Wetten inzake gegevensprivacy: Wat u in 2020 moet weten

De meeste websites verzamelen informatie over hun gebruikers, hetzij verstrekt door de gebruikers of automatisch verzameld via cookies en andere technologieën. Ondernemers hebben informatie nodig om hun producten te leveren, reclame te maken voor hun diensten, te communiceren met klanten en potentiële klanten en de functionaliteit van hun website te verbeteren. Klanten en bezoekers van uw site vragen zich natuurlijk af wat er met hun persoonlijke informatie gebeurt – hoe deze wordt opgeslagen, wie er toegang toe heeft, en welke waarborgen er zijn om hun privacy te beschermen.

Virtueel elk land heeft een of andere vorm van privacywetgeving ingevoerd om te reguleren hoe informatie wordt verzameld, hoe de betrokkenen worden geïnformeerd, en welke controle een betrokkene heeft over zijn informatie zodra deze is overgedragen. Niet-naleving van de toepasselijke gegevensprivacy kan leiden tot boetes, rechtszaken en zelfs een verbod op het gebruik van een site in bepaalde rechtsgebieden. Het navigeren door deze wet- en regelgeving kan ontmoedigend zijn, maar alle websitebeheerders moeten bekend zijn met de gegevensprivacywetten die van invloed zijn op hun gebruikers. Enkele van deze wetten zijn:

US Data Privacy Laws

Er is niet één allesomvattende federale wet die de privacy van gegevens in de Verenigde Staten regelt. Er is een complexe lappendeken van sectorspecifieke en mediumspecifieke wetten, waaronder wetten en voorschriften voor telecommunicatie, gezondheidsinformatie, kredietinformatie, financiële instellingen en marketing.

De Federal Trade Commission Act (15 USC § 41 e.v.) heeft brede jurisdictie over commerciële entiteiten op grond van haar bevoegdheid om oneerlijke of “bedrieglijke handelspraktijken” te voorkomen. Hoewel de FTC niet expliciet voorschrijft welke informatie in het privacybeleid van websites moet worden opgenomen, maakt zij gebruik van haar bevoegdheid om voorschriften uit te vaardigen, de privacywetgeving te handhaven en handhavingsmaatregelen te nemen om de consument te beschermen. De FTC kan bijvoorbeeld actie ondernemen tegen organisaties die…

  • nalaten redelijke gegevensbeveiligingsmaatregelen te treffen en te handhaven.
  • zich niet houden aan de zelfreguleringsbeginselen van de bedrijfstak van de organisatie.
  • zich niet houden aan een gepubliceerd privacybeleid.
  • Het overdragen van persoonlijke informatie op een manier die niet is vermeld in het privacybeleid.
  • Het geven van onjuiste verklaringen over privacy en beveiliging (liegen) aan consumenten en in het privacybeleid.
  • Het niet voldoende beveiligen van persoonsgegevens.
  • Het schenden van de privacyrechten van consumenten door het verzamelen, verwerken of delen van consumenteninformatie is een schending van het privacykader voor consumenten van de FTC of van nationale wet- en regelgeving inzake privacy.
  • Het maken van misleidende reclamepraktijken.

Andere federale wetten die het verzamelen van informatie online regelen, zijn onder meer:

  • The Children’s Online Privacy Protection Act (15 USC §6501 et seq.), ook bekend als COPPA, die het verzamelen van informatie over minderjarigen regelt.
  • De Health Insurance Portability and Accounting Act (HIPAA – P.L.104-191), die van toepassing is op het verzamelen van gezondheidsinformatie.
  • De Gramm Leach Bliley Act (15 USC § 6802 e.v.), die betrekking heeft op persoonlijke informatie die door banken en financiële instellingen wordt verzameld.
  • De Fair Credit Reporting Act (15 USC § 1681), die de verzameling en het gebruik van kredietinformatie regelt.

State Data Privacy Laws

Naast de federale wet- en regelgeving kent de VS honderden wetten op het gebied van gegevensprivacy en gegevensbeveiliging onder de staten, territoria en lokale overheden. Momenteel zien 25 procureurs-generaal van Amerikaanse staten toe op privacywetten voor het verzamelen, opslaan, beveiligen, verwijderen en gebruiken van persoonlijke gegevens van hun ingezetenen, met name wat betreft de melding van inbreuken op gegevens en de beveiliging van sofi-nummers. Sommige zijn alleen van toepassing op overheidsinstanties, andere alleen op particuliere instanties, en weer andere op beide.

