De GDPR, de HIPAA en de CCPA zijn enkele van de meest invloedrijke en besproken wetten in de privacysector, maar er zijn natuurlijk belangrijke verschillen. Een voor de hand liggende is dat de GPDR een verordening van de EU is, terwijl de HIPAA en CCPA Amerikaanse wetten zijn. De HIPAA is een federale wet, terwijl de CCPA een wet van de staat Californië is. Maar de verschillen gaan verder dan dat.
- Waar gaan deze wetten over?
- Wat is de reikwijdte van deze wetten?
- Op wie zijn de GDPR, CCPA en HIPAA van toepassing?
- Hoe worden deze wetten gehandhaafd?
- Hoe beschermen deze wetten persoonlijke gegevens?
- Hoe beschermen deze wetten gevoelige informatie?
- Hebben deze wetten voorrang op andere wetten?
- Conclusies
Waar gaan deze wetten over?
De GDPR is het eenvoudigst uit te leggen: het is een privacywet, puur en simpel. De CCPA zit ergens tussen privacywetgeving en consumentenbeschermingswetgeving in en is daarom vooral gericht op bedrijven.
HIPAA is een wet voor de medische sector die alleen van toepassing is op zorgverleners en entiteiten die met hen samenwerken. In tegenstelling tot de GDPR en CCPA bestrijkt de HIPAA veel meer dan alleen privacy: het is een sectorwetgeving die beveiligingsnormen, administratieve vereisten en meer omvat.
Wat is de reikwijdte van deze wetten?
De GDPR heeft de grootste reikwijdte van de drie, omdat deze alle verwerkingen van persoonlijke gegevens omvat, met kleine uitzonderingen - strafrechtelijke onderzoeken vallen bijvoorbeeld onder een andere EU-wet (de Law Enforcement Directive). De GDPR heeft ook geen betrekking op nationale defensie omdat dit buiten het mandaat van de EU valt.
De CCPA is alleen van toepassing op de persoonlijke informatie van consumenten, en is daarom over het algemeen alleen van toepassing op bedrijven.
Tot slot is de HIPAA alleen van toepassing op beschermde gezondheidsinformatie (PHI). PHI is een complex begrip: of gegevens al dan niet PHI zijn, hangt niet alleen af van wat de gegevens zijn, maar ook van wie ze beheert. Kijk voor meer informatie over het begrip PHI op onze blog.
Op wie zijn de GDPR, CCPA en HIPAA van toepassing?
De GDPR heeft een algemeen toepassingsgebied en is op vrijwel iedereen van toepassing, hoewel het een huishoudelijke vrijstelling bevat voor activiteiten die puur persoonlijk van aard zijn. Je hoeft je dus geen zorgen te maken over de GDPR als je berichten plaatst op je Facebook-home, maar wel als je berichten plaatst via het profiel of de bedrijfspagina van je bedrijf.
De CCPA is alleen van toepassing op bepaalde bedrijven. Dit zijn:
- bedrijven met een bruto jaaromzet van $25M of meer
- bedrijven die persoonlijke informatie van 100.000 of meer inwoners, huishoudens of apparaten in Californië kopen, verkopen of delen
- bedrijven die de helft of meer van hun inkomsten halen uit de verkoop van persoonlijke gegevens van inwoners van Californië.
Met andere woorden, het zijn of grote bedrijven, of kleinere bedrijven die veel persoonlijke informatie verwerken. De delicatessenzaak naast de deur hoeft zich waarschijnlijk geen zorgen te maken over de CCPA, maar een supermarktketen misschien wel, en gegevensmakelaars zeker wel.
Non-profits zijn over het algemeen vrijgesteld van de CCPA, hoewel er uitzonderingen kunnen zijn wanneer het eigendom en de merknaam van een non-profit aan een bedrijf kunnen worden gekoppeld.
De HIPAA is van toepassing op entiteiten die betrokken zijn bij de gezondheidszorg (ziekenhuizen, artsen, verzekeringsmaatschappijen, enzovoort). Het is ook van toepassing op bedrijven die met hen samenwerken (business associates), op voorwaarde dat ze PHI verzamelen.
De regels over de reikwijdte van de HIPAA zijn behoorlijk ingewikkeld, dus dit is een grove vereenvoudiging. Raadpleeg voor meer informatie onze blog over de reikwijdte van de HIPAA of de website van de NHS.
Hoe worden deze wetten gehandhaafd?
De GDPR wordt gehandhaafd door zowel rechtbanken als gegevensbeschermingsautoriteiten (DPA). De twee spelen een iets verschillende rol: als vuistregel geldt dat rechtbanken schadevergoedingen toekennen en dat DPA's boetes opleggen.
Praktisch gezien zijn de gegevensbeschermingsautoriteiten vaak onderbemand en dit vormt vaak een knelpunt bij de handhaving van de GDPR. Het systeem voor de behandeling van grensoverschrijdende zaken in de EU is ook traag en soms rommelig door verschillen in procedureregels tussen de lidstaten (iets waar de EU aan werkt).
De CCPA wordt tot nu toe gehandhaafd door de advocaat-generaal van Californië. In 2024 komt daar de California Privacy Protection Agency (CPPA - ja, de acroniemen zijn verwarrend!) bij.
De HIPAA wordt gehandhaafd door het Health and Human Services' Office for Civil Rights.
Hoe beschermen deze wetten persoonlijke gegevens?
Zowel de GDPR als de CCPA gaan in essentie over wat wel en niet mag worden gedaan met gegevens, maar de twee wetten hebben een verschillende aanpak.
