Het Amerikaanse Congres heeft vorige maand een nieuw federaal privacywetsvoorstel ingediend: APRA (kort voor American Privacy Rights Act). Het voorstel is de laatste tijd het gesprek van de dag op het gebied van privacy, maar er is een zure noot voor de marketing- en advertentietechnici: de regels voor gerichte reclame zijn onbegrijpelijk.
Hier lees je wat APRA inhoudt, wat het zegt over gerichte reclame en wat wij van de wet vinden.
- Waarom is APRA zo belangrijk?
- Wat staat er in APRA?
- Wat betekent APRA voor reclame?
- Hoe is APRA over het algemeen?
- Conclusies
Laten we erin duiken!
Waarom is APRA zo belangrijk?
Tot op de dag van vandaag is er in de VS geen federale privacywet. Dit creëert een gevaarlijk hiaat in de regelgeving en maakt van de digitale economie een vrijplaats voor gegevens die rijp is voor schadelijk misbruik, zoals we hebben gezien in de post-Dobbs nachtmerrie over privacy en mensenrechten.
De FTC doet haar best om de leegte op te vullen en de schade te beperken, maar heeft niet de autoriteit om de situatie echt op te lossen. Ondertussen waren veel staten het wachten op het Congres beu en namen hun eigen privacywetgeving aan - waaronder Californië, de thuisbasis van de Silicon Valley-reuzen.
APRA zou de regelgevingskloof kunnen dichten, enige mate van uniformiteit in de VS kunnen brengen en de Amerikanen de broodnodige privacybescherming kunnen bieden. En last but not least kan de wet, gezien het gewicht van GAFAM en andere techgiganten, een aanzienlijke invloed hebben op de wereldwijde digitale economie als geheel.
Wat staat er in APRA?
We kunnen slechts een zeer algemeen overzicht geven van APRA omdat het een zeer complex stuk wetgeving is. Laten we proberen een aantal van de belangrijkste dingen op te splitsen.
Wat is de reikwijdte van APRA?
Het toepassingsgebied van APRA is vrij breed, maar het geldt niet voor iedereen of voor alle soorten gegevens. Kleine bedrijven, de overheid en dienstverleners die voor de overheid werken zijn vrijgesteld.
Het begrip gedekte gegevens is vrij breed, niet anders dan het begrip persoonsgegevens in de GDPR. Gegevens van werknemers zijn echter vrijgesteld van APRA (wat een twijfelachtige keuze is). Bovendien vervangt APRA geen meer specifieke wetten zoals HIPAA.
Welke rechten heb je?
APRA omvat verschillende rechten, zoals het recht op toegang tot gedekte gegevens, het recht op correctie en verwijdering, gegevensportabiliteit en het recht om af te zien van gerichte reclame en openbaarmaking van gegevens.
APRA omvat ook het recht om een privéactie in te stellen: je kunt een bedrijf aanklagen als het jouw rechten schendt. Dit is belangrijk omdat de juridische traditie in de VS enigszins ingewikkelde regels heeft over wie wel en wie niet kan aanklagen.
Bepaalde soorten gegevens worden beschouwd als gevoelige gegevens en mogen alleen openbaar worden gemaakt met toestemming ( met enkele uitzonderingen). De lijst bevat onder andere gezondheidsgegevens, precieze geolocatie-informatie, gegevens met betrekking tot seksueel gedrag, de inhoud van persoonlijke communicatie, door de overheid uitgegeven identificatiegegevens zoals sofi- of kentekennummers en alle gegevens van een minderjarige van 17 jaar.
Twee specifieke soorten gevoelige gegevens verdienen speciale aandacht: websiteoverschrijdend gebruikersgedrag en gedrags- en activiteitsgegevens die worden verzameld door sociale media met een grote impact. Dit zijn de gegevens die je normaal gesproken zou gebruiken voor retargeting. Een expliciete opt-in vereiste voor openbaarmakingen is dus een grote stap voor ad tech.
Dataminimalisatie
APRA heeft een dataminimalisatieprincipe: de verwerking van gegevens moet noodzakelijk, proportioneel en beperkt zijn. Het principe komt met een waslijst van "toegestane doeleinden" - dat wil zeggen, specifieke soorten verwerking die het principe van dataminimalisatie respecteren.
