Sinds de invoering ervan is de Algemene Verordening Gegevensbescherming (GDPR) van de EU door deskundigen beschouwd als 's werelds sterkste verzameling van gegevensbeschermingsregels. Naarmate onze online aanwezigheid via sociale media, digitaal bankieren en andere middelen toeneemt, zijn landen over de hele wereld gaan beseffen dat zij niet achter kunnen blijven als het gaat om de bescherming van de persoonsgegevens van hun burgers.
GDPR werd op 24 mei 2016 in Europa goedgekeurd en werd op 25 mei 2018 volledig van kracht. GDPR, die voortbouwt op eerdere Europese wetten uit de jaren 90, heeft tot doel de privacywetgeving inzake gegevens in de hele EU te harmoniseren en haar burgers beter te beschermen door middel van 7 kernbeginselen, waaronder transparantie, doelbinding, nauwkeurigheid en andere.
Wat GDPR uniek maakt, is dat de werkingssfeer ervan verder reikt dan de grenzen van de EU, wat betekent dat elk bedrijf dat met persoonsgegevens van EU-burgers omgaat, onder de Europese wet valt, waar ter wereld het zich ook bevindt. 3 jaar na de toepassing ervan hebben GDPR-boetes in het derde kwartaal van 2021 wereldwijd in totaal 1 miljard euro bedragen, 20 keer meer dan in de eerste twee kwartalen van het jaar samen. De grootste boete in de geschiedenis van de verordening werd in 2021 aan Amazon aangerekend voor maar liefst 746 miljoen euro.
GDPR maakt niet alleen een verschil voor de inwoners van de EU, maar inspireert ook andere landen om privacywetten te wijzigen of in te voeren naar het voorbeeld van de Europese tegenhanger. Van de Braziliaanse LGDP tot wet nr. 13 van 2016 van Qatar, GDPR blijkt de toonaangevende privacywetgeving ter wereld te zijn.
Hoe is GDPR de norm voor privacywetten?
Elizabeth Denham, Information Commissioner van het Verenigd Koninkrijk, heeft GDPR omschreven als evolutionair in plaats van revolutionair. Hoewel er in verschillende delen van de wereld al privacywetten bestonden, met de Duitse deelstaat Hessen als eerste in 1970, heeft GDPR voortgebouwd op de fundamenten daarvan door bepaalde normen aan te scherpen en nieuwe benaderingen van gegevensbescherming in te voeren. Begrippen als toestemming van de betrokkenen onderscheiden GDPR van haar voorgangers.
Professoren Chris Jay Hoofnagle, Bart van der Sloot, en Frederik Zuiderveen Borgesius hebben GDPR beschreven in hun document van 2019 ?The European Union general data protection regulation: what it is and what it means? als "de meest ingrijpende regelgevende ontwikkeling op het gebied van informatiebeleid in een generatie". Bovendien geloven zij dat GDPR "persoonsgegevens onder een gedetailleerd regelgevingsregime zal brengen, dat het gebruik van persoonsgegevens wereldwijd zal beïnvloeden."
Hoewel GDPR zeker niet perfect is - zoals blijkt uit de kritiek op de vage bepalingen, het gebrek aan richtsnoeren en de onduidelijkheid over de internationale gegevensstromen - is zij momenteel een van de strengste gegevensbeschermingswetten ter wereld.
Wat is wetgeving die vergelijkbaar is met GDPR?
Hieronder vindt u een lijst van landen die hun privacywetgeving hebben gewijzigd of nieuwe wetten hebben ingevoerd, geïnspireerd door GDPR. Hoewel er verschillen zijn tussen de Europese verordening en deze wetten, worden hieronder een paar overeenkomsten opgesomd.Land
Naam
Acroniem
Datum
Overeenkomsten
Qatar
Law No. 13 of 2016
N/A
13/11/2016
Recht om persoonsgegevens te wissen of te corrigeren en recht om toestemming voor het gebruik van persoonsgegevens in te trekken. Verplichting voor organisaties om rekening te houden met privacykwesties bij het ontwerpen en ontwikkelen van producten, systemen en diensten - privacy by design.
