De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij
Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?
Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.
Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.
De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.
Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?
De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.
Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.
Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.
Europese privacyregels worden wereldwijd gekopieerd
Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.
GDPR VS: Consumer Privacy Act
De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.
De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).
In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.
Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.
De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.
De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.
GDPR Verenigd Koninkrijk: Data Protection Bill
Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.
De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.
GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet
Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.
Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.
GDPR Brazilië: net als in Europa hoge boetes
Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.
Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.
Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.
De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.
Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.
GDPR Australië: Privacy Act
De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.
De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.
Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.
GDPR Japan: oprichting Personal Information Protection Commission
Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.
Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.
GDPR Mexico: Federal Data Protection Law
Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.
Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.
GDPR Canada: Personal Information Protection and Electronic Documents Act
Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.
Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.
Verantwoordingsplicht, toestemming, rapportage
De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.
In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.