Iubenda logo
Aan de slag

Documentatie

Inhoud

De American Gegevens Privacy and Protection Act (ADPPA): een overzicht

Terwijl veel nieuwe privacywetten effectief worden op staatsniveau, hebben de Verenigde Staten nog steeds geen allesomvattende federale wet op de privacy en bescherming van Gegevens aangenomen. Then, if Bill H.R. 8152, de Amerikaanse Gegevens Privacy Protection Act (ADPPA), sterk van tweezijdige steun, zou worden aangenomen, zou het de eerste federale privacywet worden na bijna twee decennia discussie.

In deze post bespreken we de belangrijkste definities en vereisten van het wetsvoorstel, om een duidelijker idee te hebben van wat er zou gebeuren als de ADPPA zou worden gehandhaafd.

American Data Privacy and Protection Act (ADPPA)

Wat is de Amerikaanse Gegevens Privacy Protection Act (ADPPA)?

Volgens de officiële tekst is de ADPPA:

Een wetsvoorstel om Consumenten fundamentele privacyrechten inzake Gegevens te bieden, sterke toezichtmechanismen te creëren en zinvolle handhaving vast te stellen.

De ADPPA zou alle Amerikaanse Consument aanzienlijke rechten inzake Gegevens verlenen en tevens een monitoringsysteem opzetten voor de verzameling en verwerking van Gegevens door de betrokken entiteiten.

Als federale wet zou de ADPPA over het algemeen andere privacywetten op staatsniveau prevaleren die onder zijn bepalingen vallen, zoals Californië’s CPRA of Virginia’s VCDPA. Dat betekent dat entiteiten die zaken doen in de VS zouden moeten voldoen aan de ADPPA, omdat de meeste staatswetten niet langer van toepassing zouden zijn.

Voorkeur van staatswetten
Geen enkele Staat of staatkundig onderdeel van een Staat mag een wet, voorschrift, regel, norm, vereiste of andere bepaling aannemen, handhaven, afdwingen, voorschrijven of handhaven die de kracht en werking heeft van wet van een Staat of staatkundig onderdeel van een Staat, die onder de bepalingen van deze Akte valt, of een regel, voorschrift of vereiste die krachtens deze Akte is afgekondigd.

De VS. Federal Trade Commission zou voornamelijk verantwoordelijk zijn voor de handhaving van het wetsvoorstel. Volgens het ontwerp moet de FTC een nieuw bureau oprichten met de naam “Bureau of Privacy”, dat moet zorgen voor het toezicht op en de handhaving van het wetsvoorstel.

Op wie is de ADPPA van toepassing?

De Amerikaanse Data Privacy Protection Act zou van toepassing zijn op de zogenaamde “covered entities”.

In de ontwerptekst wordt een gedekte entiteit gedefinieerd als “elke entiteit of persoon, anders dan een persoon die handelt in een niet-commerciële context, die alleen of samen met anderen het doel van en de middelen voor het verzamelen, verwerken of overdragen van gedekte Gegevens bepaalt”. Deze brede definitie omvat de overgrote meerderheid van de bedrijven.

De definitie omvat geen federale, staats-, stam-, territoriale of lokale overheidsentiteiten of personen of entiteiten die namens hen Gegevens verzamelen en verwerken.

Wat wordt onder de ADPPA als Persoonsgegevens ConS?

De ADPPA definieert “bedekte Gegevens” als informatie die – alleen of in combinatie met andere informatie – kan leiden tot de identificatie van, of gekoppeld is aan of redelijkerwijs gekoppeld kan worden aan een persoon of zijn apparaat. Deze definitie omvat ook unieke Identificaties, zoals IP-adressen.

Anderzijds omvat de definitie van “gedekte Gegevens” niet:

  • geanonimiseerde Gegevens;
  • Gegevens werknemer;
  • openbaar beschikbare informatie, of
  • conclusies die zijn getrokken uit meerdere onafhankelijke bronnen van openbaar beschikbare informatie die geen gevoelige gedekte Gegevens over een persoon onthullen.

De Amerikaanse Wet Bescherming Persoonsgegevens bevat ook een specifieke sectie gewijd aan “gevoelige gedekte Gegevens”: sofi- en paspoortnummers; gezondheidsinformatie; nummers van financiële rekeningen, betaalkaarten en creditcards; biometrische en genetische informatie; privécommunicatie; inloggegevens voor elk account of apparaat, om er maar een paar te noemen.

