Vorig jaar betekende de uitspraak van het Hooggerechtshof in de zaak Dobbs tegen Jackson een drastische verandering in de Amerikaanse grondwet met betrekking tot abortusrechten.
De beslissing zelf kreeg wereldwijd veel media-aandacht, maar de privacycrisis die er het gevolg van was, bleef buiten de VS grotendeels onder de radar. Dit is wat er in de VS gebeurt na Dobbs v. Jackson en wat de EU ervan kan leren.
- Achtergrond
- Dobbs v. Jackson is een privacycrisis
- Big Tech helpt niet
- HIPAA is niet genoeg
- Wat doen de VS om de schade te beperken?
- Wat kan Europa leren van deze privacycrisis?
Achtergrond
Op 24 juni 2022 besliste het Amerikaanse Hooggerechtshof in de zaak Dobbs v. Jackson. Hiermee vernietigde het Hof Roe vs. Wade, een precedent uit 1973 dat het recht op abortus in de VS beschermde. Als gevolg van Dobbs oordeelt het Hof nu dat de Amerikaanse grondwet het recht op abortus niet beschermt en dat staten vrij zijn om deze kwestie naar eigen inzicht te reguleren.
De controversiële uitspraak zette de deur wagenwijd open voor een golf van anti-abortuswetgeving in conservatieve staten**.** Een jaar na de uitspraak heeft ongeveer de helft van de staten wetgeving die abortus beperkt of verbiedt en in sommige gevallen mensen die abortus zoeken en hulp bieden strafbaar stelt.
Het besluit werd scherp bekritiseerd door regeringen, internationale organisaties en veel mensen uit de academische wereld en het maatschappelijk middenveld. Een brief ondertekend door bijna 200 NGO's benadrukt de harde impact van Dobbs op vrouwenrechten en lichamelijke autonomie, evenals de onevenredige impact op reeds achtergestelde gemeenschappen.
Dobbs v. Jackson is een privacycrisis
Dobbs v. Jackson betekende een klap voor de rechten en de autonomie van vrouwen en luidde ook een grootschalige privacycrisis in.
Wetshandhavers in conservatieve staten gebruiken momenteel de digitale voetafdrukken van vrouwen om abortuszoekers te vervolgen, waaronder locatiegegevens, Google-zoekopdrachten en chats met familieleden. De gegevens van vrouwen worden verzameld via een mandaat of worden gewoon op de markt gekocht, wat maar al te gemakkelijk is en waarbij geen tussenkomst van een rechtbank nodig is. Zelfs burgers kopen deze gegevens soms om abortuszoekers aan te geven bij de autoriteiten, om zo de premies te verzilveren die door sommige staten worden aangeboden.
Hoe is zo'n dramatische privacycrisis mogelijk in een eerstewereldland?
Een belangrijk probleem is dat de VS geen federale gegevensbeschermingswet heeft, maar alleen wetten voor specifieke sectoren zoals gezondheidszorg en financiën, samen met wetgeving van staten zoals de CCPA van Californië en de CPA van Colorado. Er is een federale privacywet voorgesteld (de Amerikaanse Data Protection and Privacy Act), maar die is nog lang niet klaar.
Zonder privacybescherming op federaal niveau hangt de online privacy van de meeste Amerikaanse burgers grotendeels af van de privacycultuur en -praktijken van de bedrijven die ze hun gegevens toevertrouwen, en dat is slecht nieuws. Veel bedrijven zijn bereid om gegevens aan de hoogste bieder te verkopen en de meeste staten hebben geen wetten om hen daarvan te weerhouden.
Staten met privacywetten doen het niet veel beter. In de wetgeving worden privacyrechten meestal uitgedrukt in opt-out rechten in plaats van verboden. Maar de meeste mensen hebben het gewoon te druk om zich af te melden voor invasieve gegevensverzamelingspraktijken van elke dienst die ze gebruiken en elke website die ze bezoeken.
Waar het op neerkomt is dat online diensten enorme hoeveelheden persoonlijke gegevens verzamelen om er winst mee te maken, en de meeste van hen zijn vrij spel als je het geld hebt.
