Federal Trade Commission in de VS overtreden. Ook beschermt het privacyschild niet alle privacyrechten die in de AVG zijn opgenomen. Merk ook op dat de EU-rechtbanken de voorloper van het privacyschild, de Veiligehavenbeginselen, ongeldig verklaarden en dat het privacyschild mogelijks ooit hetzelfde lot te wachten staat.