De Amerikaanse Data Privacy and Protection Act - de belangrijkste facetten van het wetsvoorstel

De behoefte aan een alomvattende federale privacywet

De VS is één van de weinige geïndustrialiseerde landen ter wereld die niet over één nationale privacywet beschikken. In plaats daarvan is er een lappendeken van verschillende federale wetten die de privacy van gegevens regelen. Deze federale wetten hebben echter betrekking op verschillende soorten gegevens en zijn beperkt toepasbaar, afhankelijk van het soort entiteit dat de gegevens verzamelt. Hoewel verscheidene staten uitgebreide privacywetten hebben ingevoerd, worden de persoonsgegevens van consumenten in de meeste staten nog steeds verzameld en gebruikt zonder veel of geen beperkingen.

Aan een federale privacywet die het gebruik van consumentengegevens bestrijkt, wordt al jaren gewerkt. Tot dusver zijn alle pogingen om een alomvattend federaal kader voor de bescherming van de persoonlijke levenssfeer van consumenten tot stand te brengen echter vruchteloos gebleken bij gebrek aan de nodige steun. Daarom is de American Data Privacy and Protection Act ("ADPPA"), die de steun geniet van beide takken van het Congres en van beide politieke partijen, een langverwacht stuk federale wetgeving dat - als het wordt aangenomen - de eerste allesomvattende privacywet zou zijn die het hele land bestrijkt.

Op wie zal de ADPPA van toepassing zijn?

Covered entities

De ADPPA zou van toepassing zijn op “covered entities”, d.w.z. entiteiten of personen die - alleen of samen met anderen - onder het wetsvoorstel vallende gegevens (hierna: “gegevens”) verzamelen, verwerken of doorgeven en die onderworpen zijn aan de Federal Trade Commission (FTC) Act, of die “common carriers” zijn in de zin van de Communications Act van 1934 (d.w.z. bedrijven die openbare telecommunicatiefaciliteiten aanbieden) of die een organisatie zonder winstoogmerk zijn. Net als de uitzondering voor huishoudelijk gebruik uit de AVG, voorziet de ADPPA uitdrukkelijk in een uitzondering voor personen die in een niet-commerciële context handelen. Het begrip “covered entities” omvat ook entiteiten die zeggenschap uitoefenen over of onder zeggenschap staan van een andere “covered entity”, wat erop lijkt te wijzen dat de ADPPA - in tegenstelling tot de AVG - het onderscheid tussen verschillende entiteiten binnen eenzelfde kapitaalgroep wegneemt en de groep als één geheel behandelt.

Aangezien entiteiten zoals banken, verzekeringsmaatschappijen, vervoerders en luchtvaartmaatschappijen buiten het toepassingsgebied van de FTC Act vallen, zou de ADPPA niet op hen van toepassing zijn. Als gevolg hiervan zou de nieuwe wet paradoxaal genoeg van toepassing zijn op liefdadigheidsinstellingen en kerken, maar niet op grote ondernemingen zoals banken of luchtvaartmaatschappijen. Zij zou ook niet van toepassing zijn op federale, staats- of andere lokale overheidsinstanties.

Grote houders van gegevens (“large data holders”)

De ADPPA voorziet in een afzonderlijke classificatie voor grote houders van gegevens (“large data holders” of “LDH’s”), d.w.z. entiteiten met een brutojaaromzet van 250 miljoen dollar of meer in het meest recente kalenderjaar, die gegevens van meer dan 5 miljoen personen of apparaten, of gevoelige gegevens van 200 000 of meer personen of apparaten verzamelen, verwerken of overdragen. De ADPPA legt LDH's extra verplichtingen op. Zo zouden zij bijvoorbeeld verplicht zijn personen een beknopte kennisgeving van hun praktijken op het gebied van onder de overeenkomst vallende gegevens te verstrekken, of kopieën van al hun vorige privacybeleidsregels gedurende ten minste tien jaar te bewaren en op hun websites te publiceren (een verplichting die niet zou gelden voor kleine en middelgrote ondernemingen).