Dit is niets nieuws. Privacyverdedigers zijn al lang bezig om mensen bewust te maken van de enorme gevaren van de online surveillance-economie. Dobbs v. Jackson heeft deze risico's alleen maar tastbaarder gemaakt voor Amerikaanse vrouwen.
Big Tech helpt niet
Ondanks alle beloften om de privacy te respecteren en te waarborgen, doet Big Tech niet veel om vrouwen te beschermen. Een recent artikel van Insider ontdekte dat Meta meer dan 400.000 overheidsverzoeken om persoonlijke informatie per jaar ontvangt en deze zelden aanvecht voor de rechtbank.
En om het nog erger te maken, zelfs als Big Tech probeert de schade te beperken, kan het wel of niet werken.
Vorig jaar beloofde Google gevoelige locaties zoals abortusklinieken te verwijderen uit de locatiegeschiedenis van Google Maps. Later hebben The Washington Post en Accountable Tech beide geëxperimenteerd met Google Maps en ontdekt dat het verwijderen van gevoelige locatiegegevens inconsistent en zeer onbetrouwbaar is.
Waarom kan Google zijn belofte na een jaar niet waarmaken?
Google-services zijn privacy-invasief ontworpen. Ze zijn gemaakt om eerst gegevens te verzamelen en zich later pas zorgen te maken over privacy en gegevensbeheer, als dat al gebeurt. Nu zijn er privacy-beschermende maatregelen nodig, maar die zijn moeilijk te implementeren als ze er in het begin helemaal niet waren. Het is alsof je probeert remmen te installeren op een auto die nooit is ontworpen om remmen te hebben en nu op volle snelheid rijdt.
Datahonger is het kernprobleem. En het is veel, veel groter dan Google. Talloze andere diensten hamsteren alle gegevens die ze kunnen op zonder zich veel zorgen te maken over privacy en gegevensbeheer. Als gevolg daarvan groeit de digitale voetafdruk van de gebruiker tot een punt waarop zelfs de bedrijven zelf de gegevens niet meer onder controle kunnen houden.
Dezelfde kwestie dook onlangs op in rechtszaken tegen Meta, waar het bedrijf in wezen toegaf weinig of geen controle te hebben over de enorme hoeveelheden gegevens die ze verzamelen.
Nogmaals, Google en Meta zijn eerder regel dan uitzondering. Bedrijven hebben de neiging om alle gegevens op te kroppen waarvan ze kunnen profiteren. Datahonger leidt tot slecht gegevensbeheer en slecht gegevensbeheer leidt tot privacyrampen omdat je gegevens waar je geen controle over hebt niet kunt beschermen.
HIPAA is niet genoeg
Maar heeft de VS geen HIPAA? Waarom lost dat het probleem niet op?
Het zit zo. De Health Insurance Portability and Accountability Act (HIPAA) is geen privacywet in de eigenlijke zin van het woord, maar eerder een sectorgerichte wet voor zorgverleners (zoals we in een andere blog hebben uitgelegd). De privacyregels zijn zeer beperkt in omvang omdat de HIPAA alleen betrekking heeft op zorgverleners en bedrijven die vanuit hen werken.
Hoewel schendingen van de HIPAA een rol spelen in de privacycrisis in de VS, is het grootste probleem de enorme hoeveelheden gezondheidsgegevens die niet onder de HIPAA vallen. Googelen naar informatie over medicijnen die je gebruikt, of Google Maps gebruiken terwijl je naar het ziekenhuis rijdt, kan gevaarlijk gevoelige gegevens toevoegen aan je online voetafdruk. En toch vallen deze gegevens niet onder HIPAA omdat Google geen zorgverlener is.
Menstruatie apps zijn een prominent voorbeeld van dit probleem. Deze apps verzamelen zeer gedetailleerde informatie over de reproductieve status van de miljoenen vrouwen die ze gebruiken. Deze informatie valt niet onder de HIPAA en mag in de meeste staten zonder veel beperkingen worden verkocht.
