Welke wetten hebben betrekking op internet- en gegevensbeveiliging?

Wat houdt internetwetgeving in?

De term internetwetgeving, die soms ook wel cyberwetgeving wordt genoemd, verwijst naar de rechtsbeginselen en -regels die van toepassing zijn op het gebruik van het internet. Internetwetgeving is niet altijd even vastomlijnd. Dat komt door de volgende redenen:

• Het internet is relatief nieuw en is nog altijd in ontwikkeling, waardoor het lastig om juridische kaders te laten meegroeien.
• Internetwetten omvatten vaak beginselen uit andere rechtsgebieden, zoals privacywetten of het verbintenisrecht, die zijn opgesteld vóór het internettijdperk en voor meerdere uitleg vatbaar zijn.
• Er is geen eenduidige wetgeving voor online privacy. In de VS valt dit onder een lappendeken van federale wetten en staatswetten. Bovendien kunnen er in de verschillende rechtsgebieden in de wereld verschillende interpretaties zijn hoe wetten inzake online privacy moeten worden toegepast.

De Europese Unie heeft inmiddels overkoepelende wetgeving inzake privacy- en gegevensbescherming ingesteld, de zogenoemde Algemene Verordening Gegevensbescherming (AVG). De VS daarentegen beschikken niet over centrale internetprivacywetgeving op federaal niveau. In plaats daarvan zijn er uiteenlopende verticale federale privacywetten en diverse consumentgerichte privacywetten in de verschillende staten. In dit overzicht bekijken we enkele van de belangrijkste internetbeveiligingswetten waarvan je op de hoogte zou moeten zijn.

US Privacy Act van 1974

Hoewel deze wet dateert van vóór het internet, is de in 1974 aangenomen Privacy Act misschien wel de blauwdruk voor vele wetten die betrekking hebben op gegevens- en internetprivacy in de VS. De wet werd aangenomen ter regulering van de grote hoeveelheid persoonsgegevens die werden bewaard in computerdatabases van Amerikaanse overheidsinstanties. De Privacy Act omvatte onder meer:

• Het recht van Amerikaanse burgers op toegang tot gegevens die in het bezit zijn van overheidsinstanties en het recht op een kopie van die gegevens.
• Het recht van burgers om eventuele fouten in die informatie te corrigeren.
• De noodzaak voor instanties om alleen de minimale hoeveelheid informatie te verzamelen die relevant en noodzakelijk is voor de verwezenlijking van hun doelstellingen.
• Beperking van toegang tot gegevens op basis van het 'need-to-know'-beginsel.
• Beperking van het delen van informatie tussen federale (en niet-federale) instanties, d.w.z. delen is alleen toegestaan onder bepaalde voorwaarden.

De uitvinding van het internet leidde echter tot een andere definitie van privacy waardoor het noodzakelijk werd om nieuwe wetten inzake gegevensbeveiliging op te stellen met betrekking tot elektronische communicatie.

Federal Trade Commission Act

De in 1914 aangenomen Federal Trade Commission Act vormde de basis voor de oprichting van de US Federal Trade Commission, de Amerikaanse federale handelscommissie. De wet was met name bedoeld om oneerlijke concurrentiemethoden en oneerlijke handelsactiviteiten of -praktijken te verbieden.

Hoewel de FTC vandaag de dag niet expliciet voorschrijft welke informatie in het privacybeleid van websites moet worden opgenomen, maakt de commissie wel gebruik van de bevoegdheid om voorschriften uit te vaardigen, privacywetgeving te handhaven en de consument te beschermen. Zo kan de FTC onder meer optreden tegen organisaties die:

• Een gepubliceerd privacybeleid niet naleven.
• Persoonsgegevens overdragen op een manier die niet op de juiste manier is beschreven in een privacybeleid.
• Onjuiste privacy- en veiligheidsmededelingen doen aan consumenten en in privacybeleid. 
• Geen redelijke maatregelen ten behoeve van gegevensbeveiliging implementeren en handhaven.
• Zelfreguleringsbeginselen die van toepassing kunnen zijn op de branche van de organisatie niet naleven.

De FTC speelt een rol bij de regulering van internet, niet in de laatste plaats omdat de commissie onderzoek doet naar misleidende verklaringen van toonaangevende techbedrijven en socialmediabedrijven over de privacy van de consumentengegevens die ze verzamelen. Zo heeft de FTC bijvoorbeeld onderzoek gedaan naar klachten tegen Facebook over het gebruik van consumentengegevens.

