Lange tijd hadden bedrijven in Amerika relatief weinig te maken met privacybescherming. Ook de bijna twee jaar geleden ingevoerde General Data Protection Act (GDPR) leek in eerste instantie vooral een Europese aangelegenheid. Maar niets bleek minder waar. Ieder Amerikaans bedrijf dat informatie opslaat of verwerkt over Europese burgers, moet aan de GDPR voldoen. En begin dit jaar, introduceerde de staat Californië de California Consumer Protection Act (CCPA).
Om beter inzicht te krijgen in de impact die deze nieuwe reguleringen hebben op de compliance-activiteiten van Amerikaanse organisaties, hebben mijn Amerikaanse collega’s eind 2019 een korte enquête gehouden. In dit artikel deel ik hun resultaten en enkele voorzichtige conclusies.
Belangrijkst bevindingen
Van de respondenten in de enquête geeft 41% aan dat ze persoonsgegevens verzamelen van burgers in de EU. Van deze respondenten zegt slechts 71% dat ze momenteel voldoen aan de GDPR. Anderen geven aan dat ze zich in de implementatiefase bevinden, nog niet zijn begonnen met het implementeren van een oplossing of het gewoon niet weten.
Een van de eerste serieuze Amerikaanse tegenhangers van de GDPR is de California Consumer Privacy Act (CCPA) die in januari van kracht werd. De CCPA is ontworpen om consumenten in Californië het eigendom en controle over hun persoonsgegevens te geven. Zij krijgen daarnaast het recht om bedrijven verantwoordelijk te houden voor de informatie die ze verzamelen en verwerken als onderdeel van hun activiteiten. De CCPA was de eerste in zijn soort. Inmiddels hebben 17 extra staten het voorbeeld gevolgd.
Op de vraag of het bedrijf zakendoet met consumenten of bedrijven in Californië, antwoorde 60 procent bevestigend. Zes procent gaf aan het niet te weten.
Van de bedrijven die zakendoen in Californië, heeft iets meer dan de helft een data impactanalyse uitgevoerd.
Bedrijven lijken in het algemeen moeite te hebben om compliant te blijven in het steeds weer veranderende regelgevingslandschap. Het updaten van bedrijfsbeleid om hieraan te voldoen en het verbeteren van beveiligingscontroles worden als uitdagingen genoemd.
Interessant is dat meer dan 12 procent van de respondenten het omgaan met inzageverzoeken als een van de grootste uitdagingen beschouwt.
In beide privacyregelgeving zijn het "Recht op inzage" (GDPR) of "Recht om te weten" (CCPA) en het "Recht om te worden vergeten" (GDPR) en "Recht om te verwijderen" (CCPA) belangrijke rechten. Het aantal aanvragen op basis van deze rechten is het afgelopen jaar enorm toegenomen. Elke organisatie is verplicht om deze rechten zo goed mogelijk en binnen de strikte periode van (meestal) 30 dagen na te leven. In een vorige blog hebben we al de stappen besproken die u kunt nemen om de impact van inzageverzoeken voor uw organisatie te beperken.
In de Amerikaanse enquête werden de respondenten ook gevraagd hoe ze toegangsverzoeken behandelen. Bijna de helft van de respondenten lijkt een combinatie van handmatige en technologische oplossingen te gebruiken.
Twintig procent van de respondenten heeft alleen handmatige processen geïnstalleerd. En een alarmerende 11% heeft geen (duidelijk) idee over hoe inzageverzoeken binnen hun organisatie worden afgehandeld.
Als leverancier van eDiscovery technologie zie ik maar één toekomstbestendige manier om inzageverzoeken effectief af te handelen. Het gebruik van geavanceerde zoektechnologie is de enige manier om de benodigde informatie volledig en snel te verzamelen. Technologie is ook nodig om de persoonsgegevens van anderen dan de aanvrager te beschermen.
De aanvrager heeft alleen recht op inzage in zijn of haar eigen persoonlijke identificeerbare informatie (PII). Alle persoonsgegevens van anderen en mogelijk vertrouwelijke informatie moeten volledig worden bewerkt.
Mijn collega’s hebben ook geïnventariseerd hoeveel organisaties hebben uitgegeven aan consultancy en technologische oplossingen om zich voor te bereiden op de privacywetgevingen. 29% van de respondenten besteedde meer dan $ 100.000; 35% minder dan $ 100.000. 8% gaf zelfs meer dan een miljoen uit. En 34% van de onderzochte organisaties wist niet zeker hoeveel er werd uitgegeven.
Natuurlijk omvatten de kosten voor naleving niet alleen technologische oplossingen. 2 van de 10 van onze respondenten weten al dat ze dit jaar meer personeel zullen aannemen, met name om kwesties op het gebied van privacybescherming te behandelen.
We weten allemaal dat de kosten van non-compliance zoveel hoger kunnen zijn dan de kosten van naleving. Alleen al de boetes: de GDPR-boetes voor niet-naleving of data-inbreuk kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet van het bedrijf of 20 miljoen euro, afhankelijk van welk bedrag groter is.
CCPA-boetes worden toegepast per overtreding, hebben geen maximum en er zijn (nog) geen sancties voor niet-naleving. Wel biedt CCPA de consument de mogelijkheid het bedrijf aan te klagen wegens schending.
Organisaties beschouwen een eDiscovery-platform niet altijd als de oplossing om hen te helpen te voldoen aan de regulering voor de bescherming van persoonsgegevens. Ten onrechte. De workflow is hetzelfde. eDiscovery is het verzamelen en indexeren van ongestructureerde data zodat deze grondig kan worden bewerkt en doorzocht. Het gebruik van de juiste eDiscovery-oplossing leidt daarom tot een snellere, efficiëntere en minder verstorende afhandeling van inzageverzoeken en zorgt daarnaast voor de bescherming van persoonlijke informatie met betrekking tot andere personen dan de aanvrager.
Deze info-graphic heeft alle resultaten. En hier vindt u meer blogs over privacy reguleringen.