Kleine en middelgrote ondernemingen ("KMO's")

Kleine en middelgrote ondernemingen zijn entiteiten waarvan de jaarlijkse bruto-inkomsten minder dan 41 miljoen dollar bedroegen in elk van de drie voorafgaande jaren EN die de gegevens van niet meer dan 200.000 personen verwerken EN niet meer dan 50% van hun inkomsten halen uit de doorgifte van gegevens (gedurende om het even welk jaar). Kleine en middelgrote ondernemingen zouden nog steeds onder de ADPPA vallen, maar zouden op grond van de zogeheten “uitzondering voor kleine gegevens” (“small data exception”) worden vrijgesteld van een aantal inhoudelijke verplichtingen. Zo zouden zij op het verzoek van een consument om zijn gegevens te corrigeren, kunnen reageren door de gegevens te wissen, in plaats van ze te corrigeren. Bovendien zouden zij geen privacy- en gegevensbeveiligingsfunctionaris hoeven aan te stellen en zouden zij worden vrijgesteld van de meeste vereisten inzake gegevensbeveiliging en -portabiliteit. Personen die een schadevergoedingsactie tegen een KMO willen instellen, zouden de overtreder eerst de kans moeten geven om de overtreding ongedaan te maken.

Dienstverleners en derde partijen die gegevens verzamelen

De ADPPA zou ook van toepassing zijn op dienstverleners. Dit zijn - net als verwerkers in het kader van de GDPR - entiteiten die gegevens verzamelen, verwerken of overdragen namens en op aanwijzing van een covered entity. 

Bovendien zou de ADPPA specifieke verplichtingen opleggen aan entiteiten die gegevens verzamelen van derden, d.w.z. entiteiten waarvan de belangrijkste bron van inkomsten afkomstig is van de verwerking of overdracht van gegevens die zij niet rechtstreeks van de consumenten hebben verzameld (bv. gegevensmakelaars). Derde partijen die gegevens over meer dan 5.000 personen of apparaten verzamelen, moeten aan de controlevoorschriften van de FTC voldoen en zich bij de FTC laten registreren. Het concept van een derde verzamelende entiteit is enigszins vergelijkbaar met een GDPR-verwerkingsverantwoordelijke die via gegevensuitwisseling persoonsgegevens van een andere verwerkingsverantwoordelijke ontvangt. 

Wat bestrijkt de ADPPA?

Covered data

De ADPPA zou van toepassing zijn op informatie die alleen of in combinatie met andere informatie een persoon of een apparaat dat een persoon identificeert of daaraan is gekoppeld of redelijkerwijs daaraan kan worden gekoppeld, identificeert of daaraan kan worden gekoppeld (de zogenaamde "covered data"). Net zoals de term "betrokkene" in de GDPR, omvat de term "natuurlijke persoon" in de ADPPA natuurlijke personen op wie de gegevens betrekking hebben en die in de VS verblijven (natuurlijke personen die in de EU verblijven, genieten niet de bescherming van de ADPPA).

De ADPPA is niet van toepassing op dezelfde reeks persoonsgegevens als de GDPR. De wet zou NIET van toepassing zijn op: (a) geanonimiseerde gegevens, (b) gegevens van werknemers, (c) informatie die publiekelijk beschikbaar is (behalve wanneer deze obscene visuele afbeeldingen, intieme beelden zonder toestemming, biometrische en genetische informatie bevat, of wordt gecombineerd met covered data), alsmede (d) op afleidingen die uit dergelijke publiekelijk beschikbare informatie worden gemaakt. Covered data kan ook unieke identificatoren omvatten zoals IP-adressen, cookies, beacons, pixel tags, mobile ad identifiers, klantnummers, unieke pseudoniemen, gebruikersaliassen, telefoonnummers, apparaatidentifiers, enz.

Sensitive covered data

Net als de GDPR biedt de ADPPA extra bescherming voor gevoelige informatie. De zogenaamde "sensitive covered data" omvatten niet alleen traditioneel gevoelig materiaal zoals gezondheid, biometrische en genetische gegevens, informatie over ras en seksueel gedrag (maar niet over seksuele geaardheid!), maar ook door de overheid verstrekte identificatiegegevens (d.w.z. socialezekerheidsnummers, rijbewijsnummer, paspoortnummer), precieze geolocatiegegevens, financiële informatie, inloggegevens, adresboek- en agenda-informatie. Het omvat ook meer onconventionele categorieën, zoals gegevens over televisiekijken, intieme beelden en "informatie over de onlineactiviteiten van een persoon in de loop van de tijd of via websites of onlinediensten van derden". Een covered entity zou verplicht zijn de uitdrukkelijke toestemming van de betrokkene te verkrijgen alvorens sensitive covered data van de betrokkene te verzamelen, te verwerken of door te geven.

