We hebben het voorbije jaar al geregeld bericht over de vele databeschermingswetgevingen die in navolging van GDPR of AVG overal in de wereld de kop op steken. Brazilië heeft inmiddels een eigen “GDPR wetgeving”, net als Japan, China, Rusland en Californië…
In de Verenigde Staten was het altijd al meer liberale en vooruitlopende Californië de eerste staat met een betere databescherming voor haar burgers. Qua vorm en inhoud is deze California Consumer Privacy Act (CCPA) duidelijk vergelijkbaar met de Europese GDPR. De eerste staat die het voorbeeld van Californië volgt, is meteen ook voor heel wat Belgische en Europese bedrijven wellicht toch wel de belangrijkste: New York. Heel wat Europese bedrijven hebben hun Amerikaanse vestiging of vertegenwoordiging immers precies in New York. Reden voor ons om alvast even melding te maken van de toekomstige wetgeving ter plekke rond gegevensbescherming. Het zou immers jammer zijn om in Europa goed onderbouwd en voorbereid met data om te gaan om dan op een gegeven ogenblik in de VS alsnog een boete op te lopen…
Data Shield Act, de eerste stap is gezet
Bedrijven in New York kenden de voorbije jaren enkele grote datalekken, waaronder de Equifax-zaak in juli 2017. Daaropvolgend heeft de staat New York recent een eerste databeschermingswet ingevoerd. Deze zogenaamde Data Shield Act moet zorgen voor strengere verplichtingen voor bedrijven die persoonsgegevens verwerken.
De Data Shield Act is niet echt een allesomvattende GDPR-achtige wetgeving, maar is een eerder beperkte wet die vooral wil verzekeren dat elk bedrijf in New York de nodige inspanningen doet op een hoog niveau van beveiliging van persoonsgegevens te garanderen om data breaches te voorkomen. Dat is weliswaar ook één van de uitgangsprincipes van de GDPR, maar die laatste is natuurlijk veel alles omvattender, met bijvoorbeeld uitgebreide verplichtingen rond interne documentatie, transparantie en informatie, dataminimalisatie, doelgebondenheid en beperkte bewaartermijnen.
Hoewel de Data Shield Act een duidelijk stap vooruit is in gegevensbescherming, willen heel wat politici in New York een stap verder gaan. Dat heeft geleid tot een eerste ontwerp van een erg op de Europese Algemene Verordening Gegevensbescherming lijkende Data Privacy Act eerder dit jaar.
Toekomstige Data Privacy Act?
Op het eerste zicht zal de toekomstige New York privacywetgeving (Data Privacy Act), als ze uiteindelijk aangenomen wordt, aanzienlijk zwaarder zijn dan CCPA uit Californië, die als inspiratie dient. Die CCPA op haar beurt is wal minder streng, vooral voor kleinere bedrijven, dan onze Europese GDPR, maar New York lijkt dus eerder te gaan aanleunen bij Europa dan bij Californië.
De toekomstige wetgeving heeft overigens nog een hele weg te gaan voor ze definitief is. Een eerste poging deze zomer om ze op de agenda te krijgen ter stemming is alvast mislukt, maar het lijkt er voorlopig op dat de initiatiefnemers niet opgeven en wellicht zal er in een of andere vorm in 2020 toch een finale Data Privacy Act op tafel liggen, zij het enigszins gewijzigd onder de te verwachten druk van allerlei lobbygroepen.
Principes van de New York Privacy Act
Hoewel er, zoals gezegd, tussen nu en de laatste stemmingen zeker nog wijzigingen in de New York Privacy Act kunnen sluipen, lijken de grote principes toch vast te staan. Net als onder de CCPA en de GDPR, zou de nieuwe wetgeving inwoners van New York state veel meer controle over hun persoonlijke gegevens moeten geven. Met de New York Privacy Act kunnen New Yorkers bijvoorbeeld achterhalen welke gegevens over hen worden verzameld en met wie de gegevens worden gedeeld. Inwoners van de staat krijgen ook het recht om te vragen dat persoonlijke gegevens worden gecorrigeerd of verwijderd, en om te vragen dat bedrijven die gegevens niet met derden zouden delen of ze niet zouden verkopen. Bedrijven zouden, net als in Europa onder GDPR, binnen 30 dagen moeten reageren op algemene informatieverzoeken (maar in tegenstelling tot onder GDPR enkel voor een “terugblikperiode” van 12 maanden voorafgaand aan het verzoek). Ook de meldplicht voor datalekken is duidelijk geïnspireerd op onze eigen GDPR.
Strenger dan CCPA
Een opmerkelijk verschil tussen de New York Privacy Act en de CCPA is het feit dat de privacywetgeving van New York geen minimum-grootte oplegt voor bedrijven om onder de nieuwe wetgeving te vallen. In Californië zijn enkel bedrijven die ten minste 25 miljoen dollar omzet draaien onderworpen aan CCPA. Dat stelt héél wat bedrijven, zo niet de meeste bedrijven, vrij van databeschermingsregels. New York echter trekt dezelfde kaart als GDPR en onderwerp alle bedrijven op gelijke wijze aan de nieuwe regels. Daardoor worden net als bij ons ook kleine start-ups met slechts een paar werknemers of bijvoorbeeld bijhuizen van buitenlandse bedrijven toch onderworpen aan de New York Privacy Act.
Timing en wat belangrijk is voor jou
We houden bij Sirius Legal natuurlijk de verdere evolutie in de gaten en informeren je over alle definitieve teksten zodra die er zijn. In afwachting mag je er van uit gaan dat ergens in 2020 de finale versie van de New York Privacy Act zal voorliggen. Wellicht zal hierin nog een overgangsperiode zitten voor bedrijven om zich in regel te stellen. Daarna moet je, net als een jaar geleden in België en Europa, dringend werk maken van jouw data protection compliance. In afwachting moet je wél al rekening houden met de Privacy Shield Act, waaronder je afdoende bescherming van persoonsgegevens tegen datalekken moet kunnen aantonen.
Hulp ter plaatse nodig?
We geven graag mee bij dit alles dat Sirius Legal via onze internationale contactennetwerken zoals Consulegis en Smart Cities Law Firms zéér nauw samenwerkt met tientallen buitenlandse advocatenkantoren, waaronder heel wat kantoren uit New York. We kunnen je dus zeker in contact brengen met de juiste specialisten en in overleg met hen de situatie voor jou verder opvolgen.
Vragen rond GDPR wetgeving, databescherming in de VS of rond internationale handel?
Neem gerust contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931