5 landen met GDPR-gelijkaardig dataprivacybeleid

GDPR, en de marketingimplicaties van restrictieve dataprivacyregels, wordt vaak beschouwd als het beperkte reservaat van de Europese Unie.

Dit is echter een misvatting: de door de EU vastgestelde wetgeving heeft betrekking op de bescherming van "gegevens van EU-burgers en -ingezetenen" - en niet alleen op de bescherming van gegevens die binnen de grenzen van de EU blijven.

In artikel 3 wordt het territoriale toepassingsgebied van de GDPR in detail beschreven, met inbegrip van twee belangrijke gevallen waarin de GDPR buiten de EU van toepassing is:

1. bij het aanbieden van goederen en diensten aan EU-burgers en -ingezetenen
2. bij het monitoren van het onlinegedrag van burgers en ingezetenen van de EU

Naast deze uitzonderingen bestaat er ook soortgelijke, vaak op de GDPR geïnspireerde, wetgeving in andere delen van de wereld.

Welke andere landen hebben een GDPR-achtig privacybeleid?

1. Californië (Ja, we weten het, geen land)

Waarschijnlijk de meest besproken GDPR-achtige privacywet buiten de EU is de California Consumer Privacy Act (CCPA).

Hoewel Californië duidelijk een staat is en geen land, heeft de populariteit van deze wetgeving ertoe geleid dat een aantal andere staten plannen heeft om in 2022 een soortgelijk beleid in te voeren.

In totaal hebben 15 staten bevestigd dat zij van plan zijn dit jaar een soortgelijk wetsvoorstel in te dienen of dat zij reeds met een dergelijk voorstel bezig zijn.

Tot die staten behoren Maryland, Florida, Washington en Mississippi, terwijl verscheidene andere staten - hoewel zij zich er niet toe hebben verbonden in 2022 met een dergelijk beleid te komen - de mogelijkheid onderzoeken om dit voorbeeld te volgen.

2. Zweden (de eerste dataprivacywet)

Hoewel Zweden natuurlijk lid is van de Europese Unie en dus onder de GDPR valt, is het ook de moeite waard terug te kijken naar 's werelds eerste nationale dataprivacywet.

Ja, geloof het of niet, maar de privacywetgeving in het digitale tijdperk nadert nu zelf haar 50e verjaardag.

Samen met de Duitsers speelden de Zweden een sleutelrol in de vroege gegevensbeschermingswetgeving. Zo werd in 1973 de eerste nationale privacywet, de Data Act, aangenomen.

Deze wet, die werd ontwikkeld om "gegevensdiefstal strafbaar te stellen en betrokkenen de vrijheid te geven hun gegevens in te zien", werd al in 1969 in het leven geroepen naar aanleiding van de digitale verwerking van volkstellingsgegevens.

Een combinatie van de vroege invoering van computers in overheidsdienst in Zweden en een cultuur van transparantie en openheid effende de weg voor de wetgeving.

3. Canada en PIPEDA

De Canadese Personal Information Protection and Electronic Documents Act (PIPEDA) wordt vaak beschouwd als de wet inzake gegevensprivacy die het dichtst bij de GDPR staat.

De ontwikkeling van de wet was gedeeltelijk ingegeven door de ambitie om EU-beleidsmakers gunstig te stemmen en de gegevensoverdracht tussen Canada en de EU te vergemakkelijken.

Hoewel de wet veel gelijkenissen vertoont met de GDPR, zijn er toch enkele belangrijke verschillen, waarvan sommige verantwoordelijk worden geacht voor de beperking van de internationale aantrekkingskracht van de PIPEDA.

Deze verschillen draaien rond zeven hoofdgebieden:

1. Criteria inzake toepasselijkheid
2. Extraterritorialiteit
3. Toestemming voor gegevensverwerking
4. Het recht om te worden vergeten
5. Dataportabiliteit
6. Kennisgeving van inbreuken in verband met gegevens
7. Boetes

Wat dat laatste punt betreft, is de omvang van de boetes in verband met GDPR-inbreuken bijna legendarisch geworden en een belangrijke katalysator voor de creatie van GDPR-compliant softwareoplossingen en adviesbureaus voor gegevensverwerking.

Er gaapt een enorme kloof tussen de boetes die via GDPR kunnen worden opgelegd - tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet - en de boetes in het kader van PIPEDA, die beperkt blijven tot 100.000 CAD-dollar (ongeveer 70.000 euro).