De GDPR stelt strenge regels op voor het verwerken van persoonlijke gegevens. Persoonlijke gegevens mogen alleen worden verzameld en verwerkt op een specifieke wettelijke basis, en wie de gegevens beheert heeft een aantal algemene verplichtingen.
Het is een veel voorkomende mythe dat de GDPR altijd toestemming vereist. In werkelijkheid vereist de GDPR altijd een wettelijke basis en is toestemming niet de enige optie. Maar er zit een kern van waarheid in de mythe, net als in specifieke gevallen waarin toestemming de enige haalbare optie is.
De CCPA stelt ook regels op voor het verwerken van persoonlijke gegevens van consumenten, maar deze zijn iets soepeler. Bedrijven hebben geen toestemming of wettelijke basis nodig om persoonlijke informatie te verzamelen, maar ze moeten consumenten wel de mogelijkheid bieden om af te zien van het verkopen en delen van hun persoonlijke informatie en om het gebruik van gevoelige informatie te beperken. Over het algemeen is de CCPA minder dwingend dan de GDPR en meer afhankelijk van opt-out systemen.
De belangrijkste privacyregels van de HIPAA zijn te vinden in de Privacy Rule. Volgens de regel kunnen sommige openbaarmakingen van beschermde gezondheidsinformatie alleen plaatsvinden met schriftelijke toestemming van de patiënt, terwijl andere dat niet kunnen. De CCPA staat openbaarmaking zonder toestemming toe wanneer dit strikt noodzakelijk is voor het functioneren van het gezondheidszorgsysteem: bijvoorbeeld het doorsturen van de medische geschiedenis van een patiënt naar zijn nieuwe ziekenhuis of het openbaar maken van medische kosten aan zijn verzekeringsmaatschappij voor factureringsdoeleinden.
De Privacy Rule is ook van toepassing op business associates en beperkt wat zij mogen doen met PHI.
Hoe beschermen deze wetten gevoelige informatie?
Zowel de GDPR als de CCPA beschermen gevoelige informatie, maar ze definiëren het in verschillende termen en beschermen het op verschillende manieren.
Gevoelige gegevens onder de GDPR zijn het soort gegevens waarvan je echt niet wilt dat ze misbruikt worden of in verkeerde handen vallen: gegevens over je religie, gezondheid, seksuele leven, politieke voorkeur, etnische afkomst, enzovoort. Deze gegevens mogen alleen worden verwerkt in specifieke scenario's die worden opgesomd door de GDPR - buiten die scenario's mogen ze niet worden aangeraakt.
Het begrip gevoelige gegevens onder de CCPA is enigszins vergelijkbaar, maar omvat ook gegevens die vaak worden gebruikt voor fraude, zoals sofi-nummers en bankrekeninggegevens.
In tegenstelling tot de GDPR vereist de CCPA geen specifieke reden om deze gegevens te verzamelen. Maar bedrijven moeten de consument de mogelijkheid bieden om het gebruik en de openbaarmaking van gevoelige informatie te beperken tot wat strikt vereist is - vergelijkbaar met de manier waarop ze een opt-out moeten toestaan voor het verkopen en delen van persoonlijke informatie.
De HIPAA heeft geen specifieke regels voor gevoelige gegevens. Dit is logisch: vrijwel alles wat onder de HIPAA valt, zou in de meeste wetgevingen als gevoelige gegevens worden beschouwd.
Gezondheidsgegevens die buiten de gezondheidszorg worden verzameld, genieten weinig of geen bescherming omdat** ze buiten het toepassingsgebied van de HIPAA** vallen. Omdat er in de VS geen federale wet op gegevensbescherming is, staat het bedrijven vrij om min of meer te doen wat ze willen met deze gegevens, tenzij de wetgeving van een staat hen dat verbiedt.
Dit is een enorm privacyprobleem, vooral voor vrouwen. Vorig jaar hief het Republikeins georiënteerde Hooggerechtshof van de VS een decennialang verbod op anti-abortuswetgeving op met de uitspraak Dobbs v. Jackson. Na een wettelijk verbod op abortus in conservatieve staten, worden vrouwen die reproductieve zorg zoeken vervolgd op basis van hun digitale voetafdruk - en gemakkelijke toegang tot gezondheidsgegevens maakt handhaving maar al te gemakkelijk.
Hebben deze wetten voorrang op andere wetten?
In het algemeen is de GDPR rechtstreeks van toepassing en "overtroeft" de wetgeving van de lidstaten. Sommige artikelen laten de lidstaten echter ruimte om extra waarborgen toe te voegen.
Als vuistregel geldt dat de HIPAA voorrang heeft op de wetgeving van staten, tenzij deze strengere privacybescherming biedt. De regels van de HIPAA over preemption zijn ingewikkeld, dus raadpleeg de website van de NHS voor meer details.
Conclusies
De GDPR, de CCPA en de HIPAA zijn allemaal belangrijke wetten, maar ze zijn heel verschillend. We hopen dat dit bericht onze lezers een duidelijker beeld heeft gegeven van deze wetten en hun doel.
We schrijven graag over privacy omdat we het belangrijk vinden. Dit is ook de reden waarom we privacy de hoeksteen van Simple Analytics hebben gemaakt. Simple Analytics verzamelt geen persoonlijke gegevens, volgt geen bezoekers en schendt op geen enkele manier hun privacy - en dat alles terwijl we de klant alle inzichten geven die hij nodig heeft! Als dit u aanspreekt, probeer ons dan gerust uit!