Mauritius
Data Protection Act
N/A
15/01/2018
Rechtmatige verwerking van persoonsgegevens. Recht op toestemming met betrekking tot persoonsgegevens, recht van verzet, recht op toegang, en recht op rectificatie van onvolledige of onnauwkeurige gegevens. Encryptie en pseudonimisering van persoonsgegevens.
Verenigd Koninkrijk
United Kingdom General Data Protection Regulation
UKGDPR
23/05/2018 (werd UKGDPR post-Brexit)
Verwerking van persoonsgegevens overeenkomstig GDPR. Begrip voor de verwerking verantwoordelijken en verwerkers. Bescherming van de gegevens van kinderen. Belangrijkste beginselen, rechten en verplichtingen zoals GDPR.
Nigeria
Data Protection Regulation
NDPR
25/01/2019
Definities van voor de verwerking verantwoordelijke en betrokkene komen grotendeels overeen. Gevoelige persoonsgegevens qua werkingssfeer en definitie vergelijkbaar met de speciale categorieën persoonsgegevens van GDPR. Personen die betrokken zijn bij gegevensverwerking of de controle van gegevens moeten beveiligingsmaatregelen ontwikkelen om gegevens te beschermen. Persoonsgegevens moeten worden verzameld voor specifieke, legitieme en rechtmatige doeleinden.
Uganda
Data Protection and Privacy Act, 2019
N/A
01/03/2019
Geldt voor alle Ugandese burgers, ook als zij niet in Uganda wonen. Aanwijzing van een functionaris voor gegevensbescherming. Rechten van betrokkenen zoals GDPR.
Bahrain
Personal Data Protection Law
PDPL
01/08/2019
Recht om onjuiste persoonsgegevens te corrigeren, recht om persoonsgegevens onder bepaalde voorwaarden te wissen, en recht om bezwaar te maken tegen geautomatiseerde besluitvorming.
Kenya
Data Protection Act
N/A
08/11/2019
Geldt voor alle bedrijven die in Kenia gegevens verwerken, ongeacht de fysieke locatie. De betrokkenen kunnen het recht op intrekking en het recht om te worden vergeten aanvragen. Zij kunnen ook vragen hoe hun gegevens worden gebruikt. Er moet ook een functionaris voor gegevensbescherming worden aangesteld.
Zuid-Afrika
Protection of Personal Information Act
POPIA
01/07/2020
Uitvoering van passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens. Information Officer zoals DPO. Melding van datalekken zoals GDPR. Verplichting om wet te volgen, zelfs als geen domicilie in Zuid-Afrika. Schriftelijke contracten tussen data subject en data operator.
Brazilië
General Personal Data Protection Law 13709/2018
LGPD
18/09/2020
Van toepassing op de verwerking van persoonsgegevens die in Brazilië worden verwerkt indien het doel van die verwerking is goederen/diensten te leveren of aan te bieden aan inwoners van Brazilië. Toestemming en verwerking zoals GDPR. Rechten van de betrokkene, zoals GDPR.
Nieuw Zeeland
Privacy Act 2020
N/A
01/12/2020
Buitenlandse entiteiten die zaken doen in NZ zijn onderworpen aan de verplichtingen van de wet, zelfs indien zij niet in het land aanwezig zijn. De overdracht van persoonlijke informatie naar het buitenland zonder de uitdrukkelijke toestemming van de betrokkene is niet toegestaan.
Thailand
Personal Data Protection Act
PDPA
31/05/2021
Gelijkaardige definities als GDPR. Verplichting tot naleving van de wet voor organisaties die in Thailand persoonsgegevens verzamelen of gebruiken, ongeacht of zij in het land gevestigd zijn. Recht op bezwaar. De informatie die een voor de verwerking verantwoordelijke moet registreren, is vergelijkbaar met de informatie die in GDPR wordt beschreven.