In de praktijk hebben we een brede regel en een lange lijst met ingewikkelde uitzonderingen. Dit resulteert in een zeer complex en soms tegenstrijdig systeem. Naar alle waarschijnlijkheid zal het enige tijd en jurisprudentie vergen om dit allemaal te begrijpen.
Wat betekent APRA voor reclame?
Gerichte reclame: opt-outs en beperkingen
Aan de oppervlakte is APRA duidelijk genoeg: gerichte reclame is toegestaan op een opt-out basis. Contextuele reclame heeft niet dezelfde vereiste.
Met name reclame is alleen toegestaan op basis van gegevens die al onder APRA zijn verzameld. De regel is nog niet 100% duidelijk, maar op het eerste gezicht lijkt het erop dat je geen gegevens mag verzamelen uitsluitend voor reclame. Je mag alleen adverteren op basis van gegevens die je al voor een ander doel controleert.
Als dat de bedoeling is, dan vinden we dat een goed idee. Door reclame te beperken tot de gegevens die je al voor andere doeleinden beheert, kun je het hamsteren van gegevens, dat we overal zien, beperken en de digitale voetafdruk verkleinen zonder gerichte reclame helemaal te verbieden.
Gerichte reclame en gevoelige gegevens
De zaken worden ingewikkelder als het gaat om gevoelige gegevens, omdat het niet duidelijk is hoe de regels voor gevoelige gegevens zich verhouden tot de beperkingen voor gerichte reclame:
- Openbaarmaking van gevoelige gegevens in het algemeen is opt-in, tenzij een van de specifieke doeleinden van toepassing is (Sec. 3(b)(1)).
- Een van deze doeleinden is gerichte reclame. Gerichte reclame is toegestaan op een "opt-out"-basis, maar met uitzondering van gevoelige gegevens (lid 3, onder d), punt 15).
Deze regels leiden tot mogelijk tegenstrijdige conclusies, zoals opgemerkt door de jongens van Bloomberg Law. Hun kijk op privacy is afschuwelijk, maar ze maken nog steeds twee geldige punten: ten eerste, op het eerste gezicht zou APRA heel goed gerichte reclame op basis van gevoelige gegevens kunnen verbieden (wat zij zouden haten en wij absoluut geweldig zouden vinden). Ten tweede heeft de wet duidelijkheid nodig.
Onduidelijkheid is een groot probleem omdat de beperkingen op het gebruik van gevoelige gegevens van toepassing zijn op website-overschrijdende activiteiten en gedragsgegevens van sociale media - het materiaal dat de meeste gerichte advertenties mogelijk maakt. De regels zouden een enorme impact hebben op de advertentietechnologie, maar het zou fijn zijn om te weten hoe.
TL:DR: gerichte reclame op basis van gevoelige gegevens is ofwel opt-in of ronduit illegaal. Jouw gok is net zo goed als de onze.
Hoe is APRA over het algemeen?
De wet heeft een aantal goede dingen, maar ook een aantal vreselijke ideeën en onduidelijke regels.
De goede
Het principe van dataminimalisatie laat een duidelijke intentie zien om de fictie van toestemming achter ons te laten en bedrijven in plaats daarvan een lijst met do's en don'ts te geven. Dit is een geweldig idee, omdat toestemming vaak wordt afgeperst via oneerlijke contractvoorwaarden of door schimmige clausules te verbergen in de kleine lettertjes. Met APRA is dat verleden tijd.
Overigens verbiedt APRA het verzamelen van toestemming via dark patters, zelfs in de specifieke scenario's waar toestemming er wel toe doet. Dit is ook een goede oproep! We zijn het beu om te worstelen met onmogelijk obscure UI's die meer gegevens willen zonder goede reden.
We vinden het ook goed dat de lijst met gevoelige gegevens vrij lang is en dingen bevat als precieze geolocatiegegevens, de inhoud van persoonlijke communicatie en website-overschrijdende online activiteit. We zouden willen dat deze gegevens ook gevoelig waren onder de GDPR.