In een notendop resulteert de zeer beperkte reikwijdte van de HIPAA, in combinatie met het ontbreken van federale privacywetten, in een gevaarlijk gebrek aan bescherming van gevoelige gegevens.
Wat doen de VS om de schade te beperken?
Washington was de eerste staat die reageerde op de privacycrisis door in april 2023 de My Health, My Data Act aan te nemen. De My Health, My Data Act biedt sterkere bescherming voor gezondheidsgegevens en verbiedt geofencing in de buurt van zorgverleners, dat wil zeggen het gebruik van locatiegegevens (meestal van smartphones) om uit te zoeken wie een bepaalde locatie heeft bezocht. De staten Connecticut en Nevada volgden later het voorbeeld en namen vergelijkbare wetten aan om gezondheidsgegevens te beschermen.
Aan de ene kant is er hoop dat deze wetgevende trend zal leiden tot sterke bescherming voor gezondheidsgegevens (en gevoelige informatie in het algemeen) in de voorgestelde Amerikaanse Data Protection and Privacy Act. Aan de andere kant zullen staten die al sterke bescherming voor gezondheidsgegevens hebben, zich waarschijnlijk verzetten tegen elk ontwerp van de ADPPA dat deze bescherming verzwakt. Deze wetten kunnen dus het perverse effect hebben dat ze de politieke onderhandelingen achter de wet vertragen door de toch al lastige kwestie van preemption door de staat nog ingewikkelder te maken.
Andere belangrijke ontwikkelingen komen uit Californië. Sinds Dobbs v. Jackson heeft Californië zijn traditionele positie als vrijplaatsstaat versterkt door wetgeving aan te nemen die de vervolging van vrouwen die reproductieve gezondheidszorg zoeken in de staat moet voorkomen.
Op dit moment werkt de staat aan een amendement op het wetboek van strafrecht van Californië dat Californische bedrijven zou beschermen tegen bevelschriften voor reverse-keyword en reverse-location verzoeken. Met andere woorden, Californische bedrijven mogen bepaalde zeer indringende huiszoekingsbevelen van buiten de staat negeren.
Het amendement zou een game-changer kunnen zijn omdat het bedrijven uit Silicon Valley dekt die enorme hoeveelheden persoonlijke gegevens beheren. Door Big Tech, zoals Apple en Meta, af te schermen van huiszoekingsbevelen, kan het amendement een grote impact hebben op de privacy van vrouwen buiten Californië. Maar de politieke onderhandelingen rond het wetsvoorstel zijn ingewikkeld omdat het mogelijk het onderzoek naar niet-abortusgerelateerde misdaden kan belemmeren.
Wat kan Europa leren van deze privacycrisis?
In tegenstelling tot de VS heeft Europa met de GDPR een algemene privacywet die specifieke en strenge regels bevat voor gevoelige gegevens. Maar dat betekent niet dat onze gevoelige gegevens veilig zijn. Europa zou eens goed moeten kijken naar wat er nu in de VS gebeurt, want er zijn een aantal belangrijke lessen te leren uit de puinhoop.
"Gezondheidsgegevens" is een brede categorie
Bij gezondheidsgegevens denken we meestal aan medische dossiers, röntgenfoto's, enzovoort. Maar deze gegevens zijn niet het belangrijkste probleem in de privacycrisis in de VS. In feite zijn enkele van de meest urgente privacybedreigingen afkomstig van zoekgeschiedenis, locatiegegevens en (niet end-to-end versleutelde) persoonlijke communicatie zoals chats en e-mails.
Aan de Europese kant worden deze gegevens in de GDPR niet (expliciet) als gevoelig aangemerkt. Het gevolg is dat veel organisaties in Europa niet te veel nadenken over deze gegevens en er niet met de vereiste zorgvuldigheid mee omgaan.
Twee belangrijke uitspraken van het Europese Hof van Justitie zouden de situatie kunnen veranderen. In het licht van de recente jurisprudentie van het Hof zijn gegevens die gevoelige gegevens kunnen onthullen, zelf ook gevoelige gegevens (zie onze blogs over Gevoelige gegevens en de uitspraak van het Bundeskartellamt voor meer informatie).
