Met dien verstande dat de Amerikaanse formuleringen, zoals gebruikelijk, eenvoudiger zijn dan het Europese equivalent dat een compromis is van de wensen van duizenden lobbyisten en politici. Zo telt de Nederlandse vertaling van de Algemene Verordening Gegevensbescherming of AVG 55.000 woorden; een ruime verviervoudiging ten opzichte van de Richtlijn 95/46 die in mei 2018 is vervangen.
Het Amerikaanse voorstel telt 12.000 woorden maar krijgt ongetwijfeld nog de nodige amendementen te verwerken. Het is immers in november 2019 ingediend door de democratische senator Maria Cantwell, mede namens partijgenoten Brian Schatz, Amy Jean Klobuchar en Edward John Markey. Naar verwachting komt er de nodige Republikeinse oppositie, vooral om de bedrijfsbelangen te verdedigen.
Maandenlange onderhandelingen tussen Democraten en Republikeinen over een gezamenlijk wetsvoorstel liepen stuk. Ook de Republikeinse senator Roger Wicker heeft een ontwerp privacywet gemaakt, waarover Reuters bericht. Volgens Wicker wijkt z’n voorstel niet zo veel af van de Copra van de Democraten. Wel wil hij afzonderlijke staatswetten over privacy, bijvoorbeeld die op 1 januari 2020 in California gaat gelden, door een staatswet ongeldig laten worden.
Controle over persoonsgegevens
Het kerndoel van de Copra is volgens Cantwell, in een samenvatting: ‘Dagelijks worden persoonlijke gegevens van bedrijf tot bedrijf doorgegeven, verzameld in digitale profielen, en dan gebruikt zonder kennis, begrip of toestemming van de consument. Zonder betekenisvolle rechten en bescherming, zullen consumenten machteloos en kwetsbaar blijven voor misbruik. Als onze apparaten slimmer worden en onze digitale profielen nauwkeuriger en krachtiger, zullen deze risico's toenemen.’
Tegenover Washington Post zegt Cantwell: “You have to start saying these aspects of your life belong to you, and you have the right to decide how they’re used.” Dit weerspiegelt de vraag over zeggenschap en controle over persoonsgegevens. Vooral het verwijderrecht is in deze belangrijk, voortvloeiend uit het Europese vergeetrecht. In de AVG zijn artikelen opgenomen die burgers het recht geven bij bedrijven hun data te laten wissen. Dat hebben de Amerikanen overgenomen, eveneens met een aantal voorwaarden. Samengevat komt het er op neer dat bedrijven hard moeten maken dat ze de gegevens nog nodig hebben, anders moeten ze aan het verwijderingsverzoek voldoen. (p 31-33 van het Copra-voorstel).
In een vraaggesprek van de Amerikaanse publieke omroep NPR zegt Cantwell: ‘In het digitale tijdperk moet je het recht hebben om je gegevens te controleren - dat wil zeggen, welke informatie over je wordt verzameld, welke informatie kan worden doorgegeven of verkocht aan een derde partij, de mogelijkheid om je informatie te laten verwijderen, als die organisatie of entiteit je niet bevalt. En ook om ervoor te zorgen dat er geen discriminerende praktijken tegen je worden gebruikt.’
Op het vooruitzicht van controle door burgers over commercieel gebruik van hun data, reageert de interviewer sceptisch dat ‘toestemming’ voor dataverwerking door bedrijven in de praktijk betekent dat surfers zo snel mogelijk op ‘ja’ klikken om van het gezeur verlost te zijn. Cantwell zoekt de oplossing in hoge boetes voor bedrijven die consumenten een rad voor ogen draaien met hun voorwaarden en methoden om toestemming voor dataverwerking te verkrijgen.