Belangrijkste principes van de Amerikaanse Gegevens Privacy and Protection Act

Onder titel I – Loyaliteitsplicht definieert de ADPPA haar belangrijkste beginselen:

  • Gegevens minimaliseren: een bedrijf moet zijn verzameling, verwerking en overdracht van gedekte Gegevens beperken tot wat redelijkerwijs Strikt noodzakelijk en evenredig is om een toegestaan doel te bereiken of een specifiek Product of Dienst te leveren waarom wordt gevraagd door de persoon aan wie de Gegevens toebehoren.
  • Loyaliteitsplichten: omvatten voornamelijk die activiteiten die de ADPPA verbiedt, namelijk: de verwerking van gevoelige Gegevens, telkens wanneer dit niet Strikt noodzakelijk is om het individu een door hem gevraagde Dienst te verlenen, of de overdracht van Persoonsgegevens aan een derde partij zonder de ConS van het individu.
  • Privacy by design: entiteiten die Persoonsgegevens verzamelen en verwerken, moeten waarborgen en beveiligingspraktijken implementeren om ervoor te zorgen dat hun activiteit veilig en in overeenstemming met de toepasselijke wetgeving wordt uitgevoerd.
  • Loyaliteit aan particulieren met betrekking tot prijzen: gedekte entiteiten moeten zich onthouden van vergeldingsmaatregelen tegen een particulier voor de uitoefening van een van de door de ADPPA gegarandeerde rechten, waaronder het weigeren van goederen of Diensten, het hanteren van verschillende prijzen of tarieven of het leveren van een ander kwaliteitsniveau.

Rechten inzake consumentengegevens onder de ADPPA

De rechten van Consumenten uit hoofde van titel II van de ADPPA omvatten:

  • Consumenten bewustwording: binnen 90 dagen na de inwerkingtreding van de ADPPA zou de FTC een beschrijving van elke bepaling, recht, verplichting en vereiste van de wet op haar website moeten publiceren.
  • Transparantie: elke betrokken entiteit maakt op een duidelijke, opvallende, gemakkelijk te lezen en gemakkelijk toegankelijke manier een Privacybeleid openbaar dat een gedetailleerde en nauwkeurige weergave geeft van hun activiteiten op het gebied van het verzamelen, verwerken en overdragen van Gegevens.
  • Individuele Gegevens Eigenaar en Controle: individuen hebben het recht op toegang, correctie, verwijdering en portabiliteit van hun Gegevens.
  • Recht op ConS en Bezwaar: entiteiten moeten individuen een middel bieden om, onder andere, hun ConS te geven en in te trekken met betrekking tot de verwerking of overdracht van hun gedekte Gegevens en om zich af te melden voor gericht Adverteren.
  • Gegevens Bescherming voor Kinderen en Minderjarigen: organisaties zijn Onderwerp aan aanvullende eisen wanneer personen jonger dan 17 jaar betrokken zijn. Zo is gericht Adverteren uitdrukkelijk verboden, evenals de overdracht van Gegevens aan derden, als er geen expliciete ConS is van de gedekte minderjarige of de ouder of voogd van de gedekte minderjarige.
  • Externe inzamelende entiteiten: externe inzamelende entiteiten plaatsen een duidelijke en opvallende Kennisgeving op hun website en/of app, waarin natuurlijke personen worden geïnformeerd dat zij een externe inzamelende entiteit zijn, in de taal die is gespecificeerd in de FTC-regelgeving.
  • Gegevens beveiliging en bescherming van gedekte Gegevens: organisaties moeten Gegevens beveiligingspraktijken en -procedures implementeren en onderhouden die Gegevens beschermen en beveiligen tegen onbevoegde toegang en overname.

Aangezien het wetsvoorstel de wetgevingsprocedure niet heeft afgerond en evenmin is aangenomen, zijn er nog geen effectieve wettelijke vereisten. Mocht de ADPPA in de huidige tekst echter van kracht worden, dan zijn de betrokken entiteiten aan de volgende verplichtingen Onderwerp:

  • Een Privacybeleid: privacybeleid wordt uitdrukkelijk in de tekst vermeld en moet in ieder geval omvatten:
    • de contactgegevens van de gedekte entiteit;
    • de gegevens van de derden die de Gegevens ontvangen;
    • welke Gegevens worden verzameld en verwerkt en waarom;
    • welke rechten de personen hebben met betrekking tot hun Gegevens en hoe zij deze kunnen uitoefenen;
    • hoe lang de organisatie van plan is de Gegevens te bewaren.
  • Een mechanisme om ConS te verzamelen voor de verwerking van gevoelige gedekte Gegevens en voor individuen om deze in te trekken.
  • Een mechanisme om af te zien van doelgericht Adverteren.
  • Als u een derde verzamelende entiteit bent, een duidelijke Kennisgeving op uw website en/of app om individuen te informeren over uw activiteit.
Wat moet ik doen?

Op dit moment hoeft u niets te doen met betrekking tot de ADPPA: de tekst is nog steeds een concept en de discussie kan maanden duren. Ons team van iubenda zal echter altijd de situatie in de gaten houden en u op de hoogte brengen van eventuele wijzigingen en updates.

👉 Schrijf je hier in, en mis het laatste nieuws niet!

Een ding dat je zou kunnen doen, echter, is om te controleren of een van de nieuwe effectieve US State Privacy Laws op u van toepassing zijn! Als dat het geval is, dan moet u voldoen aan hun eisen.

Maak je geen zorgen, het is makkelijker dan je denkt!

Doe gewoon deze 1 minuut quiz en ontdek

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com