Er zijn, niet geheel verrassend, duidelijk verschillende opvattingen over de aard en strekking van privacy en gegevensbescherming onder verwerkers van persoonsgegevens, burgers en wetgevers in verschillende landen. Dat heeft als gevolg dat rechten en plichten van verwerkers en betrokkenen ook sterk uiteenlopen. Er lijkt echter de afgelopen jaren een convergentie op gang te zijn gekomen die wordt gedreven vanuit de EU. Het Wild West tijdperk op het gebied van dataverwerking lijkt op zijn einde te lopen, zelfs in de wereld van Big Data.
Bezoekers van Privacyweb weten veel over de General Data Protection Regulation (GDPR; AVG) en het spanningsveld dat er in de praktijk bestaat tussen degenen die graag zo veel mogelijk persoonsgegevens verwerken en degenen die belast zijn met de bescherming van onze privacy. De EU heeft met de GDPR een aantal paaltjes geslagen over waar die balans ongeveer moet liggen. Die balans ligt elders, vooral in de voor ons zo belangrijke Verenigde Staten, anders. Daar is het credo meer: gegevens zijn er voor waarde creatie, 'data is the new oil'. Dit verschil tussen de VS en de EU heeft veel met culturele waarden en historie te maken.
De grondslag van de bescherming van rechten van betrokkenen in Europa ligt uiteindelijk in respect voor menselijke waardigheid (dignity) dat in Europa een rijke historie kent. Het recht op privacy is vervolgens verankerd in internationale verdragen (art. 8 EVRM) en het handvest van de grondrechten van de EU, wat daar in art. 8 nog eens een separaat recht op gegevensbescherming aan toevoegt.
In de VS staat vrijheid (liberty), centraal als basiswaarde (zie bijvoorbeeld Whitman). Daarnaast bestaat een haast utilistische opvatting over data als bron voor waardecreatie. Het niet benutten van beschikbare gegevens is haast een doodzonde. Er bestaat dan ook vrijwel geen generieke regelgeving over datagebruik in de VS. Data, ook in de publieke sector, worden vrijelijk verhandeld en zijn online beschikbaar. Denk bijvoorbeeld aan gegevens over veroordeelden op instantcheckmate.com. Voor bepaalde soorten gegevens bestaat er wel regelgeving (zoals HIPAA voor medische gegevens, of COPPA voor gegevens over minderjarigen), maar algemene regelgeving zoals de GDPR ontbreekt en past ook niet bij de Amerikaanse cultuur. Privacy en gegevensbescherming zijn geen mensenrechten in de VS, maar zaken die voor de privaatrechter moeten worden afgedwongen/uitgevochten (bijvoorbeeld via onrechtmatige daad).
De negatieve gevolgen van al die datahonger beginnen echter wel duidelijk te worden en we zien langzaam verschuivingen. Consumenten roeren zich steeds meer en sommige bedrijven kiezen voor privacy als (unique) selling point (Apple bijvoorbeeld, die dat kan doen omdat ze vooralsnog vooral hardware verkopen). Deze verschuivingen passen bij de Amerikaanse cultuur waar consumenten geacht worden met hun voeten en beurs de markt te sturen.
We zien echter ook een andere en misschien wel sterkere externe druk om de Amerikaanse privacy en gegevensbeschermingsnormen aan te passen. De bron daarvoor is Europa. Anu Bradford heeft in 2012 al betoogd dat er een Brussels effect bestaat. Hiermee bedoelt ze dat een land of jurisdictie de facto normen kan opleggen aan andere landen in een proces dat ze unilateral regulatory globalization noemt. Voorwaarden waaronder deze export van interne normen kan plaatsvinden zijn een grote interne markt, sterk regulerend vermogen, de mogelijkheid om inelastische markten (consumentenmarkt) te reguleren en het voordeel dat het voor derden oplevert om zich aan deze, doorgaans striktere, normen te houden in plaats van aan de lappendeken van meer en minder strikte normen elders. De EU voldoet aan al deze voorwaarden. Met ongeveer 400 miljoen consumenten, een ambitieuze Europese Commissie die zeggenschap heeft over de consumentenmarkt bevindt de EU zich in een uitstekende positie om het voortouw te nemen in wereldwijde normen. Dit hoeft niet eens opzet te zijn. Op het gebied van gegevensbescherming is een doel om consumenten in de EU te beschermen tegen bepaalde praktijken. Dat is wat de GDPR/AVG regelt. Partijen buiten de EU zullen zich de facto moeten conformeren aan EU-regelgeving om hun diensten en producten aan te mogen bieden aan consumenten in de EU. Amerikaanse dienstverleners, als belangrijke spelers in de online wereld, zullen hun diensten dus moeten aanpassen aan de Europese eisen. We hebben dat het afgelopen jaar duidelijk kunnen zien. Privacy policies zijn aangepast en ook op het gebied van cookies op websites zien we duidelijk de weerslag van de Europese regels. En zelfs dataportabiliteit bestaat echt als functie in systemen. Als diensten en producten zijn aangepast voor de Europese markt is de stap naar toepassing op de lokale markt niet zo groot en kan deze onder druk van consumenten mogelijk tot stand komen.
Maar er zijn ook verdergaande stappen passend bij het Brussels effect, een de jure aanpassing aan de EU regelgeving. Brazilië heeft in augustus 2018 een gegevensbeschermingswet (de LGPD) aangenomen die sterk is geënt op de GDPR. Kenia lijkt nog een stap verder te gaan met de Data Protection Bill 2018 die momenteel (maart 2019) in parlementaire behandeling is. Deze wet volgt de GDPR grotendeels. En ook in de VS gebeurt er iets. California, dat wel vaker het voortouw neemt, heeft met de Californian Consumer Privacy Act (CCPA) stappen gezet in de richting van de GDPR (voor een beknopte vergelijking tussen de GDPR, De CCPA en de LGPD). Dit is een belangrijke stap, omdat Californië binnen de VS eveneens voldoet aan de voorwaarden die Bradford had geschetst voor Unilateral regulatory globalization. Het California effect is het Amerikaanse kleinere zusje van het Brussels Effect.
Er is tot slot een kans dat Californië en Brussel tezamen gaan zorgen voor een meer uniforme regeling van de verwerking van persoonsgegevens in een significant deel van de wereld, geënt op Europese waarden. Zo is een teken dat we die richting uitgaan ook te zien in de oproep die Mark Zuckerberg (zoals bekend oprichter en baas van Facebook) op 30 Maart 2019 deed in een ingezonden brief in de Washington Post. Hij schreef daarin: "[…] effective privacy and data protection needs a globally harmonized framework. People around the world have called for comprehensive privacy regulation in line with the European Union’s General Data Protection Regulation, and I agree. I believe it would be good for the Internet if more countries adopted regulation such as GDPR as a common framework."
Dit artikel is ook te vinden in het dossier AVG