Children’s Online Privacy Protection Act

De Children’s Online Privacy Protection Act uit 1998, ook wel COPPA genoemd, is een Amerikaanse federale wet. Deze wet is bedoeld om ouders invloed te geven op welke informatie online wordt verzameld over hun jonge kinderen. COPPA is van toepassing op exploitanten van commerciële websites en online diensten (met inbegrip van mobiele apps en IoT-apparaten (Internet of Things)) die zich richten op kinderen jonger dan 13 en die persoonsgegevens van kinderen verzamelen.

In de COPPA worden onder meer de volgende belangrijke vereisten gesteld:

• Websites, apps en online-instrumenten die gericht zijn op kinderen jonger dan 13 jaar moeten hiervan melding maken en toestemming van de ouders verkrijgen voordat ze gegevens van kinderen verzamelen.
• Ze moeten een duidelijk en volledig privacybeleid hebben.
• Alle gegevens die ze van kinderen verkrijgen, moeten ze veilig bewaren.

Hoewel de wet is opgesteld in de begindagen van het internet, is deze bijzonder relevant geworden in dit tijdperk van social media en gerichte advertenties. Een belangrijke vraag bij COPPA is de mate waarin een site 'gericht' is op kinderen jonger dan 13 jaar. In de VS beoordeelt de Federal Trade Commission websites op basis van verschillende criteria, zoals:

• Onderwerpsgebied
• Inhoud
• Gebruik van animatiefiguren
• Gebruik van kindgerichte activiteiten of stimulansen
• Leeftijd van modellen
• Aanwezigheid van jeugdige beroemheden of beroemdheden die populair zijn onder kinderen
• Advertenties op de website die zijn gericht op kinderen

Bepaalde websites of diensten hanteren een leeftijdsgrens voor hun gebruikers zodat ze niet hoeven te voldoen aan de COPPA-voorschriften. Er zijn bijvoorbeeld diverse sociale netwerken waarvan het bedrijfsmodel is gebaseerd op het verzamelen en te gelde maken van gebruikersgegevens en die hebben ingesteld dat gebruikers minimaal 13 jaar oud moeten zijn om zich te mogen registreren.

Een andere vraag die wordt gesteld door de COPPA heeft betrekking op wat 'verzamelen van persoonsgegevens' precies inhoudt. Het verzamelen van namen, adressen en foto's valt bijvoorbeeld in deze categorie. Minder voor de hand liggend zijn bijvoorbeeld de zogenoemde gedragsadvertenties. Dit zijn advertenties die het gedrag van gebruikers op verschillende websites en in apps volgen, maar die volgens de COPPA ook worden gezien als een manier om persoonsgegevens te verzamelen. Zelfs als deze gedragsadvertenties worden aangeboden door een derde partij, is de eigenaar van de website verantwoordelijk als ze worden getoond op een website die is gericht op kinderen. Aangezien gedragsadvertenties zo'n groot deel uitmaken van het ecosysteem van het internet, heeft dit belangrijke gevolgen voor websites die zijn gericht op kinderen.

California Consumer Privacy Act

De California Consumer Privacy Act, of CCPA, is van kracht geworden in 2018. Het doel ervan was de privacy van ingezetenen van Californië te beschermen door consumentenbescherming uit te breiden naar het internet. De CCPA wordt beschouwd als de meest uitgebreide op internet gerichte privacywetgeving in de VS en heeft geen equivalent op federaal niveau.

Net als de AVG in de EU biedt deze wetgeving consumenten het recht op toegang tot hun gegevens, maar ook het recht om deze gegevens te verwijderen en verwerking ervan op elk moment stop te zetten. Het verschil tussen de CCPA en AVG is dat bij de AVG consumenten het recht hebben om onjuiste persoonsgegevens te corrigeren of te rectificeren, terwijl de CCPA deze mogelijkheid niet biedt. In de AVG wordt ook vereist dat consumenten uitdrukkelijk toestemming moeten verlenen op het moment dat ze hun gegevens verstrekken. Daarentegen staat in de CCPA slechts dat op websites een privacyverklaring beschikbaar moet zijn waarin consumenten erop worden gewezen dat ze het recht hebben om af te zien van bepaalde vormen van gegevensverzameling. Andere kenmerken van de CCPA zijn:

• Consumenten hebben recht op toegang tot hun gegevens nadat ze een verzoek om toegang hebben ingediend.
• Bedrijven mogen de persoonsgegevens van consumenten niet verkopen zonder een kennisgeving op hun website te plaatsen en de consument de mogelijkheid te bieden om daarvan af te zien.
• Consumenten hebben een beperkt recht om een rechtszaak aan te spannen als ze het slachtoffer zijn van een gegevenslek.
• De procureur-generaal van de staat (State Attorney General) heeft een meer algemene bevoegdheid om namens ingezetenen bedrijven voor de rechter te dagen.

De CCPA hanteert een ruime definitie van persoonsgegevens, te weten: "gegevens waarmee een bepaalde consument of een bepaald huishouden wordt geïdentificeerd, verband houdt, wordt beschreven, daarmee in verband kan worden gebracht of redelijkerwijs direct of indirect kan worden gekoppeld". Dit is vergelijkbaar met de ruime omschrijving van persoonsgegevens in de AVG.

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) in de EU werd van kracht in 2018. Het is een juridisch raamwerk dat richtlijnen biedt voor het verzamelen en verwerken van persoonsgegevens van personen die in de Europese Unie wonen. De AVG is van toepassing ongeacht waar websites zijn gevestigd. Dit betekent dat alle sites die Europese bezoekers trekken, zich hieraan moeten houden. De AVG wordt beschouwd als een van de strengste wetten ter wereld op het gebied van gegevensbeveiliging.

In de AVG is bepaald dat websitegebruikers moeten worden geïnformeerd over welke gegevens een website verzamelt, en dat gebruikers uitdrukkelijk toestemming moeten geven voor die verzameling. Daarom hebben veel websites pop-ups waarin gebruikers wordt gevraagd toestemming te geven voor het plaatsen van cookies. Dit zijn kleine bestanden met persoonlijke informatie zoals site-instellingen en -voorkeuren.

Belangrijke kenmerken van de AVG zijn:

• Consumenten hebben het recht om te weten hoe hun gegevens worden verzameld en gebruikt.
• Consumenten kunnen aan websites vragen welke informatie over hen is verzameld (zonder daarvoor een vergoeding te hoeven betalen).
• Als er fouten in de gegevens van consumenten staan, kunnen ze vragen dat deze worden gecorrigeerd.
• Consumenten kunnen verzoeken dat hun gegevens worden verwijderd.
• Consumenten hebben het recht om gegevensverwerking te weigeren, bijvoorbeeld als dit gebeurt voor marketingdoeleinden.
• Websites moeten gebruikers op de hoogte brengen als hun gegevens zijn gelekt of als er inbreuk op hun gegevens heeft plaatsgevonden.

Op de officiële website van de Europese Commissie is een gedetailleerde uitleg over de AVG te vinden. Er zijn inmiddels al enkele opvallende boetes uitgedeeld aan bedrijven die de AVG hebben overtreden, waaronder een boete van USD 57 miljoen aan Google omdat belangrijke informatie niet werd getoond wanneer gebruikers een nieuwe Android-telefoon instelden, waardoor ze niet wisten met welk gegevensverzamelingsbeleid ze instemden, en een boete van USD 28 miljoen aan British Airways nadat de gegevens van 500.000 klantboekingen werden gestolen bij een hack.

Health Insurance Portability and Accountability Act

De HIPAA, de Health Insurance Portability and Accountability Act van 1996, is een Amerikaanse federale wet die is gericht op de regelgeving inzake ziektekostenverzekering, met inbegrip van de onderdelen privacy en beveiliging. Zo wordt voorkomen dat zorgverleners, bedrijven en de mensen die hiermee samenwerken gezondheidsinformatie van consumenten openbaar maken zonder dat ze daarvoor toestemming hebben gegeven.

Wanneer mensen het hebben over de HIPAA, gaat het meestal over de privacyregel die in 2003 is ingevoerd. Deze regel werd gedeeltelijk ingevoerd omdat het Amerikaanse congres erkende dat door het internet het risico op privacyschending in de gezondheidszorg hoger was. Met de privacyregel van de HIPAA hebben consumenten meer zeggenschap over openbaarmaking van hun gezondheidsinformatie, zodat ze hun zorgverlener kunnen vertellen wat deze wel en niet mag delen.