China
Personal Information Protection Law
PIPL
22/11/2021
Definitie van "persoonlijke informatie" en "verwerking" zoals GDPR. Territoriale werkingssfeer strekt zich uit tot Chinese burgers buiten het land. Entiteiten moeten een rechtmatige grondslag hebben voor de verwerking van persoonsgegevens. Grensoverschrijdende doorgifte van persoonsgegevens vergelijkbaar met GDPR.
Hoe inspireert GDPR de Amerikaanse privacywetgeving?
De regelgeving inzake gegevensbescherming in de Verenigde Staten is een lappendeken van verschillende wetgevingen die onafhankelijk van elkaar door staten tot stand zijn gebracht, zonder een overkoepelende nationale wet. Volgens de International Association of Privacy Professionals hebben 20 Amerikaanse staten in 2021 hun eigen privacywetsvoorstellen ingediend, waarbij velen zich hebben laten inspireren door GDPR.
De California Privacy Rights Act of 2020 (CPRA), goedgekeurd op 3 november 2020, en die voortbouwt op de vorige California Consumer Privacy Act van 2018, deelt verschillende gelijkenissen met zijn Europese tegenhanger. De wet voorziet onder meer in rechten op persoonsgegevens van kinderen en het gebruik ervan, het begrip van het verzamelen, overdragen en verwijderen van persoonsgegevens, en de mogelijkheid van boetes voor datalekken. De wet wordt als gebruikersgericht beschouwd omdat zij de Californische burgers meer rechten en bescherming biedt. De wet zal in 2023 in werking treden.
In 2023 zal de staat Virginia de Virginia?s Consumer Data Protection Act (CDPA). De wet geeft consumenten het recht om door een bedrijf verzamelde persoonsgegevens in te zien, te verkrijgen, te wissen en te corrigeren. Zij bevat ook de definitie van "gevoelige gegevens" in dezelfde zin als GDPR.
Uit een opiniepeiling van Morning Consult uit 2021 bleek dat 83% van de kiezers in de VS van mening was dat het aannemen van een nationale wetgeving inzake gegevensprivacy een "topprioriteit" of een "belangrijke, maar lage prioriteit" was.
Wat is de toekomst van de wetgeving inzake gegevensbescherming?
Met een snel evoluerend technologisch landschap en de wil om de persoonlijke rechten van individuen wereldwijd te vrijwaren, zal de regelgeving inzake gegevensbescherming blijven evolueren. De Europese Unie loopt voorop in dit streven en heeft in 2021 een reeks wetsontwerpen aangekondigd die GDPR zullen aanvullen. Het gaat onder meer om de Digital Governance Act, de Data Act, de Cybersecurity Act en de ePrivacy-verordening. De tijd zal leren hoe deze wetten op internationale schaal effect zullen sorteren.
India zal in de nabije toekomst ook zijn wetsvoorstel over gegevensbescherming indienen. Het wetsvoorstel is geïnspireerd op GDPR en vertoont onder meer gelijkenissen met de definitie van toestemming en vertrouwenspersoon voor gegevens en met de timing voor het melden van een datalek. Forbes India heeft kritiek geuit op het wetsvoorstel omdat het "de overheid algemene bevoegdheden geeft om toegang te krijgen tot de gegevens van burgers". Estelle Masse, een senior beleidsanalist bij de digitale rechten groep Access Now, heeft echter in een CNBC artikel dat de Indiase regelgeving een sterke internationale impact zal hebben "alleen al vanwege het aantal mensen en de rol die dit land zou spelen in een wereldwijde data-economie".
Nu de wereld verschuift naar een meer digitale realiteit na de Covid-19 pandemie, gegevensbescherming en de rechten van onze persoonlijke informatie zullen verder worden ingebed in nationale wetten, die voortdurend evolueren met nieuwe technologieën en internationale regelgevingslandschappen.
ComplianceCompliance expertData Protection AuthorityData Protection WatchdogEUEuropean CommissionGDPRPrivacyPersonal DataData Security
This is a great post! Understanding how to navigate GDPR compliance can be overwhelming, so having resources like this that break it down is incredibly helpful. I especially appreciate different acts you have mentioned here as you staying up-to-date on the latest GDPR changes is great thing.