PIPEDA is gebaseerd op de 10 Fair Information Principles:

1. Verantwoordingsplicht
2. Identificatie van de doeleinden waarvoor persoonsgegevens worden verzameld
3. Toestemming van de betrokkene voor het verzamelen, gebruiken en bekendmaken van persoonlijke informatie
4. Beperking van het verzamelen van gegevens tot hetgeen noodzakelijk is voor het door de organisatie vastgestelde doel
5. Beperking van het gebruik, de openbaarmaking en de bewaring
6. Nauwkeurigheid van persoonlijke informatie
7. Beveiliging van persoonlijke informatie tegen verlies of diefstal, ongeoorloofde toegang, enz.
8. Openheid over beleid en praktijken met betrekking tot het beheer van persoonlijke gegevens
9. Individuele toegang op verzoek
10. Betwisting van de naleving van de beginselen van de PIPEDA

4. Israël

Als we kijken naar het Midden-Oosten en Afrika als geheel, zijn er verschillende landen en regio's die wetten inzake gegevensprivacy hebben opgesteld.

De Israëlische regelgeving inzake gegevensbeveiliging wordt beschouwd als de meest op één lijn gebrachte met de GDPR, ondanks het feit dat ze verschillende kenmerken bevat - zoals regels inzake wachtwoorden en penetratietests (of pentests) - die niet voorkomen in de EU-wetgeving.

Desondanks wordt de Israëlische wetgeving inzake gegevensbescherming door de Europese Commissie (EC) als adequaat beschouwd en maakt zij de verwerking van gegevens van EU-ingezetenen mogelijk.

Hiermee komt het land naast slechts 13 andere "derde landen" met een door de EG bevestigd niveau van gegevensbescherming. Andere landen zijn Nieuw-Zeeland, Canada (zie hierboven), Zuid-Korea en het Verenigd Koninkrijk.

Deze wetten zijn de laatste jaren ook herhaaldelijk bijgewerkt, met een nieuw wetsontwerp dat de enigszins archaïsche wet op de bescherming van de persoonlijke levenssfeer in overeenstemming wil brengen met het digitale tijdperk, dat nog in januari 2022 werd gepubliceerd.

Naast Israël zijn er landen in het Midden-Oosten met een vorm van nationale privacywetgeving, waaronder Bahrein, Qatar en Turkije - de laatste is grotendeels gebaseerd op de versie van de GDPR van vóór 2018.

5. Kenia (en de Afrikaanse Unie)

De Afrikaanse Unie (AU) heeft in 2014 het GDPR-achtige Verdrag inzake cyberbeveiliging en bescherming van persoonsgegevens aangenomen, met de bedoeling de afzonderlijke AU-landen te dwingen nationale privacywetten aan te nemen.

Desondanks is het initiatief maar moeizaam van de grond gekomen: slechts vijf landen hebben hun eigen privacywetgeving ontwikkeld en aangenomen.

Een van die landen is Kenia's Data Protection Act, die in 2019 in werking is getreden en sindsdien is geëvolueerd en verbeterd.

Bij de goedkeuring verklaarde Joe Mucheru, Kenia's minister van Informatie, Technologie en Communicatie: "Kenia heeft zich aangesloten bij de wereldgemeenschap op het gebied van gegevensbeschermingsnormen".

Andere Afrikaanse landen die een of andere vorm van privacywetgeving hebben aangenomen zijn Nigeria, Mauritius, Zuid-Afrika en Uganda.

Andere nationale privacywetten en wat ons nog te wachten staat

Naast deze vijf voorbeelden zijn er verschillende andere landen die GDPR-achtige privacywetten hebben aangenomen.

Zoals eerder in het artikel vermeld, hebben in totaal 14 derde landen normen die compatibel en in overeenstemming met de GDPR worden geacht.

Naast de eerder genoemde landen hebben ook Japan, Brazilië, Uruguay, Zwitserland, Andorra, de Faeröer, Guernsey, Isle of Man, Jersey en Argentinië vergelijkbare privacywetten.

Nu het onderwerp van de bescherming van digitale gegevens en privacy een steeds mondialer en veelbesproken onderwerp wordt, is het waarschijnlijk dat binnen niet al te lange tijd meer landen zullen worden verplicht soortgelijke wetten aan te nemen of te verbeteren.