Ingezetenen
Dat de CCPA internationale aandacht heeft getrokken is begrijpelijk. Net als bij de AVG/GDPR maakt de vestigingsplaats van de ondernemer immer weinig uit. De wet is er voor bedoeld de ingezetenen van deze Amerikaanse staat te beschermen. In tijden van grensoverschrijdende handel plus data vergaring kan niet meer worden volstaan met wetgeving die bij de fysieke grens ophoudt werking te hebben.
Een van de kenmerken van de CCPA is dat de ondergrens voor compliancy is gesteld op 50.000. Wie minder dan zoveel gegevens van personen of huishoudens vergaart geldt volgens de wetgever als een kleine partij. Wie vervolgens onder dat aantal blijft, minder dan $25 miljoen jaaromzet haalt en voor minder van de jaaromzet afhankelijk is in het verkopen van persoonsgegevens heeft in principe weinig met de CCPA te maken.
De wet lijkt dus op het eerste gezicht vooral bedoeld om datagraaiers als Facebook en Google te kunnen reguleren. Maar wie de Amerikaanse business mores kent, weet dat ook alle telco’s en financials hierdoor worden geraakt. Zij verhandelen de gegevens van ingezetenen in Californië eveneens op grote schaal.
SHIELD
Een wet die daar weinig op lijkt is SHIELD. Het is waarschijnlijk ook daarom dat de pers nog weinig heeft geschreven over deze wet die per 21 maart 2020 van kracht wordt in de staat New York. SHIELD heeft een andere insteek dan CCPA. Bij de laatste staat privacy voorop, SHIELD draait om databescherming.
SHIELD is geen totaal nieuwe wet. Het borduurt voor op bestaande wetgeving. De bestaande boete voor een datalek ($150.000) is op die manier verhoogd tot $250.000 per incident. De bevoegdheden onderzoek (“criminal cybersecurity investigation”) te doen naar datalekken is ook een stap vergroot. Die laatste bevoegdheid betreft alleen bedrijven waarvan het hoofdkantoor in de staat New York is gevestigd.
Die geografisch begrensde bevoegdheid mag echter niet worden gezien als bewijs van een wet die alleen de ondernemers in New York aangaat. SHIELD past namelijk de bestaande bevoegdheden van de toezichthouders die over de privacy van ingezeten van de staat waken.
Van SHIELD is uiteraard al een wiki pagina en consultants als PWC hebben overzichten online staan om de lezers te waarschuwen voor de impact. De belangrijkste zijn:
- Wet geldt het vergaren van persoonsgegevens van inwoners van New York door elke entiteit in binnen- en buitenland;
- De meldplicht voor een datalek is aangepast. Nu geldt elke vorm van acces tot de data door een onbevoegde persoon of partij al als meldplichtig;
- De definitie van persoonsgegevens is uitgebreid. Naast NAW, telefoonnummers en e-mail adressen vallen er nu ook biometrische gegevens onder.
De impact van CCPA kan voor een doorsnee Nederlandse ondernemer met wat klanten in de VS gering zijn. Het zullen vooral zijn Amerikaanse leveranciers of partners zijn die maatregelen moeten treffen. Bij SHIELD wordt dat een ander verhaal. Iedereen met klanten (1 en meer!) in de staat New York moet weten hoe en wanneer hij per 21 maart 2020 een breachnotificatie moet versturen. Zoals bekend zijn er twee extra redenen die kennis op tijd te vergaren: het boetewapen van de New Yorkse strafhandhavers en het risico op fanmail van advocaten minimaliseren.
