10 vragen over de CCPA, beantwoord door de Amerikaanse rechtswetenschapper Chris Hoofnagle.
Op 1 januari 2020 treedt in Californië (VS) de nieuwe Californische Consumer Privacy Act (CCPA) in werking. Deze wet verplicht grote ondernemingen om hun gebruikers een opt-out aan te bieden voor de verkoop van persoonsgegevens aan derden. Maar wat betekent 'verkopen'? Op wie is de wet van toepassing en moeten bedrijven in Europa zich iets van de wet aantrekken?
Chris Hoofnagle, adjunct-hoogleraar rechten en faculteitsdirecteur van het Berkeley Center for Law & Technology, University of California, hielp bij het opstellen van het referendum voor een nieuwe privacywet in Californië, samen met zijn voormalige student Ashkan Soltani. Vlak voor de datum van de stemming besloot de financier van het referendum, Alastair Mactaggart, het initiatief in te trekken in ruil voor de belofte van de wetgever om een wet met vergelijkbare effecten aan te nemen. Deze nieuwe wet is de CCPA.
1) Wat is de CCPA en waarom is de wet beperkt tot Californië?
In de Verenigde Staten ontbreekt het aan een algemeen geldende privacywet zoals de AVG in de EU. In plaats daarvan heeft de VS een aanpak per sector en per staat. Dit zorgt aan de ene kant voor een wildgroei aan privacywetgeving, maar aan de andere kant laat het bepaalde soorten bedrijven, zoals datahandelaren, vrij om gegevens onbeperkt door te verkopen.
De CCPA is een staatswet, dus de toepassing ervan is technisch beperkt tot Californië. Maar deze beperking is om twee redenen alleen maar een technisch detail. Ten eerste is de Californische markt zo groot dat bedrijven in het hele land zullen proberen om aan de wet te voldoen. Ten tweede is de CCPA door haar reikwijdte meer AVG-achtig dan de gebruikelijke sectorgewijze aanpak in de VS. Mactaggart heeft de huidige handelspraktijken zorgvuldig bestudeerd en de CCPA opgesteld met zo’n brede scope en zoveel detail dat veel privacy-omzeilingstrucs zijn voorzien en uitgesloten.
De CCPA versterkt bestaande wetgeving over de omgang met datalekken en introduceert nieuwe privacyrechten voor consumenten. Nieuwe rechten zijn:
- het recht om bezwaar te maken tegen de verkoop van hun gegevens aan andere bedrijven,
- het recht om te weten welke persoonsgegevens voor welke doeleinden zullen worden verwerkt,
- het recht om inzage te krijgen in de persoonlijke informatie die een bedrijf over hen heeft,
- het recht om informatie te krijgen over alle derden waarmee deze gegevens worden gedeeld, en
- het recht om persoonlijke informatie te verwijderen.
De CCPA stelt consumenten ook in staat om een klacht in te dienen - maar alleen voor datalekken. Klagen over, en toezicht houden op, de (andere) privacybepalingen is voorbehouden aan overheidsorganen.
Privacy heeft het tij mee. Shoshana Zuboff's notie van "toezichtskapitalisme" (surveillance capitalism) heeft invloed gehad. Hadden privacy activisten het voorheen nog moeilijk om privacybedreigingen onder de aandacht te brengen, dat is veranderd sinds het Cambridge Analytica-schandaal. Tot slot denk ik dat artistieke kritiek belangrijk is voor het vormgeven van het wereldbeeld van mensen. HBO's Silicon Valley en Joshua Cohen's Book of Numbers hebben op geloofwaardige en vernietigende wijze verduidelijkt hoe de online platforms over hun gebruikers denken.
2) Moeten bedrijven in Europa zich zorgen maken over de CCPA? Wat betekent 'zakendoen in Californië'?
De CCPA is geen AVG. Maar de CCPA heeft in Californië zelfs voor meer privacy aandacht gezorgd dan de AVG. Bedrijven zien de CCPA als een wet van eigen bodem, in plaats van als regels die van veraf worden opgelegd. Europese bedrijven kunnen dus verwachten dat contracten bepalingen gaan bevatten over CCPA-naleving.
De wet is van toepassing op organisaties met winstoogmerk die persoonlijke informatie verzamelen over inwoners van Californië en zaken doen in Californië, als zij het doel en de middelen van de verwerking bepalen, en als ze voldoen aan een of meer van de volgende drie criteria:
- De jaarlijkse bruto omzet bedraagt meer dan 25 miljoen dollar per jaar, of:
- Het bedrijf koopt, ontvangt, verkoopt of deelt jaarlijks de persoonlijke informatie van 50.000 of meer natuurlijke personen, huishoudens of apparaten, of:
- Minstens 50% van de jaarlijkse omzet komt uit de verkoop van persoonlijke informatie van consumenten in Californië.
3) Wat is persoonlijke informatie in de CCPA en hoe verhoudt dit zich tot het begrip persoonsgegevens in de AVG?
De definitie in de CCPA is: "informatie die een bepaalde consument of een bepaald huishouden identificeert, daarop betrekking heeft, beschrijft, in verband kan worden gebracht met, of redelijkerwijs gekoppeld kan worden op directe of indirecte wijze,” Het belangrijkste verschil met de AVG is de toevoeging van het huishouden. Dat verschil is een reactie op een oude strategie van de data-industrie om de informatie te karakteriseren als "op huishoudniveau" en dus niet onderworpen aan privacyregels. Tot aan de beginjaren van 2000 kwalificeerden branche-organisaties gegevens zoals telefoonnummers als niet-persoonlijk, omdat sommige telefoonnummers betrekking hadden op een huishouden. We weten echter allemaal dat datahandelaren telefoonnummers gebruiken als unieke identificatiemiddelen en zelfs als authenticatiemiddelen. De CCPA verhindert deze en andere privacy-omzeilingstrucs, zoals betogen dat IP adressen of unieke nummers van apparaten geen persoonlijke informatie zouden zijn.
4) Bedrijven die zich aan de CCPA moeten houden, moeten een link "Verkoop mijn persoonlijke informatie niet" opnemen op hun homepage en in hun privacybeleid. Wat betekent 'verkopen'?
Het opnieuw definiëren van het begrip "verkoop" van gegevens was een belangrijk doel van de CCPA. De CCPA interpreteert verkoop als elke vorm van overdracht van persoonlijke informatie aan een ander bedrijf voor "geldelijke of andere waardevolle tegenprestatie". De CCPA legt juist zo'n lage lat voor de verkoop omdat bedrijven onnauwkeurige en misleidende termen hebben gebruikt om de gegevensoverdracht te verbergen. Bedrijven hebben bijvoorbeeld beweerd dat ze geen persoonlijke infomatie zouden verkopen, maar alleen zouden "delen" met "vertrouwde partners".
Sommige beroepsbeoefenaren verzetten zich nog steeds tegen de definitie en proberen "waardevolle tegenprestatie" zo te lezen dat de informatie maar van zijdelings belang is, en niet als onderdeel van de "verkoop" wordt beschouwd. Maar ik denk dat de rechtbanken deze misleidingstruc zullen doorzien. Als strategie komt het niet geloofwaardig over gezien de aard van datatransacties, die vaak langdurige onderhandelingen vergen over de gegevens die verkocht worden. Rechtbanken zullen vragen: "Als de gegevens niet van belang zijn, waarom heb je dan zoveel tijd besteed aan het onderhandelen over de toegangsvoorwaarden via een API"?
5) Is het recht van bezwaar ook van toepassing op tracking cookies?
Bedrijven houden niet van voorschriften hoe ze met hun consumenten moeten communiceren. De opdracht om "een duidelijke en opvallende link op de homepage van het bedrijf te plaatsen, met de titel 'Verkoop mijn persoonlijke informatie niet'," is dus een opdracht die bedrijven tot bijna elke prijs zullen willen vermijden. Dus, nee, ik denk niet dat we een spervuur van cookie banners zullen zien.
In plaats daarvan zullen bedrijven proberen om zich op een uitzondering te beroepen, dat het geen ‘verkoop is’. Terwijl bedrijven die via advertentienetwerken adverteren wel degelijk informatie ‘verkopen’, is er in de CCPA een uitzondering opgenomen voor het doorgeven van informatie aan een service provider. Bedrijven kunnen nog steeds veel netwerkadverteerders hebben, maar als ze een beroep willen doen op deze uitzondering moeten de service providers voldoen aan beperkingen en verplichtingen die vergelijkbaar zijn met die van verwerkers onder de AVG. Hoe deze uitzondering in de praktijk zal worden geïnterpreteerd, valt nog te bezien. De CCPA omarmt het idee dat de websites zelf, als first party, gedragsbaseerde reclame mogen tonen (behavioural advertising), maar probeert de excessen tegen te gaan van real time bidding (flitsveilingen) en het ongeremde doorgeven van gegevens aan derde partijen. De flitsveilingen hebben niet veel keuze en zullen de wet waarschijnlijk verkeerd interpreteren om hun bedrijfsactiviteiten voort te kunnen zetten. Ik denk dus dat de eerste handhavingsacties tegen adtech zullen worden gericht.
6) Wat zie je liever, het opt-in systeem in de EU, of het opt-out systeem dat door de CCPA wordt omarmd?
De CCPA gaat uit van opt-out vanwege het eerste amendement [op de Amerikaanse grondwet, dat de vrijheid van meningsuiting beschermt]. Omdat de CCPA ook betrekking heeft op niet-gevoelige persoonlijke informatie, bestaat er een reëel risico dat een opt-in of actief toestemmingsvereiste voor het verzamelen of verkopen van gegevens met succes zou worden aangevochten als een ontoelaatbare inbreuk op de commerciële vrijheid van meningsuiting.
Tegelijkertijd bevat de CCPA wel een innovatieve opt-outbepaling, geïnspireerd door de werkwijze van de not-for-profit milieu organisatie Catalog Choice. Deze organisatie biedt een centrale opt-outprocedure aan en maakt het makkelijk voor mensen om zich af te melden voor junkmail. De CCPA gaat nog verder en stelt mensen in staat om een vertegenwoordiger aan te wijzen die de opt-outs uitvoert. Ik verwacht dat dit organisaties zonder, en zelfs met winstoogmerk in staat stelt om assertieve privacy-vertegenwoordigers te worden. Zij kunnen mensen op grote schaal afmelden, en controleren of keuzes worden nageleefd.