Covered data van kinderen (minderjarigen jonger dan 17 jaar) worden als gevoelig beschouwd wanneer de covered entity weet dat de betrokkene jonger is dan 17 jaar. Gerichte reclame is verboden voor dergelijke minderjarigen en voor de doorgifte van gegevens aan derden is de toestemming van de betrokken minderjarige of de ouders vereist.

Hoe zal de ADPPA de gegevens van natuurlijke personen beschermen?

Loyaliteitsplicht

De ADPPA voorziet in een loyaliteitsplicht, die neerkomt op de verplichting om de algemene beginselen inzake gegevensverwerking na te leven, vergelijkbaar met de belangrijkste beginselen inzake gegevensverwerking die in de GDPR zijn vervat. De covered entities moeten zich met name houden aan het beginsel van minimalisering van de gegevensverwerking of aan de beginselen van noodzakelijkheid en evenredigheid, en moeten aantonen dat zij aan die beginselen voldoen. De covered entities moeten ook een privacy by design aanpak volgen, wat betekent dat zij redelijke beleidsmaatregelen, praktijken en procedures voor het verzamelen, verwerken en overdragen van de covered data moeten invoeren en handhaven, die redelijk zijn in het licht van de omvang en de aard van de betrokken covered entity en covered data.

Toelaatbaar doel

Krachtens de ADPPA is het verzamelen, verwerken en doorgeven van gegevens verboden, tenzij dit redelijkerwijs noodzakelijk en evenredig is om een specifiek product of een specifieke dienst te leveren of te handhaven waarom door de betrokkene is verzocht, of om een van de 17 toegestane doeleinden te bereiken die in artikel 101, lid 2, onder b), van het wetsontwerp zijn vermeld. In tegenstelling tot de GDPR kent de ADPPA niet het begrip "legitiem belang", dat de betrokken entiteiten een zekere mate van flexibiliteit zou bieden. In plaats daarvan worden alle belangen die de betrokken entiteiten kunnen hebben, op uitputtende wijze opgesomd en als "toelaatbaar" aangemerkt. Daartoe behoren bijvoorbeeld: de noodzaak om een transactie te initiëren, te beheren of te voltooien, of om een bestelling van een door de betrokkene gevraagd product of dienst uit te voeren; om een product- of dienstgarantie uit te voeren; om een wettelijke verplichting na te komen; om reclame en marketing aan te bieden (behalve wanneer de ontvanger van dergelijke reclame een gedekte minderjarige is!) of om een veiligheidsincident of fraude te voorkomen, op te sporen of erop te reageren.

Privacybeleid

De covered entities en dienstverleners zijn verplicht aan personen een privacybeleid te verstrekken, dat de verwerkingsactiviteiten op een begrijpelijke manier aan de betrokkene bekendmaakt. De vereiste informatie komt grotendeels overeen met die welke krachtens de GDPR van de voor verwerking verantwoordelijken wordt verlangd (d.w.z. contactgegevens, categorieën gegevens die zij verzamelen, het doel waarvoor zij die gegevens gebruiken, de beoogde bewaartermijn, een duidelijke beschrijving van de wijze waarop personen de hun door de wet toegekende rechten kunnen uitoefenen, en vermelding van derden aan wie de betrokken entiteit de gegevens wil doorgeven). De covered entities moeten ook aangeven of zij gegevens doorgeven aan de Volksrepubliek China, Rusland, Iran of Noord-Korea. De betrokken personen moeten in kennis worden gesteld van alle wezenlijke wijzigingen in het beleid of de praktijken en moeten een redelijke kans krijgen om hun toestemming voor verdere, wezenlijk afwijkende verwerking in te trekken.

Rechten van de consument inzake gegevens

De ADPPA kent consumenten verschillende rechten toe met betrekking tot de covered data, die vergelijkbaar zijn met de rechten die in het kader van de GDPR aan de betrokkenen worden toegekend. Het gaat onder meer om het recht op toegang tot gegevens, het recht om gegevens te corrigeren, het recht om gegevens te wissen en, ten slotte, het recht om onder de overeenkomst vallende gegevens te exporteren, hetzij naar de betrokkene zelf, hetzij rechtstreeks naar een andere entiteit. Als algemene regel geldt dat de betrokken entiteiten verzoeken om consumentenrechten binnen 60 dagen na ontvangst ervan moeten beantwoorden (30 dagen in het geval van LDH en 90 dagen in het geval van kmo's). 

