Archief Gegevensbescherming

    Bedrijven lopen steeds meer risico op rechtszaken over gegevensprivacy

    Een nieuw wetsvoorstel in het Congres zou een golf van rechtszaken op gang kunnen brengen, zeggen tegenstanders.

    by Daniel Argintaru
    GettyImages-1192903505-1200px.jpg

    Hoofdpunten

    • Het Congres komt dichter dan ooit bij de goedkeuring van een nationale wet inzake gegevensbescherming.
    • De opname in de wetgeving van een "particulier vorderingsrecht" heeft echter de bezorgdheid van bedrijfsleiders over collectieve rechtszaken doen toenemen.
    • Of het wetsvoorstel nu wordt aangenomen of niet, er komen steeds meer gevallen van gegevensbescherming op grond van verschillende bestaande wetten.

    In het bedrijfsleven groeit de bezorgdheid dat een nieuwe nationale wet inzake gegevensbescherming, die nu door het Congres wordt behandeld, een golf van collectieve rechtszaken in de Verenigde Staten op gang zou kunnen brengen. 

    Volgens sommige Washington-watchers zou het Congres de American Data Privacy and Protection Act (ADPPA) wel eens kunnen aannemen, ook al hebben andere federale privacywetsvoorstellen in de loop der jaren niet genoeg steun gekregen. Als de wetgeving wordt aangenomen, zou eindelijk een nationaal beleid inzake gegevensbescherming worden vastgesteld, waarop veel bedrijven hebben aangedrongen.

    Toch is er verzet gerezen tegen bepaalde details van het wetsvoorstel, met name tegen de invoering van een "particulier vorderingsrecht". Dit recht zou elke bepaling in de nieuwe wet tot een mogelijke basis maken, niet alleen voor handhaving door federale regelgevers, maar ook voor rechtszaken door particuliere burgers en bedrijven.

    De Amerikaanse Kamer van Koophandel is tegen het wetsvoorstel vanwege het recht op een particuliere vordering, ook al blijft zij pleiten voor een nationale privacywet om de huidige lappendeken van nationale en sectorspecifieke regelgeving te bundelen. "Een nationale databeschermingswet met een particulier vorderingsrecht zou een toevloed van onrechtmatige class-action rechtszaken aanmoedigen, verdere verwarring creëren over de handhaving van algemene privacyrechten, kleine bedrijven schaden en datagestuurde innovatie belemmeren", aldus de Kamer.[1]

    Consumentenvoorstanders zijn om verschillende redenen tegen de bepaling gekant. De Electronic Frontier Foundation stelde bijvoorbeeld dat "het particuliere vorderingsrecht in de ADPPA wemelt van de uitzonderingen en beperkingen. Een sterk particulier vorderingsrecht is noodzakelijk ... Anders heeft het wetsvoorstel geen tanden."[2]

    De wetgeving is in juli met 53-2 stemmen van beide partijen goedgekeurd door de Commissie voor handel van het Huis en is ter overweging voorgelegd aan de Commissie voor handel van de Senaat.[3] De recente vorderingen van het wetsvoorstel hebben zowel optimistische als pessimistische koppen in de media doen opkomen. Bijvoorbeeld, de National Law Review vroeg: "Federal Privacy Legislation - Is It Finally Happening?"[4] Maar The Hill waarschuwde: "Corporate Lobbying Could Imperil Sweeping Data Privacy Bill."[5]

    De golf van activiteit in Washington komt op een moment dat bedrijven over de hele linie voor steeds grotere uitdagingen staan, met meer wetgeving, rechtszaken en handhaving op het gebied van gegevensprivacy, zo blijkt uit een door Mimecast gesponsord rapport van Gartner over privacyrisico's, . Tot 2026 zullen organisaties die verkeerd omgaan met persoonsgegevens drie keer meer financiële schade ondervinden van collectieve acties en massaclaims dan van handhavingssancties", aldus Gartner.

    Nieuwe rechtszaken mogelijk onder de wet

    De ADPPA zou betrekking hebben op zowel cyberbeveiliging als gegevensprivacy, met vereisten zoals:[6]

    • Gegevensminimalisering: Beperking van het verzamelen, verwerken of doorgeven van privé-informatie tot wat "redelijkerwijs noodzakelijk en evenredig" is om bijvoorbeeld een gevraagde dienst te verlenen of met een klant te communiceren.
    • Cyberbeveiliging: Het beoordelen van cyberbeveiligingsrisico's en het implementeren van procedures om inbreuken op gegevens en andere incidenten op te sporen, erop te reageren of ervan te herstellen.
    • Consumentenrechten: Consumenten toegang geven tot door een bedrijf bewaarde gegevens en deze laten corrigeren en wissen.