California Consumer Privacy Act (CCPA)

De meest uitgebreide staatsprivacywetgeving tot nu toe is de California Consumer Privacy Act (CCPA), ondertekend in wet op 28 juni 2018, en in werking getreden op 1 januari 2020. De CCPA is sectoroverschrijdende wetgeving die belangrijke definities en brede individuele consumentenrechten introduceert en substantiële plichten oplegt aan entiteiten of personen die persoonlijke informatie verzamelen over of van een inwoner van Californië. Deze plichten houden onder meer in dat de betrokkenen moeten worden geïnformeerd wanneer en hoe gegevens worden verzameld, en dat hun de mogelijkheid moet worden geboden om dergelijke informatie in te zien, te corrigeren en te verwijderen. Deze informatie moet worden bekendgemaakt in een privacybeleid dat wordt weergegeven op de website van de entiteit die de gegevens verzamelt.

New York SHIELD Act

In juli 2019 heeft New York de Stop Hacks and Improve Electronic Data Security (SHIELD) Act aangenomen. Deze wet wijzigt de bestaande wet van New York op de melding van datalekken en creëert meer eisen voor gegevensbeveiliging voor bedrijven die informatie over inwoners van New York verzamelen. Vanaf maart 2020 is de wet volledig uitvoerbaar. Deze wet verruimt de reikwijdte van de privacy van consumenten en biedt inwoners van New York betere bescherming tegen datalekken met hun persoonlijke gegevens.

Andere gegevensbeschermingswetten op staatsniveau

Californië en New York zijn de eerste staten die brede wetgeving met een nationale impact hebben aangenomen, maar veel andere staten in de VS overwegen ook gegevensbeschermingswetten. Deze zullen er niet hetzelfde uitzien als de CCPA of de SHIELD Act, maar ze zullen waarschijnlijk soortgelijke eisen bevatten voor de specifieke behoeften van de staat.

Zoals u zich kunt voorstellen, is de bijenkorf van staats- en federale privacywetten in de VS te complex om volledig samen te vatten. Het is onwaarschijnlijk dat er snel een overkoepelende federale wet komt (ook al is er steeds meer steun voor). Als organisatie die persoonsgegevens verzamelt en verwerkt, is het daarom essentieel om samen te werken met een dienst als Osano om u compliant te houden in deze uitdagende omgeving.

Internationale privacywetgeving: de GDPR

De belangrijkste wetgeving op het gebied van gegevensbescherming die tot op heden is aangenomen, is de Algemene Verordening Gegevensbescherming (GDPR). Deze regelt de verzameling, het gebruik, de overdracht en de beveiliging van gegevens die worden verzameld bij inwoners van een van de 28 lidstaten van de Europese Unie. De wet is van toepassing op alle inwoners van de EU, ongeacht de locatie van de entiteit die de persoonsgegevens verzamelt. Aan organisaties die de GDPR niet naleven, kunnen boetes worden opgelegd die kunnen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde omzet. Enkele belangrijke vereisten van de GDPR zijn:

Instemming

Datasubjecten moeten in staat worden gesteld om expliciete, ondubbelzinnige toestemming te geven voordat er persoonsgegevens worden verzameld. Persoonsgegevens omvatten informatie die wordt verzameld door het gebruik van cookies. Sommige informatie die in de Verenigde Staten gewoonlijk niet als “persoonlijke informatie” wordt beschouwd, zoals het IP-adres van de computer van de gebruiker, wordt volgens de GDPR wel als “persoonlijke gegevens” beschouwd.

Data Breach Notification

Organisaties zijn verplicht om toezichthoudende autoriteiten en betrokkenen binnen 72 uur op de hoogte te stellen in het geval van een datalek waarbij in de meeste gevallen persoonlijke informatie van gebruikers is aangetast.

Data Subjects’ Rights

Data subjects (mensen van wie gegevens worden verzameld en verwerkt) hebben bepaalde rechten met betrekking tot hun persoonlijke informatie. Deze rechten moeten aan de betrokkenen worden meegedeeld in een duidelijk, gemakkelijk toegankelijk privacybeleid op de website van de organisatie.

