De verschillen in privacywetgeving tussen Europa en de VS

Geschreven door Pieter Gryffroy op , in de categorie Rules & regulations

Europa en de Verenigde Staten zijn voorlopers op het gebied van internetgebruik. Hoewel dit op zich natuurlijk een positieve ontwikkeling is, brengt het ook veel vraagstukken met zich mee op het gebied van privacy en informatiebeveiliging. Wat zijn de verschillen tussen Europa en de Verenigde Staten op dit gebied? En in hoeverre wordt er samengewerkt? Dit artikel zet de verschillen en overeenkomsten op een rij.

Wetgeving voor verschillende markten

Dankzij de Algemene Verordening Gegevensbescherming (GDPR) die in 2018 van kracht wordt, zijn de privacyregels in Europa relatief duidelijk en toegankelijk. In deze verordening worden onder andere de privacyrechten van het individu vastgesteld, ongeacht de markt waar de dataverwerker actief in is. Natuurlijk zijn er wat kleine verschillen, bijvoorbeeld strengere regelgeving als het om gezondheidsdata gaat, maar het uitgangspunt is dat het individu controle heeft over zijn eigen data, ongeacht de bron of het gebruik van de data.

In de Verenigde Staten daarentegen wordt privacy met betrekking tot verschillende markten door losstaande wetten gereguleerd. Zo is er bijvoorbeeld de Federal Communications Commission (FCC) die vaststelt welke data serviceproviders mogen verkopen of doorverkopen. Data over gezondheid worden beschermd door de Federal Health Insurance Portability and Accountability Act (HIPAA). De Federal Trade Commission gaat over de Children’s Online Privacy Protection Act. En dan laten we nog buiten beschouwing dat bovendien in elke staat een andere wetgeving actief is.

Invloed van machthebber

Witte huisNaast de verspreiding over verschillende overheden is de privacywetgeving in de Verenigde Staten ook sterk afhankelijk van het Witte Huis. De FCC heeft bijvoorbeeld strengere wetgeving voorgesteld met betrekking tot internetserviceproviders en persoonlijke data, die vervolgens door de regering van Obama werd goedgekeurd. Maar binnen enkele maanden werd deze regelgeving alweer teruggedraaid onder leiding van de Republikeinse partij.

De wetgeving in de EU daarentegen is stabiel. Het heeft een tijdje geduurd om de GDPR te onderhandelen maar het resultaat ken een breed draagvlak, zowel op maatschappelijk, politiek als uitvoerend niveau. Er kan dan ook verwacht worden dat deze wetgeving voor een lange tijd van kracht zal blijven.

Dataverwerkingsdoelen

De voorgenoemde wet voorgesteld door de FCC moest ervoor zorgen dat het individu eerst uitdrukkelijk toestemming moet geven voordat de serviceprovider zijn of haar gegevens (zoals browsegeschiedenis) mag verhandelen. In de Verenigde Staten is de handel in dergelijke informatie op dit moment dus nog niet gebaseerd op toestemming van het betrokken individu, in afwezigheid van enige regulering ter zake.

In Europa is de situatie sterk verschillend: een dataverwerker mag persoonlijke data alleen gebruiken voor het specifieke doel waarvoor de gegevens zijn verzameld. In het typische geval waar de verwerking gebaseerd is op toestemming van de betrokkene moet het doel vooraf worden aangegeven, bijvoorbeeld in een privacy-statement. Het is niet toegestaan om de gegevens vervolgens voor zomaar voor andere commerciële doelen te gebruiken. De toestemming kan evenwel gegeven worden voor een scala aan (toekomstige) verwerkingen, zodat de mogelijkheden van de dataverwerker niettemin ruim kunnen zijn.

Rechten van de betrokkene

Europa kent bovendien, in tegenstelling tot de VS bijzondere rechten voor de betrokkenen. Zo is er het recht op verwijdering, waarbij een individu een verzoek kan indienen om persoonlijke verouderde data te verwijderen, bijvoorbeeld met betrekking tot een overstap van internetprovider, en het recht op ont-lijsten met betrekking tot het verwijderen van niet langer relevante zoekresultaten. Andere rechten betreffen bijvoorbeeld het recht op overdraagbaarheid van informatie en het recht op toegang.

Compliance

Al met al kunnen we concluderen dat het vanuit de gebruiker gezien in Europa beter gesteld is met privacy dan in de Verenigde Staten. Voor ondernemingen die data verwerken kunnen deze verschillen echter veel extra werk opleveren: de manier van dataverwerking moet immers zowel in de EU als in de Verenigde Staten aan de geldende wetgeving voldoen.

Advies nodig?

Internationaal advocatenkantoor time.lex heeft veel ervaring met het adviseren over compliance met internationale privacy regelgevingen zoals de GDPR. Meer weten? Neem contact op met time.lex voor een vrijblijvende kennismaking.