Deze jurisprudentie is een belangrijke stap in de goede richting en verbreedt de reikwijdte van het begrip gevoelige gegevens aanzienlijk. De benadering van het Hof staat echter ver af van de meer formalistische benadering die de meeste bedrijven hanteren bij het omgaan met gevoelige gegevens. Het zal waarschijnlijk tijd kosten voordat het paradigma in de praktijk verandert - en in de tussentijd zullen onze gevoelige gegevens niet zo veilig zijn als ze zouden moeten zijn.
Privacy by design moet beter worden afgedwongen
Je moet privacy van tevoren plannen. Als je een systeem niet op een privacy-vriendelijke manier opzet, dan wordt het erg moeilijk om later nog goede privacy te implementeren, zoals het fiasco van Google's gegevensverwijdering aantoonde.
Daarom staat de GDPR op het privacy by design principe. Privacy by design betekent dat je de verwerking van persoonlijke gegevens vanaf het begin moet plannen met privacy in gedachten.
Privacy by design is niet zomaar een suggestie, maar eerder een bindend juridisch principe. Toch wordt privacy by design vaak genegeerd door de industrie. Dat is jammer, want een privacy-by-designaanpak kan de digitale voetafdruk enorm verkleinen. We kunnen alleen maar hopen dat de GDPR-handhaving uiteindelijk wordt ingehaald en organisaties weer op één lijn brengt.
Hetzelfde geldt voor andere principes die verband houden met privacy by design. Dataminimalisatie betekent bijvoorbeeld dat je alleen de persoonlijke gegevens verzamelt die je echt nodig hebt en opslagbeperking betekent dat je persoonlijke gegevens niet langer bewaart dan nodig is. Te veel organisaties schenden deze principes en er zal pas iets veranderen als er meer boetes komen.
Locatiegegevens zijn gevaarlijker dan je denkt
Geolocatiegegevens spelen een sleutelrol in het post-Dobbs privacylandschap. Dit is de reden waarom de My Health My Data Act geofencing rond zorgverleners verbiedt en waarom de voorgestelde wijzigingen in het wetboek van strafrecht van Californië gaan over omgekeerde locatieverzoeken van wetshandhavers.
Aan de Europese kant heeft de GDPR geen specifieke bepalingen om locatiegegevens te beschermen en beschouwt deze niet als gevoelige gegevens (in tegenstelling tot de CCPA in Californië). Locatiegegevens vallen dus alleen onder de algemene regels van de GDPR.
Deze algemene regels zijn waarschijnlijk niet genoeg om locatiegegevens te beschermen. Of beter gezegd: dat zouden ze wel zijn als de handhaving een inhaalslag zou maken. De principes van privacy by design en opslagbeperking zouden een cruciale rol kunnen spelen in de bescherming van locatiegegevens, maar ook hier geldt dat ze nog te weinig zijn afgedwongen om echt impact te hebben.
Kortom: zowel consumenten als bedrijven moeten heel voorzichtig zijn met locatiegegevens. En nogmaals, de GDPR-handhaving moet een inhaalslag maken!
Slotopmerkingen
Uiteindelijk betalen kwetsbare mensen de hoogste prijs voor de surveillance-economie. Om de Grumpy GDPR podcast te parafraseren: als je denkt dat je niets te verbergen hebt, dan ben je wel heel erg bevoorrecht.
Dit is niets nieuws: de impact van privacypraktijken op kwetsbare individuen en gemeenschappen is goed onderzocht door zowel rechtsgeleerden als sociale wetenschappers en is een belangrijk onderwerp van discussie in de privacygemeenschap.
Helaas gaat deze invalshoek verloren in het publieke debat over privacy. Hopelijk zal Dobbs v. Jackson - en de privacy-ellende die het veroorzaakte - ons eraan herinneren dat privacy een noodzakelijke voorwaarde is voor een eerlijke samenleving en iets waar we allemaal naar zouden moeten streven.