  1. Het recht om te worden geïnformeerd. Betrokkenen moeten worden geïnformeerd over het verzamelen en gebruiken van hun persoonlijke gegevens wanneer de gegevens worden verkregen.
  2. Het recht op toegang tot hun gegevens. Een betrokkene kan een kopie van zijn persoonsgegevens opvragen via een verzoek van de betrokkene. De voor de verwerking verantwoordelijken moeten uitleggen op welke manier de gegevens worden verzameld, wat er wordt verwerkt en met wie ze worden gedeeld.
  3. Het recht op rectificatie. Als de gegevens van een betrokkene onnauwkeurig of onvolledig zijn, hebben ze het recht om u te vragen deze te rectificeren.
  4. Het recht op wissing. Betrokkenen hebben het recht om op bepaalde gronden binnen 30 dagen te vragen om persoonsgegevens die op hen betrekking hebben te wissen.
  5. Het recht op beperking van de verwerking. Betrokkenen hebben het recht om te verzoeken om beperking of verwijdering van hun persoonsgegevens (hoewel u ze nog steeds kunt opslaan).
  6. Het recht op gegevensoverdraagbaarheid. Betrokkenen kunnen hun gegevens op elk gewenst moment veilig van het ene elektronische systeem naar het andere laten overbrengen zonder dat de bruikbaarheid ervan wordt verstoord.
  7. Het recht van bezwaar. Betrokkenen kunnen bezwaar maken tegen de manier waarop hun informatie wordt gebruikt voor marketing, verkoop of niet-dienstengerelateerde doeleinden. Het recht om bezwaar te maken is niet van toepassing wanneer een wettelijke of officiële bevoegdheid wordt uitgevoerd, een taak wordt uitgevoerd in het algemeen belang, of wanneer de organisatie gegevens moet verwerken om u een dienst te leveren waarvoor u zich hebt aangemeld.

Belang van privacybeleid in gegevensbeschermingswetten

Elke website moet een privacybeleid hebben dat zijn gebruikers uitlegt welke informatie wordt verzameld, hoe deze wordt gebruikt, hoe deze kan worden gedeeld, en hoe deze wordt beveiligd. Om volledig in overeenstemming te zijn met de Amerikaanse en Europese wetgeving inzake gegevensbescherming, moeten alle betrokkenen de mogelijkheid hebben om toestemming te geven voor het verzamelen van persoonlijke informatie. Hoewel veel informatie over gebruikers vrijwillig wordt verstrekt wanneer zij zich aanmelden voor nieuwsbrieven, formulieren invullen of e-mailverzoeken verzenden, moet informatie die wordt verzameld van derden en door het gebruik van cookies ook openbaar worden gemaakt, en moeten gebruikers de mogelijkheid krijgen om cookies toe te staan, te blokkeren of uit te schakelen.

Uw bedrijf in overeenstemming brengen met de wetgeving inzake gegevensprivacy

Zelfs als uw bedrijf is gevestigd in een rechtsgebied dat geen uitgebreide wetgeving inzake gegevensprivacy heeft geïmplementeerd, is het van essentieel belang om te overwegen waar uw potentiële gebruikers zich zouden kunnen bevinden en welke regelgeving van toepassing is. Als u van plan bent zaken te doen in Californië, New York of de Europese Unie, moet u bekend zijn met de vereisten van de CCPA, de SHIELD Act en de GDPR. In de meeste gevallen is het eenvoudiger en goedkoper voor uw organisatie om zich aan deze normen te houden voor al uw klanten in plaats van verschillende regels toe te passen op basis van locatie.

Gegevensbescherming wordt steeds belangrijker en zal van invloed zijn op de beslissingen van gebruikers over waar ze hun online browsen en winkelen doen. De reputatie van een bedrijf op het gebied van verantwoord omgaan met persoonsgegevens wordt steeds meer een troef die kan leiden tot meer websiteverkeer, conversies en een positief effect op de winst.

Als u klaar bent om uw privacywetgeving serieus te nemen, meld u dan aan bij Osano. Osano is een eenvoudig te gebruiken platform voor gegevensprivacy dat uw website direct compliant maakt met de CCPA, SHIELD Act, GDPR en andere privacywetten. Osano is “compliance in a box” en helpt uw website onmiddellijk te voldoen aan de privacywetgeving. Zorg dat u nu compliant bent.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *