Gegevensprivacy in de VS is in veel opzichten een juridische leegte. Hoewel er beperkte bescherming is voor gezondheids- en financiële gegevens, ontbreekt in de bakermat van 's werelds grootste technologiebedrijven, zoals Apple, Amazon, Google en Meta (Facebook), enige uitgebreide federale wetgeving inzake gegevensprivacy. Dit laat Amerikaanse burgers met minimale bescherming van de gegevensprivacy in vergelijking met burgers van andere landen. Maar daar komt misschien verandering in.

Met zeldzame tweeledige steun is de Amerikaanse Data and Privacy Protection Act op 20 juli 2022 met 53 tegen 2 stemmen uit het Amerikaanse House of Representatives Committee on Energy and Commerce verwijderd. Het wetsvoorstel moet nog door het volledige Huis en de Senaat worden aangenomen , en de onderhandelingen zijn aan de gang. Gezien de strategie van verantwoordelijke gegevenspraktijken van de regering-Biden, is steun van het Witte Huis waarschijnlijk als een versie van het wetsvoorstel wordt aangenomen.

Als jurist en advocaat die technologie en gegevensprivacywetgeving bestudeert en beoefent, heb ik de wet, bekend als ADPPA, nauwlettend gevolgd. Als het wordt aangenomen, zal het de Amerikaanse wetgeving inzake gegevensprivacy fundamenteel veranderen.

ADPPA vult de leemte op het gebied van gegevensprivacy, bouwt federale voorrang op sommige staatswetten op het gebied van gegevensprivacy, stelt individuen in staat een rechtszaak aan te spannen wegens schendingen en verandert de wetshandhaving op het gebied van gegevensprivacy aanzienlijk. Zoals alle grote veranderingen krijgt ADPPA gemengde beoordelingen van media, wetenschappers en bedrijven. Maar velen zien het wetsvoorstel als een triomf voor de Amerikaanse gegevensprivacy die een noodzakelijke nationale norm voor gegevenspraktijken biedt.

Wie en wat gaat ADPPA reguleren?

ADPPA zou van toepassing zijn op "gedekte" entiteiten, dat wil zeggen elke entiteit die gedekte gegevens verzamelt, verwerkt of overdraagt, inclusief non-profitorganisaties en eenmanszaken. Het regelt ook mobiele telefoon- en internetproviders en andere veelvoorkomende providers, met mogelijk betrekking tot wijzigingen in de federale communicatieregelgeving. Het is niet van toepassing op overheidsinstanties.

ADPPA definieert "gedekte" gegevens als alle informatie of elk apparaat dat een persoon identificeert of redelijkerwijs kan worden gekoppeld aan een persoon. Het beschermt ook biometrische gegevens, genetische gegevens en geolocatie-informatie.

Het wetsvoorstel sluit drie big data-categorieën uit:geanonimiseerde gegevens, werknemersgegevens en openbaar beschikbare informatie. Die laatste categorie omvat sociale media-accounts met privacy-instellingen die openbaar kunnen worden bekeken. Hoewel uit onderzoek herhaaldelijk is gebleken dat geanonimiseerde gegevens gemakkelijk opnieuw kunnen worden geïdentificeerd, probeert de ADPPA dit aan te pakken door te eisen dat gedekte entiteiten "redelijke technische, administratieve en fysieke maatregelen nemen om ervoor te zorgen dat de informatie op geen enkel moment kan worden gebruikt om opnieuw te identificeren elk individu of apparaat."

Hoe ADPPA uw gegevens beschermt

De wet vereist dat het verzamelen van gegevens zo minimaal mogelijk is. De wet staat toe dat gedekte entiteiten de gegevens van een persoon alleen verzamelen, gebruiken of delen wanneer dit redelijkerwijs noodzakelijk is en in verhouding staat tot een product of dienst die de persoon aanvraagt, of om te reageren op een communicatie die de persoon initieert. Het maakt verzameling mogelijk voor authenticatie, beveiligingsincidenten, preventie van illegale activiteiten of ernstige schade aan personen en naleving van wettelijke verplichtingen.

Mensen zouden toegangsrechten krijgen en enige controle over hun gegevens krijgen. ADPPA geeft gebruikers het recht om onnauwkeurigheden te corrigeren en mogelijk hun gegevens te verwijderen die in het bezit zijn van gedekte entiteiten.

Het wetsvoorstel staat het verzamelen van gegevens toe als onderdeel van onderzoek voor het algemeen belang. Hiermee kunnen gegevens worden verzameld voor peer-reviewed onderzoek of onderzoek in het algemeen belang, bijvoorbeeld om te testen of een website onwettig discrimineert. Dit is belangrijk voor onderzoekers die anders in strijd zouden kunnen zijn met sitevoorwaarden of hackwetten.

