Naleving van staatsprivacywetten

Individuele staten in de VS hebben hun eigen privacywetten om in te spelen op de specifieke privacy- en gegevensbeschermingsbehoeften en zorgen van hun inwoners. Door het ontbreken van een allesomvattende federale privacywet hebben staten het op zich genomen om de privacyrechten van hun burgers te beschermen, het gegevensbeheer van bedrijven te reguleren en standaarden vast te stellen voor bedrijven die binnen hun rechtsbevoegdheid opereren. Deze wetten zorgen ervoor dat bedrijven transparant zijn over hun gegevenspraktijken en geven consumenten de mogelijkheid om te bepalen hoe hun persoonlijke informatie wordt gebruikt.

De Verenigde Staten hebben momenteel geen allesomvattende nationale gegevensprivacywet zoals de EU’s General Data Protection Regulation (GDPR). In plaats daarvan hanteert de VS een sectorale aanpak, waarbij verschillende regels gelden voor specifieke sectoren of typen gegevens, zoals de Health Insurance Portability and Accountability Act (HIPAA) voor gezondheidsinformatie en de Gramm-Leach-Bliley Act (GLBA) voor financiële informatie. Door het ontbreken van een nationale privacywet stellen individuele staten, waaronder Californië, Texas, Colorado, Florida en diverse andere, hun eigen privacywetten op om de privacy van hun burgers te beschermen.

Hoewel de nalevingsvereisten per staat en per wet verschillen, geldt over het algemeen dat elk bedrijf dat persoonlijke informatie van burgers verzamelt, opslaat, verwerkt of deelt, mogelijk moet voldoen aan de privacywetgeving van die staat, zelfs als het bedrijf elders is gevestigd. In sommige staten gelden bepaalde regels alleen voor grotere bedrijven of voor organisaties die een bepaalde hoeveelheid gegevens verwerken of een bepaald aantal consumenten bedienen.

De rechten die aan burgers worden toegekend, kunnen aanzienlijk verschillen per staat en per wet. Veelvoorkomende rechten zijn onder meer het recht om te weten welke persoonlijke informatie een bedrijf over hen verzamelt, het recht om verwijdering van hun gegevens te verzoeken, het recht om zich af te melden voor de verkoop van hun persoonlijke informatie en het recht op non-discriminatie bij het uitoefenen van hun privacyrechten. De details zijn afhankelijk van de relevante staatswet.

De California Consumer Privacy Act (CCPA) en de General Data Protection Regulation (GDPR) zijn beide gericht op de bescherming van persoonsgegevens, maar verschillen op diverse punten:

• Reikwijdte: De CCPA is van toepassing op bedrijven die actief zijn in Californië en persoonlijke informatie van inwoners van Californië verzamelen, terwijl de GDPR geldt voor alle organisaties die binnen de EU werken of gegevens van EU-burgers verwerken, ongeacht hun locatie.
• Rechten: Beide geven individuen het recht op inzage en verwijdering van hun gegevens, maar de GDPR omvat ook rechten zoals rectificatie (het corrigeren van onjuiste gegevens) en bezwaar (bezwaar maken tegen de verwerking van persoonsgegevens), die de CCPA niet expliciet biedt.
• Handhaving: De GDPR kent strengere handhaving en hogere boetes, met maximale boetes tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. De boetes onder de CCPA kunnen oplopen tot $7.500 per opzettelijke overtreding.
• Toestemming: De GDPR vereist expliciete en geïnformeerde toestemming van burgers voordat persoonsgegevens worden verzameld, terwijl de CCPA geen voorafgaande goedkeuring vereist, maar burgers wel het recht geeft zich af te melden voor de verkoop van hun gegevens, zodat organisaties de persoonlijke gegevens van een burger niet mogen verkopen.