De HIPAA beschermt echter alleen gezondheidsgegevens die in het bezit zijn van specifieke soorten zorgverleners. Gezondheidsgegevens op je activity tracker vallen bijvoorbeeld niet onder de HIPAA. Genetische gegevens die je invoert op websites zoals Ancestry.com vallen ook niet onder de HIPAA. Deze informatie wordt mogelijk beschermd door andere wetten of overeenkomsten, zoals de privacyverklaringen die bij veel apps vereist zijn, maar niet onder de HIPAA.

Gramm-Leach-Bliley Act

De Gramm-Leach-Bliley Act (GLBA), die ook wel bekend staat als de Services Modernization Act uit 1999, is een wet die is gericht op bancaire en financiële diensten, maar ook elementen bevat met betrekking tot privacy en beveiliging. De bescherming van persoonsgegevens die deze wet biedt, is gebaseerd op eerdere wetgeving inzake de financiële gegevens van consumenten zoals de Fair Credit Reporting Act (FCRA).

In essentie beschermt de GLBA niet-openbare persoonlijke informatie, die wordt gedefinieerd als alle 'informatie die over een persoon wordt verzameld in verband met de verstrekking van een financieel product of een financiële dienst, tenzij deze informatie anderszins openbaar beschikbaar is.' De terminologie 'openbaar beschikbaar' verwijst naar eigendomsregisters of bepaalde hypotheekgegevens die mogelijk tot het publieke domein behoren.

Met de speciale Safeguards Rule in de GLBA wordt vereist dat verzamelaars van gegevens de persoonsgegevens afdoende moeten beschermen en geschikte systemen voor gegevensbeveiliging moeten instellen. Met andere woorden, grote nationale banken moeten verdergaande veiligheidsmaatregelen nemen hebben dan bijvoorbeeld een lokale kredietverstrekker.

In de Safeguards Rule staat ook dat bedrijven regelmatig tests moeten uitvoeren. Bovendien moeten ze veiligheidsmaatregelen treffen in hun dagelijkse activiteiten, zoals antecedentenonderzoek van werknemers en het opstellen van actieplannen voor inbreuken in geval van een aanval.

Krachtens de GLBA is 'pretexting' strafbaar. Onder pretexting wordt verstaan dat iemand zich onrechtmatig toegang verschaft tot niet-openbare gegevens. Deze term wordt vaak in verband gebracht met social engineering hacks, bijvoorbeeld wanneer iemand zichzelf voordoet als manager of overheidsfunctionaris om zo informatie te verkrijgen. Phishing is een ander voorbeeld van pretexting. Phishing is een oplichterstruc waarbij soms nepwebsites worden gemaakt om mensen te verleiden tot het verstrekken van persoonsgegevens. In de GLBA wordt vereist dat financiële instellingen, als onderdeel van hun beveiligingsbeleid, maatregelen nemen om pretexting te voorkomen.

Internetprivacywetgeving: Conclusie

Verschillende rechtsgebieden in de wereld hebben hun eigen wetgeving inzake privacy en gegevensbeveiliging op het internet. Brazilië heeft bijvoorbeeld de Lei Geral de Proteção de Dados (LGPD), terwijl Canada de Consumer Privacy Protection Act (CPPA) heeft, die beide grotendeels dezelfde strekking hebben als de Europese AVG of de CCPA in Californië.

In de VS is er niet één allesomvattende federale wet voor gegevensprivacy. Internetwet- en regelgeving is een complexe lappendeken van branchespecifieke en mediumspecifieke wetten, waaronder wetten en voorschriften die betrekking hebben op telecommunicatie, gezondheidsgegevens, kredietinformatie, financiële instellingen en marketing. 

Een van de beste manieren om je online privacy te beschermen en je gegevens te beveiligen, is het gebruik van een uitgebreide anti-virusoplossing. Een product als Kaspersky Total Security blokkeert veelvoorkomende en complexe dreigingen zoals virussen, malware, ransomware, spionage-apps en de meest actuele hackeractiviteiten.

Gerelateerde artikelen:

• Wat is gegevensprivacy? Jezelf beschermen
• Wat is internetbeveiliging? Jezelf online beschermen
• Je online privacy beschermen als zakelijk- en privégebruik door elkaar lopen
• Je IP-adres verbergen