Last but not least beschermt APRA enorme hoeveelheden gezondheidsgegevens die buiten het bereik van HIPAA vallen. Deze gegevens zijn een groot probleem sinds het arrest Dobbs tegen Jackson.
De slechte
Veel delen van APRA zijn vrijgesteld van privéacties, waaronder enkele cruciale regels over dataminimalisatie. Met andere woorden, sommige van de belangrijkste APRA-regels kunnen alleen worden afgedwongen door advocaten-generaal, de Federal Trade Commission en andere instellingen - burgers kunnen niet rechtstreeks naar de rechter stappen.
De bedoeling is om een vloedgolf van rechtszaken tegen bedrijven te voorkomen, wat begrijpelijk is. Toch zijn we van mening dat de vrijstelling te breed is en de wet in de praktijk zou kunnen ontkrachten.
Bovendien zijn, zoals we al zeiden, de regels voor gerichte reclame en gevoelige gegevens onduidelijk en tegenstrijdig. En daar blijft het niet bij: de regels voor gevoelige gegevens zijn zo slecht geformuleerd dat ze in bepaalde scenario's kunnen worden geïnterpreteerd als meer permissief dan de algemene regels. Dit slaat nergens op en maakt de onzekerheid alleen maar groter.
En last but not least, APRA is niet van toepassing op werknemersgegevens. Dit is een afschuwelijk idee omdat het gebruik van bossware een urgent probleem is. Als het Congres vindt dat de privacy van werknemers beter in een andere wet geregeld kan worden, dan zij dat zo - maar werknemers hebben die wet gisteren nodig.
De zus-en-zo
Tenslotte is er nog de netelige kwestie van preemption door de staat. In een notendop betekent preemption dat de APRA de privacywetten van de staten "overschrijft" (behalve bepaalde uitzonderingen).
Pre-emption door de staat is een tweesnijdend zwaard. Aan de ene kant is de privacywetgeving in de VS op dit moment een rommelige lappendeken, wat naleving ingewikkeld maakt voor bedrijven die in het hele land zaken doen. Preemption zou de regels grotendeels hetzelfde maken en de nalevingslast verlichten.
Aan de andere kant hebben sommige staten wetten aangenomen die behoorlijk streng zijn, soms zelfs strenger dan de APRA. Zij willen niet dat deze door de federale wet worden uitgehold en dringen erop aan dat APRA een ondergrens stelt in plaats van een plafond wat betreft privacyrechten.
Dit is zeker geen nieuw probleem. Niet zo lang geleden stuitte de voorganger van de APRA (ADPPA) op hevig verzet over preemption en het wetsvoorstel haalde het uiteindelijk niet. Hopelijk vindt het Congres deze keer wel een manier, zelfs als dat compromissen met zich meebrengt.
Conclusies
In een relatief korte tijd hebben we het TikTok-verbod gezien, beperkingen op de verkoop van gegevens aan "buitenlandse tegenstanders", het voorstel voor APRA en de goedkeuring door het Huis van de 4th Amendment Is Not For Sale Act (een minder besproken maar behoorlijk belangrijke ontwikkeling).
Hoewel sommige van deze wetten controversieel zijn, valt niet te ontkennen dat privacy op beleidsniveau aan kracht wint. Dit zou wel eens het juiste moment kunnen zijn voor het Congres om een broodnodige federale privacywet te maken. Dat gezegd hebbende, moeten de kinken van APRA nog worden gladgestreken en de kwestie van de preëmptie door de staat kan de onderhandelingen bemoeilijken.
Alle ogen zijn nu gericht op het Congres. Gezien het gewicht van de VS in de digitale economie zou een sterke federale privacywet een grote stap voorwaarts betekenen, niet alleen voor de VS, maar ook voor de wereldwijde privacy.
We hebben Simple Analytics gebouwd omdat we geloven in een privacy-vriendelijk web. We helpen onze klanten inzicht te krijgen in hun verkeer en hun publiek uit te breiden zonder ook maar één bit aan persoonlijke gegevens te verzamelen. Onze webanalysetool is eenvoudig te leren, aanpasbaar en wordt geleverd met een AI-assistent. Als dit je aanspreekt, probeer ons dan gerust uit!