Via SNIA is sinds medio december 2019 de webcast Data Privacy & Why it Matters te zien. De presentatie stipt meer dan alleen storage gerelateerde issues aan. Er wordt ook gewezen op de impact van CCPA en waarom dat voor Amerikaanse ondernemingen belangrijker is dan de AVG (GDPR).
AVG als opstapje
De AVG (GDPR) is meer dan een jaar van kracht. Iedereen in de EU kan dat weten, want websites vragen nu expliciet toestemming voor het mogen plaatsen van cookies. Er zijn ook websites die niet meer toegankelijk zijn. Amerikaanse websites serveren liever een 403 forbidden melding dan aan de EU regels te voldoen. Beide punten worden in de webcast kort aangestipt. Voor de drie sprekers was het een logisch opstapje naar de CCPA. Die wetgeving is per 1 januari 2020 van kracht en op het moment van de opname was mogelijk nog niet iedereen op de hoogte van de impact.
CCPA
Over de CCPA is op Technite al een paar keer geschreven. Voor EU bedrijven en burgers zijn de regels niet schokkend. Het lijkt sterk op wat de AVG voorschrijft. Voor Amerikanen is het echter een heel ander verhaal. Velen hebben zich niet verdiept in de AVG. Dat is overgelaten aan advocaten en consultants. Daarnaast is het een externe markt die lang niet door iedereen wordt bediend. Daarom is de CCPA voor de doorsnee Amerikaan veel belangrijker dan de AVG.
Dat klinkt logisch en zou ook verder weinig consequenties hoeven hebben. Als iemand geen zaken doet met de EU dan kan hij zijn website en marketing apparaat aanpassen op de CCPA regels en daarmee is de kous af.
Brede noemer
Volgens de SNIA sprekers is dat in theorie mogelijk, de werkelijkheid schrijft iets anders voor. Wie aan de CCPA eisen voldoet daarmee niet aan de AVG vereisten. CCPA is ook geen blinde kopie van privacy voorschriften uit Brazilië, India en andere landen die minder achterlopen dan de VS. Om het helemaal complex te maken: de CCPA is wetgeving uit Californië. Wat bij andere staten al in een vergevorderd stadium is en op federaal niveau (Washington DC) nog gaat komen staat daar los van. CCPA is binnen de Amerikaanse context niet gegarandeerd de breedste noemer waarmee bedrijven, maar ook overheden, in de VS per definitie aan alle veelvoorkomende nationale en internationale privacy (*) regels voldoen.
Belangrijker
Daarom kan van de CCPA niet worden beweerd dat deze belangrijker is dan de AVG. Omgekeerd is dat wat betreft die “brede noemer” eerder het geval. Toch is er ook iets voor te zeggen dat de CCPA belangrijker is. Juist omdat het specifiek Amerikaans is trekt het veel meer de aandacht dan iets dat alweer een jaar geleden vanaf de andere kant van de Atlantische Oceaan van kracht werd. Dat er zonder AVG geen CCPA zou zijn is een detail dat de Amerikanen liever vergeten. Ze hebben nu de handen vol om aan de CCPA te voldoen en te bepalen wat er nog meer gaat volgen.
De inschatting van de SNIA sprekers is daarbij interessant. Zij verwachten dat de tijd van “403 meldingen” binnenkort wel verleden tijd zal zijn. Het is onmogelijk een website of marketingtool dusdanig in te richten dat per keer aan tientallen verschillende lokale of nationale wetten kan worden voldaan. Het kan gebouwd worden, maar onderhoud is niet te doen. Met enige fantasie kan zelfs worden gesteld dat CCPA Amerikaanse bedrijven zal dwingen zich ook aan de AVG te houden.
Voor Nederlandse en EU ondernemers die diensten verlenen aan Amerikaanse bedrijven is dit overigens net zo een goede ontwikkeling als voor de klanten van die bedrijven.
(*) De AVG en CCPA gaan uiteraard over meer dan alleen privacy en het begrip kent verschillende definities. Voor dit artikel wordt uitgegaan van de EU betekenis van begrip.