Toestemming

De ADPPA voorziet niet in toestemming als grond voor verwerking. In plaats daarvan is toestemming slechts in bepaalde gevallen vereist. Zo is bijvoorbeeld uitdrukkelijke toestemming vereist voor de doorgifte van onder de overeenkomst vallende gevoelige gegevens aan derden. In feite is voor alle sensitive covered data een "opt-in"-toestemming van personen vereist: de betrokken entiteit mag geen dergelijke gegevens verzamelen, verwerken of doorgeven zonder eerst de "uitdrukkelijke, bevestigde toestemming" van de betrokkene te verkrijgen.  Bovendien moeten personen kunnen beschikken over een duidelijk, opvallend en gemakkelijk uitvoerbaar middel om eerder gegeven toestemming in te trekken, dat even gemakkelijk uitvoerbaar is als het middel om de toestemming te geven. Voor gewone (niet-gevoelige) gegevens zouden daarentegen "opt-out"-rechten gelden.

Benoeming van privacy- en gegevensbeveiligingsfunctionarissen

De ADPPA verplicht de covered entities en dienstverleners een of meer gekwalificeerde werknemers aan te wijzen als functionarissen voor de persoonlijke levenssfeer en de gegevensbeveiliging, die verantwoordelijk zijn voor de ontwikkeling en uitvoering van een programma voor de persoonlijke levenssfeer en de gegevensbeveiliging en voor het toezicht op de voortdurende naleving van de ADPPA. In tegenstelling tot de GDPR worden in het wetsontwerp geen drempels vastgesteld (bv. aantal werknemers) op grond waarvan de verplichting om een functionaris voor de persoonlijke levenssfeer en voor de gegevensbeveiliging aan te wijzen, zou ingaan. In plaats daarvan voorziet het in een algemene verplichting voor alle covered entities (hoewel - zoals reeds besproken - kleine en middelgrote ondernemingen van deze verplichting zijn vrijgesteld).

Verbod op voorwaardelijke dienstverlening of prijsstelling

De ADPPA bevat een verbod op voorwaardelijke dienstverlening of prijsstelling: het is de covered entities niet toegestaan een dienst of product aan een persoon te weigeren, de prijs ervan te wijzigen of er feitelijke voorwaarden aan te verbinden op voorwaarde dat de betrokkene afstand doet van de door de wet gewaarborgde privacyrechten.  

Effectbeoordeling op algoritmen

In tegenstelling tot de GDPR voorziet de ADPPA niet in een algemene gegevensbeschermingseffectbeoordeling (GEB of DPIA) die van toepassing zou zijn op alle soorten covered entities. In feite moeten alleen LDH's de gevolgen voor de persoonlijke levenssfeer van hun gegevensverwerking in het algemeen beoordelen en een effectbeoordeling uitvoeren voor algoritmen die zij gebruiken voor de verwerking van covered data. Deze effectbeoordelingen van algoritmen moeten een beschrijving bevatten van het ontwerpproces van het algoritme, het doel van het gebruik, het te verwachten gebruik, de gegevensinput en de output die het algoritme genereert. In deze beoordelingen moet ook worden aangegeven welke stappen de covered entity heeft ondernomen om mogelijke schade als gevolg van het gebruik van het algoritme te beperken. De beoordelingen moeten bij de FTC worden ingediend en op verzoek aan het Congres ter beschikking worden gesteld.

