Gegevensprivacykwesties en bijbehorende regelgeving zijn enkele van de grootste uitdagingen waarmee bedrijven vandaag de dag worden geconfronteerd. Terwijl bedrijven die getroffen zijn door de AVG de eerste golf van boetes, vereisten en normen hebben gevoeld, is privacy nu een internationale kwestie.
De VS zijn al op weg naar revolutionaire privacyregelgeving. Met wetten die zijn aangenomen in Californië en Nevada en rekeningen gepland in veel andere staten, kunnen bedrijven verwachten dat ze de komende maanden worden beïnvloed.
Dit artikel geeft een overzicht van de cruciale onderdelen van de wet/wet op de privacyregelgeving van elke staat - inclusief wie ze dekken, wanneer ze van kracht worden, boetes, hoe naleving te bereiken en waarom staten de stappen hebben genomen voor de federale overheid om het persoonlijke van de consument te beschermen gegevens.
De California Consumer Privacy Act
Als een van de eerste privacywetten die na de AVG zijn aangenomen, is de CCPA fungeert als blauwdruk voor andere rekeningen in de VS. Met ingang van 1 januari 2020 is de CCPA van toepassing op een bedrijf dat persoonsgegevens van inwoners van Californië verzamelt/verwerkt of zaken doet in Californië. Deze bedrijven vallen onder de CCPA als ze:
- Een bruto-omzet van $ 25 miljoen overschrijden
- Koop, ontvang, verkoop of deel (gecombineerd totaal) persoonlijke informatie van 50.000 of meer consumentenhuishoudens of apparaten
- 50% of meer van de jaarlijkse omzet halen uit de verkoop van persoonlijke informatie van consumenten
De CCPA kent rechten toe aan consumenten die vergelijkbaar zijn met de AVG, waaronder de openbaarmaking van persoonlijke informatie en verzoeken om persoonlijke gegevens. Bedrijven moeten op verifieerbare verzoeken van consumenten reageren met informatie, zoals categorieën en gegevens van persoonlijke informatie, derde partijen en categorieën van derde partijen waarmee gegevens worden gedeeld, en meer.
De sectie, die bekend staat als Data Subject Requests (DSR), geeft gebruikers toegang tot verwijderingsopties voor hun persoonlijke informatie. De CCPA vereist ook dat bedrijven een link 'Verkoop mijn persoonlijke gegevens niet' op hun startpagina weergeven. De CCPA zal worden gehandhaafd door de procureur-generaal en omvat boetes tot $ 7.500 voor elke individuele overtreding.
Nevada's privacywet
De privacywet van Nevada werd ondertekend op 29 mei 2019 en trad in werking op 1 oktober 2019, drie maanden voor de bekendere CCPA. De wetten lijken erg op elkaar, maar hebben een groot verschil in hoe "verkoop" wordt gedefinieerd. De wet van Nevada is strenger, dekt niet alle dienstverleners en is milder voor financiële instellingen. Volgens InfoLawGroup zijn de CCPA- en Nevada-wet vergelijkbaar in die zin dat beide vereisen dat "bedrijven een proces bedenken om de legitimiteit van een opt-outverzoek van een consument te verifiëren en eisen dat bedrijven binnen 60 dagen op het verzoek reageren.” Net als in Californië ligt de handhaving van Nevada bij de procureur-generaal en omvat boetes tot $ 5.000 per overtreding.
De privacywet van New York
In mei 2019 introduceerde senator Kevin Thomas van de staat New York een van de meest revolutionaire wetten op het gebied van gegevensprivacy. De vereisten waren standaard en omvatten de mogelijkheid voor bewoners om hun persoonlijke gegevens van derden in te zien, te corrigeren, te verwijderen en te bewaren.
Er zijn echter uitgebreidere bepalingen toegevoegd, zoals verplichtingen aan gegevensfiduciairs en het recht voor bewoners om een rechtszaak aan te spannen tegen bedrijven als zij door een overtreding schade oplopen. Dit privaatrecht van actie is een van de grootste onderscheidende punten van andere regelgeving en kan consumenten ertoe aanzetten om achter bedrijven aan te gaan die niet aan de regels voldoen. Het wetsvoorstel is ook breder dan de CCPA en dekt elk bedrijf dat de "gevoelige gegevens van inwoners van New York" heeft, zonder inkomstenvereiste voor gedekte entiteiten.
Met wetten die in twee staten zijn aangenomen, wetsvoorstellen in andere en negen staten die nieuwe wetten voor het melden van gegevensinbreuken aannemen, zijn we... getuige zijn van het begin van een enorme verschuiving naar bescherming van consumentengegevens en aansprakelijkheid voor bedrijven die controle en verwerk het.
Om naleving te behouden, moeten bedrijven op de hoogte zijn van de huidige wetten, toekomstige regelgeving in de maak en het potentieel voor verschillende normen in de VS. Het creëren van processen voor gegevensverwerking, gegevensportabiliteit en mapping, en gebruikersaanmeldingsopties zijn enkele van de noodzakelijke procedures voor bedrijven die persoonlijke gegevens verzamelen.