De ADPPA heeft ook een bepaling die het probleem van de service op basis van toestemming aanpakt - die vervelende "Ik ga akkoord"-boxen die mensen dwingen een wirwar van juridische termen te accepteren. Wanneer u op een van die vakjes klikt, doet u contractueel afstand van uw privacyrechten als voorwaarde om gewoon een dienst te gebruiken, een website te bezoeken of een product te kopen. Het wetsvoorstel zal voorkomen dat gedekte entiteiten contractenrecht gebruiken om de bescherming van het wetsvoorstel te omzeilen.

Op zoek naar de federale wetgeving inzake elektronisch toezicht voor advies

De Amerikaanse Electronic Communications Privacy Act kan federale wetgevers begeleiden bij het afronden van ADPPA. Net als de ADPPA omvatte de ECPA-wetgeving van 1986 een ingrijpende herziening van de Amerikaanse elektronische privacywetgeving om de nadelige gevolgen voor de individuele privacy en burgerlijke vrijheden van de voortschrijdende bewakings- en communicatietechnologieën aan te pakken. Nogmaals, vooruitgang in bewakings- en datatechnologieën, zoals kunstmatige intelligentie, tasten de rechten van burgers aanzienlijk aan.

ECPA, dat vandaag nog steeds van kracht is, biedt een nationale basisnorm voor elektronische bewakingsbeveiliging. ECPA beschermt communicatie tegen onderschepping, tenzij een partij bij de communicatie toestemming geeft. Maar ECPA verhindert staten niet om meer beschermende wetten aan te nemen, dus staten kunnen ervoor kiezen om meer privacyrechten te verlenen. Het eindresultaat:ongeveer een kwart van de Amerikaanse staten heeft toestemming van alle partijen nodig om communicatie te onderscheppen, waardoor hun burgers meer privacyrechten krijgen.

De balans tussen de federale en de staat van de ECPA werkt al tientallen jaren en de ECPA heeft de rechtbanken niet overweldigd of de handel vernietigd.

Nationale voorrang

Zoals het is opgesteld, gaat ADPPA vooruit op sommige nationale wetgeving inzake gegevensprivacy. Dit is van invloed op de Californische Consumer Privacy Act, hoewel het niet vooruitloopt op de Illinois Biometric Information Privacy Act of staatswetten die specifiek gezichtsherkenningstechnologie reguleren. De voorkoopbepalingen zijn echter in beweging terwijl leden van het Huis blijven onderhandelen over het wetsvoorstel.

De nationale normen van ADPPA bieden uniforme nalevingsvereisten en dienen voor economische efficiëntie; maar sommige geleerden zijn bezorgd over de voorrang op de meeste staatswetten, en Californië verzet zich tegen de goedkeuring ervan.

Als de voorrang blijft bestaan, zal elke definitieve versie van de ADPPA de wet van het land zijn, waardoor staten worden beperkt in het beter beschermen van de gegevensprivacy van hun burgers.

Privé vorderingsrecht en handhaving

ADDPA voorziet in een privaat rechtsvorderingsrecht, waardoor mensen gedekte entiteiten kunnen aanklagen die hun rechten onder ADPPA schenden. Dat geeft de handhavingsmechanismen van het wetsvoorstel een grote boost, hoewel het aanzienlijke beperkingen kent.

De Amerikaanse Kamer van Koophandel en de tech-industrie verzetten zich tegen een privaat recht van actie en geven er de voorkeur aan dat de handhaving van ADPPA wordt beperkt tot de Federal Trade Commission. Maar de FTC heeft veel minder personeel en veel minder middelen dan Amerikaanse procesadvocaten.

ECPA heeft ter vergelijking een privaat vorderingsrecht. Het heeft rechtbanken of bedrijven niet overweldigd, en entiteiten voldoen waarschijnlijk aan ECPA om civiele rechtszaken te voorkomen. Bovendien hebben rechtbanken de voorwaarden van ECPA aangescherpt, waardoor duidelijke precedenten en begrijpelijke nalevingsrichtlijnen worden geboden.

Hoe groot zijn de veranderingen?

De wijzigingen in de Amerikaanse wetgeving inzake gegevensprivacy zijn groot, maar ADPPA biedt Amerikaanse burgers de broodnodige beveiliging en gegevensbescherming, en ik geloof dat het werkbaar is met aanpassingen.

Gezien hoe internet werkt, stromen gegevens routinematig over internationale grenzen, dus veel Amerikaanse bedrijven hebben de naleving van de wetten van andere landen al in hun systemen ingebouwd. Dit omvat de Algemene Verordening Gegevensbescherming van de EU, een wet die vergelijkbaar is met de ADPPA. Facebook biedt bijvoorbeeld E.U. burgers met de bescherming van de AVG, maar het biedt Amerikaanse burgers die bescherming niet, omdat het niet verplicht is om dit te doen.

Het congres heeft weinig gedaan met gegevensprivacy, maar ADPPA staat klaar om daar verandering in te brengen. + Verder verkennen

Hoe gegevens van menstruatie- en zwangerschapsapps kunnen worden gebruikt om zwangere mensen te vervolgen

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.