Handhaving van de ADPPA en particulier vorderingsrecht

De ADPPA zou door de FTC worden gehandhaafd in het kader van haar bestaande handhavingsbevoegdheden, waarbij elke schending van de ADPPA als een oneerlijke of misleidende handeling of praktijk zou worden behandeld. Ook de procureurs-generaal van de deelstaten (state attorneys general) en de autoriteiten voor de bescherming van de persoonlijke levenssfeer van de deelstaten, die de bevoegdheid hebben civiele procedures aan te spannen wegens schendingen van de persoonlijke levenssfeer van ingezetenen van hun respectieve staten, zouden de ADPPA kunnen doen naleven. Wanneer de FTC echter een actie instelt tegen een covered entity, kunnen de procureurs-generaal van de deelstaten niet hun eigen civiele actie tegen dezelfde entiteit instellen zolang de actie van de FTC loopt. Volgens het meest recente wetsontwerp zou het Californische Agentschap voor de bescherming van de persoonlijke levenssfeer expliciet de bevoegdheid krijgen om de ADPPA in Californië te handhaven, op dezelfde manier als anders de California Consumer Privacy Act (CCPA) zou worden gehandhaafd.

Het wetsontwerp voert ook een particulier vorderingsrecht in (vergelijkbaar met vorderingen op grond van artikel 82 van de GDPR), dat personen in staat zou stellen een zaak aanhangig te maken bij een federale rechtbank om schadevergoeding, een rechterlijk bevel of een declaratoire uitspraak, en redelijke advocatenhonoraria en kosten te vorderen voor de schendingen van de ADPPA. In tegenstelling tot artikel 82 van de GDPR (dat onafhankelijk van de handhaving door de autoriteiten bestaat) zou het particuliere vorderingsrecht beperkt zijn tot gevallen waarin de FTC of de procureur-generaal van een deelstaat besluiten niet zelf een civiele vordering in te stellen (personen zouden hen eerst in kennis moeten stellen van het voornemen een rechtszaak aan te spannen). Het particuliere vorderingsrecht is uitgesteld en zal twee jaar na de inwerkingtreding van de wet ingaan.

Preemption

Indien de ADPPA wordt aangenomen, zal zij in het algemeen voorrang hebben op alle bestaande of binnenkort vast te stellen privacywetten van staten, met inbegrip van de nieuwe wetten in Colorado, Connecticut, Virginia en Utah en bijna alle bepalingen van de wet in Californië.

Sancties bij niet-naleving

In tegenstelling tot de GDPR voorziet de ADPPA niet in een wettelijke schadevergoeding. Niet-naleving van de ADPPA wordt op dezelfde manier behandeld als andere in de Federal Trade Commission Act beschreven gevallen van niet-naleving (als oneerlijke of misleidende handelingen of praktijken) en wordt bestraft met dezelfde sancties als beschreven in de FTC Act. De maximumboete, gecorrigeerd voor inflatie, bedraagt in 2022 46.517 USD. 

Belangrijkste bezwaren tegen het wetsvoorstel

Hoewel de steun voor het wetsvoorstel uitzonderlijk groot is (zowel bij de Republikeinen als de Democraten, de FTC en veel mensenrechtenorganisaties), is hij niet unaniem. Het grootste twistpunt was de bepaling over de voorrang van de ADPPA op de wetgeving van de staten. Er is ernstig verzet gerezen van staten die reeds uitgebreide privacywetten hebben vastgesteld (met name Californië) en die de federale wet ervan beschuldigen minder bescherming van de persoonlijke levenssfeer te bieden dan die welke reeds door hun staatswetten worden geboden. Bovendien voeren critici van het wetsontwerp aan dat het Congres niet zo goed in staat is als de wetgevende machten van de staten om zijn wetten bij te werken en er niet in zal slagen de federale wet voortdurend aan te passen aan snel veranderende technologieën en nieuwe bedreigingen van de persoonlijke levenssfeer.

Wat is de volgende stap?

Over het wetsvoorstel zal verder worden onderhandeld. Als de ADPPA door het voltallige Huis van Afgevaardigden (House of Representatives) wordt aangenomen, moet hij nog door de Senaat worden goedgekeurd. Als die goedkeuring wordt gegeven, wordt de wet in zijn huidige versie 180 dagen na de inwerkingtreding van kracht.

Update: Op 1 september 2022 gaf Speaker Nancy Pelosi een verklaring uit waarin zij de ADPPA ongunstig vergeleek met de Californische privacywetten door haar bezorgdheid uit te spreken dat de wet mogelijk niet zou voldoen aan de normen voor consumentenbescherming die door de Californische privacywetten worden gesteld. Speaker Pelosi beloofde samen te werken met haar collega's in het Huis om de bezorgdheid van Californiërs over het federale wetsvoorstel weg te nemen.

Meer relevante informatie? Volg ons op LinkedIn.