    Indien deze en andere bepalingen wet worden, zouden zij door de Federal Trade Commission kunnen worden gehandhaafd en zouden zij ook de basis kunnen vormen voor mogelijke particuliere rechtszaken.

    Huidig landschap van privacygeschillen

    Met of zonder de wetgeving, het aantal rechtszaken over gegevensbescherming is in de VS toegenomen op grond van consumentenbeschermingsregels en andere rechtsgronden. De California Consumer Privacy Act omvat ook een recht op particuliere actie; sinds deze wet in 2020 van kracht werd, heeft een "litigation tracker" alleen al tientallen zaken geteld die zijn aangespannen wegens inbreuken op de gegevensbeveiliging.[7]

    Alleen al in juli werden onder meer de volgende zaken geschikt:

    • Het U.S. Office of Personnel Management en zijn contractant zijn overeengekomen 63 miljoen dollar schadevergoeding te betalen voor de vermeende lakse bescherming van de persoonlijke gegevens van federale werknemers die bij een vermoedelijke aanval door een natie waren gestolen.[8]
    • Een nationale mobiele provider heeft ingestemd met een uitbetaling van 350 miljoen dollar na een datalek.[9]
    • Een fintechbedrijf in Californië heeft ermee ingestemd om 58 miljoen dollar te betalen in een rechtszaak die was gebaseerd op de manier waarop het met consumentengegevens omging.[10]

    De uitdaging van de gegevensprivacy aangaan

    Deskundigen van de International Association of Privacy Professionals geven advies over het vermijden van geschillen over gegevensprivacy, waaronder:[11]

    • Evalueer uw privacyprogramma ten minste eenmaal per jaar.
    • Update welke wetten op uw bedrijf van toepassing zijn.
    • Zorg ervoor dat uw programma flexibel genoeg is om nieuwe eisen op te nemen.
    • Betrek belanghebbenden uit de hele organisatie.
    • Zorg ervoor dat uw contracten met verkopers en dienstverleners privacy- en veiligheidsvoorwaarden bevatten.

    Op organisatieniveau beveelt Gartner aan om een stap verder te gaan met gegevensprivacy. Dat wil zeggen dat bedrijven hun perceptie van gegevensprivacy moeten verbreden van een focus op naleving van de regelgeving naar een klantgerichte cultuur van privacy die een concurrentievoordeel wordt op de markt.

    Op technologisch vlak moeten de instrumenten en de opleiding variëren van sterke cyberveiligheidssystemen die persoonsgegevens beschermen tot archieven die gemakkelijk kunnen worden beheerd om te reageren wanneer personen toegang tot hun gegevens willen of wijzigingen vragen.

    De kern van de zaak

    Er komen steeds meer rechtszaken over privacy.


    [1] "U.S. Chamber Warns It will Oppose any Privacy Legislation That Creates a Blanket Private Right of Action," U.S. Chamber of Commerce

    [2] "Amerikanen verdienen meer dan de huidige Amerikaanse Data Privacy Protection Act," Electronic Frontier Foundation

    [3] "Wicker geeft commentaar op federale inspanningen inzake gegevensbescherming tijdens de vergadering van de commissie," Senate Commerce Committee

    [4] "Federal Privacy Legislation - Is it finally happening?," Nationaal Juristenblad

    [5] "Bedrijfslobby kan ingrijpende wet inzake gegevensprivacy in gevaar brengen," The Hill

    [6] "Overview of the American Data Privacy and Protection Act," Congressional Research Service

    [7] "CCPA Litigation Tracker," Perkins Coie

    [8] "Er is een schikking van 63 miljoen dollar getroffen in een collectieve rechtszaak over de datalekken van het U.S. Office of Personnel Management en zijn beveiligingscontractant," Girard Sharp

    [9] "T-Mobile gaat akkoord met betaling van 350 miljoen dollar aan klanten in schikking over omvangrijk datalek," CNN

    [10] "Rechter keurt schikking goed waarbij plaid wordt veroordeeld tot betaling van 58 miljoen dollar voor verkoop consumentengegevens," Courthouse News Service

    [11] "2023 here we come: Hoe bereidt u uw privacyprogramma voor?," International Association of Privacy Professionals

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven