De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij

Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?

Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.

Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.

De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.

Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?

 

De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.

Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.

Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.

Europese privacyregels worden wereldwijd gekopieerd

Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.

GDPR VS: Consumer Privacy Act

De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.

De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).

In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.

Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.

De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.

De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.

GDPR Verenigd Koninkrijk: Data Protection Bill

Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.

De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.

GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet

Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.

Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.

GDPR Brazilië: net als in Europa hoge boetes

Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.

Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

GDPR Australië: Privacy Act

De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.

De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.

Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.

GDPR Japan: oprichting Personal Information Protection Commission

Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.

Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.

GDPR Mexico: Federal Data Protection Law

Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.

Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.

GDPR Canada: Personal Information Protection and Electronic Documents Act

Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.

Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.

Verantwoordingsplicht, toestemming, rapportage

De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.

In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.

Groot datalek bij 170 Duitse online apotheken ontdekt. Bijzondere persoonsgegevens miljoenen klanten waren zichtbaar

Meer dan 170 Duitse online apotheken, waaronder Apotal en Sanicare, hebben volgens de Duitse omroepen NDR en WDR sinds februari te maken gehad met een ernstig beveiligingsprobleem. Gevoelige medische gegevens van miljoenen klanten waren eenvoudig toegankelijk.

IT-expert Dominik Herrmann van de Universiteit van Bamberg spreekt van een “beginnersfout” in de programmering van de software.

Alle getroffen Duitse apotheken maken gebruik van dezelfde webwinkelsoftware van Awinta, een bedrijf dat naar eigen zeggen marktleider is voor apotheeksoftware en reclame maakt met de slogan dat vertrouwen het beste medicijn is.

Op de website van Awinta poseert een medewerker op een foto met oorkondes die werden afgegeven vanwege de goede beveiliging van de websites. “Danke für ihr Vertrauen”, staat erbij. Bedankt voor uw vertrouwen.

Journalisten van NDR en WDR onderzochten in samenwerking met de universiteit in Bamberg hoe veilig online apotheken zijn. Ze ontdekten dat persoonlijke gegevens zoals het rekeningnummer, adres of een overzicht van de bestelde medicijnen heel eenvoudig toegankelijk waren.

Bij de online apotheken die gebruik maken van de Awinta software was het mogelijk om de zogenaamde serverstatus op te roepen. Daardoor worden alle lopende processen op de site zichtbaar.

In een volgende stap zou het mogelijk zijn geweest om tijdens het surfen in de winkel over de schouder van de klant te kijken, legt Dominik Herrmann van de Universiteit van Bamberg uit in een reportage op de Duitse tv.

“Zo’n aanval is relatief eenvoudig. Elke IT-student kan een programma maken dat automatisch de informatie van klanten leest”, zegt Herrmann.

De universiteit maakte bij het onderzoek gebruik van software van de website PrivacyScore.org. Deze site is door universiteiten ontwikkeld om websites te controleren op veelvoorkomende problemen op het gebied van gegevensbescherming en beveiliging. Er wordt onder meer een pentest – penetratietest – gedaan.

In februari werd een lijst met alle internetadressen van Duitse apotheken ingevoerd op PrivacyScore.org. Uit de technische analyse bleek dat een opvallend groot aantal websites hetzelfde beveiligingsprobleem had.

Herrmann zegt in het Duitse magazine Spiegel dat het lek voor de betrokken apotheken een “ramp” is.

“Medische gegevens en gegevens over medicatiebestellingen behoren tot de meest kritische gegevens die bedrijven kunnen verwerken. Zo adverteert de Sanicare-website onder het motto “Vertrouwen is het beste medicijn”.

Voormalig toezichthouder Peter Schaar van de Duitse Autoriteit Persoonsgegevens noemt de veiligheidskloof een ernstig incident. “Dit zijn zeer gevoelige gegevens die in bijzonder goed beschermd moeten worden op grond van de privacywetgeving.”

De apotheken en de leverancier van de software hebben nog geluk dat het lek ontdekt is voordat de nieuwe Europese privacywet GDPR van kracht is geworden. De nieuwe wet voorziet in boetes tot 4 procent van de wereldwijde jaaromzet van de apotheken.

Overigens zijn de boetes die in Duitsland worden ook onder oude privacywetgeving al torenhoog.

In een interview met Tagesschau.de heeft Awinta toegegeven dat er een probleem was: de oorzaak was achterhaald en de fout was hersteld, volgens een verklaring, en er is ook sprake van een “handmatige foutconfiguratie”.