7) Je stuurde in maart 2019 openbare opmerkingen over de CCPA naar de advocaat-generaal van Californië met voorstellen om de voorgestelde wet te verbeteren. Wat wilde je daarmee bereiken?
Ik probeerde een dossier op te bouwen om de CCPA te verdedigen in toekomstige rechtszaken over de vrijheid van meningsuiting, en om de voordelen te nadrukken van een markt voor privacy. Als het gaat om vrijheid van meningsuiting verwacht ik dat de CCPA op twee manieren wordt aangevochten: op de eis om de tekst op te nemen "Verkoop mijn persoonlijke informatie niet" en op de rechten voor mensen om zich af te melden en gegevens te verwijderen. Mijn punt is dat bedrijven consumenten systematisch hebben misleid. Eerder in mijn carrière heb ik in onderzoek met collega’s onderbouwd dat de meeste mensen ten onrechte denken dat het wettelijk verboden is voor bedrijven om gegevens te verkopen. Ingrijpende corrigerende maatregelen - zoals het verplicht opnemen van de tekst "Verkoop mijn persoonlijke informatie niet" - zijn noodzakelijk om een meerderheid van consumenten uit de droom te helpen dat er een wettelijk verbod is op de verkoop van persoonlijke informatie door bedrijven.
Ik zie voordelen in het aanmoedigen van een markt voor privacy. Dat is ongetwijfeld een gruwel voor Europeanen. Maar ik denk dat je privacy het snelst kunt beschermen door commerciële aanmoedigingen te creëeren om mensen te beschermen. De mogelijkheid om een afmelding uit te besteden betekent dat bedrijven zoals LifeLock dit als nieuwe dienst kunnen gaan verkopen. Tientallen miljoenen mensen zullen zich inschrijven voor een dergelijke dienst en dat betekent dat er na de inwerkingtreding van de CCPA op grote schaal opt-outs zullen plaatsvinden.
8) Onlangs heeft Alastair Mactaggart een nieuw referenduminitiatief gelanceerd. Wat wil hij met dit nieuwe initiatief bereiken?
Het belangrijkste onderdeel van dit referendum staat in het vierde punt: "Nog voordat de CCPA in werking was getreden, overwoog de wetgever al in 2019 om veel wetsvoorstellen in te dienen om de wet aan te passen, waarvan sommige de wet aanzienlijk zouden hebben verzwakt. Als de Californische kiezers geen actie zouden ondernemen, zouden de zwaarbevochten rechten die de consumenten hebben gewonnen, door toekomstige wetgeving kunnen worden ondermijnd."
Wat Mactaggart hier zegt is dat de wetgever ingewikkelde amendementen heeft ingediend die zogenaamd "technisch" zijn, maar die de hele wet zouden ontkrachten. MacTaggart neemt nu weer een nieuw initiatief zodat hij niet voortdurend een achterhoedegevecht hoeft te voeren met Google en andere bedrijven die proberen de privacyregels om zeep te helpen. Als de Californische privacyrechten via een referendum worden vastgesteld, zouden lobbyisten dit veel moeilijker af kunnen zwakken, omdat elk amendement in overeenstemming zou moeten zijn met de intentie van de uitkomst van het referendum om de privacyrechten te bevorderen.
9) Kunnen we verwachten dat de privacywetgeving in de VS in de toekomst veeleisender zal zijn wat betreft de verantwoordingsplicht van organisaties, zoals de AVG dat doet?
De staten hebben de neiging elkaar na te doen. Nevada heeft al een mini-CCPA in het leven geroepen. Op korte termijn verwacht ik meer staatswetten die de CCPA kopiëren en soms zelfs verder gaan. Maar er is ook een reële, legitieme bezorgdheid dat privacyrechten die direct afdwingbaar zijn, tot veel overbodige rechtszaken zullen leiden. Mactaggart vreest dit, en daarom heeft hij een verbod opgenomen voor particuliere rechtszaken over datalekken.
10) Privacyliefhebbers in de EU hopen dat de VS een federale privacywet aannemen a la de AVG. Hoe waarschijnlijk denk je dat dat is?
Er is meer animo in Washington D.C. voor een federale privacywet, maar het is nog steeds onwaarschijnlijk dat deze wordt aangenomen. We moeten het wetgevingsproces niet overhaasten, want een van de functies van het proces is het opbouwen van een erkenning voor privacy als een fundamentele waarde. Google en Facebook zien privacy nog steeds als een oneigenlijke, achterhaalde zaak. Vanuit die gedachte vinden ze telkens manieren om elke aangenomen privacywet te ondermijnen. We hebben het wetgevingsproces nodig om een consensus op te bouwen dat privacy nog steeds een relevante waarde is, die het beschermen waard is, zodat de Googles en Facebooks van de wereld zich verplicht voelen om zich aan de regels te houden.