Ze noemt een bedrag aan online reclame van 126 miljard dollar per jaar. Boetes moeten passen bij die omzetten en opbrengsten moeten in een fonds komen om consumenten te compenseren: het Data Privacy and Security Relief Fund. Consumenten moeten ook persoonlijk bedrijven kunnen aanklagen die hun privacy schenden, voor het verkrijgen van schadevergoeding waarbij ze ook hun advocaatkosten kunnen claimen.
Controle van algoritmes
De Consumer Online Privacy Rights Act van 2019 voorziet in het volgende:
- Het recht om gevrijwaard te blijven van misleidende datapraktijken, die financieel, fysiek en/of voor je reputatie schadelijk zijn; en van handelingen die je als opdringerig ervaart;
- Het recht op toegang tot gegevens en een grotere transparantie; gedetailleerde informatie en duidelijke informatie over hoe gegevens worden gebruikt en gedeeld;
- Het recht om het verkeer van gegevens te controleren, onder meer met een blokkering van doorgifte van data aan derde partijen;
- Het recht om gegevens te verwijderen of te corrigeren, en mee te nemen naar een concurrerende dienst;
- Bescherming krijgen tegen verzameling van gevoelige data, zoals biometrische – en locatiegegevens.
Nieuwe waakhond
Net als in Europa moeten bedrijven gaan voldoen aan principes als dataminimalisatie en vereisten voor kwaliteit en beveiliging. Klokkenluiders die privacyschendingen aan het licht brengen, krijgen bescherming.
Nieuw is de vereiste dat bedrijven verplicht worden om hun algoritmes jaarlijks uitvoerig op hun werking te laten beoordelen opdat ze niet discrimineren in afkomst, ras, etniciteit, biometrische gegevens, inkomen en nationaliteit. Dat geldt met name in huisvesting, kredietverlening, onderwijs en vacatures.
Handhaving moet plaatsvinden door een nieuw Bureau voor privacytoezicht bij de Federal Trade Commission (FTC), en tevens door aanklagers in de afzonderlijke staten. Voor zo’n waakhond wordt al jaren gepleit in de VS, omdat de FTC te willekeurig en te politiek gebonden zou handelen.
Instemming EFF
In een uitvoerig commentaar schrijft Adam Schwartz van de Electronic Frontier Foundation dat zijn club instemt met het voorstel, maar dat het op enkele punten niet ver genoeg gaat. De EFF is bezorgd dat persoonsgegevens als een soort betaalmiddel gaan gelden: die niet meedoet krijgt geen toegang tot een dienst; of moet meer betalen.
In een eerder advies voor privacywetgeving vroeg the EFF al om regels tegen deze ‘pay for privacy’. Privacy moet een grondrecht blijven en geen te verhandelen recht worden dat consumenten afwegen tegen andere rechten en voordelen. Dan dreigt ook een situatie dat rijken zich meer privacy kunnen permitteren dan armen.
Echter, de Copra voorziet wel in een artikel dat bedrijven geheel verbiedt om een dienst te weigeren als iemand geen data verstrekt. Dit artikel 109 Prohibition On Waiver Of Rights stelt voor bedrijven (‘covered entity’) het volgende.
A covered entity shall not condition the provision of a service or product to an individual on the individual’s agreement to waive privacy rights guaranteed…except in the case where
(A) there exists a direct relationship between the individual and the covered entity initiated by the individual;
(B) the provision of the service or product requested by the individual requires the processing or transferring of the specific covered data of the individual and the covered data is strictly necessary to provide the service or product; and
(C) an individual provides affirmative express consent to such specific limitations.
Verder wil de EFF dat eenvoudige voorzieningen om dataverzameling door bedrijven te blokkeren, tot wet worden verheven: bijvoorbeeld door bedrijven te verplichten om de Do Not Track van browsers te respecteren en van diegene die DNT instellen dan geen data van het surfen of van het appgebruik te verzamelen.
Democraten en Republikeinen gaan verder overleggen over een nieuwe wet waarbij de lobbyclubs als EFF weer langskomen.