Binnen de EU is er de AVG en in China is er sinds kort de PIPL. Wetgeving in twee totaal verschillende gebieden, maar op hoofdlijnen zijn er genoeg overeenkomsten. Wat is hiervan de impact, moeten we ons in nog meer regels gaan verdiepen?
AVG – EU
De AVG staat regelmatig genoemd op ITchannelPRO. Of we het nu leuk vinden of niet, deze Europese set regels bepaalt in grote mate wat we met de persoonsgegevens van EU burgers mogen doen. De werking van de AVG beperkt zich niet alleen tot de lidstaten van de unie. Iedereen, waar dan ook ter wereld, die data van EU burgers opslaat of verwerkt moet met de AVG rekening houden.
Dat dit een serieus punt is hebben we afgelopen week nog meegekregen. Google Analytics overtreedt de AVG regels. Een paar weken eerder kreeg het Amerikaanse Grindr van de Noorse toezichthouders nog een forse boete van omgerekend 6,3 miljoen Euro opgelegd wegens het structureel aan de laars lappen van de regels.
Noorwegen is geen lid van de EU. Het heeft, met een aantal andere landen, de wetgeving op dit punt praktisch letterlijk overgenomen. Ook dat is een bijzonder aspect van de AVG. Het laat zien dat er op veel meer plekken wordt gelet op de naleving van de rechten van de burgers dan alleen in de 27 lidstaten.
PIPL – China
Najaar 2020 is in China het ontwerp van de PIPL (Personal Information Protection Law) gepresenteerd, kort daarna is de tekst “ter consultatie” aan het publiek voorgelegd. Per november 2021 is het een wet.
De PIPL vertoont overeenkomsten met de AVG. Het beschermen van persoonsgegevens staat centraal. De Chinese overheid gaat echter nog veel verder dan de EU. De regels voor het opslaan en bewerken van persoonsgegevens, en data die helpt personen te identificeren, zijn zeer strikt. Feitelijk is het niet mogelijk data van Chinese burgers buiten het land zelf op te slaan.
De strikte eisen voor de fysieke locaties van data is ook een van de redenen waarom het afgelopen najaar bekende Chinese bedrijven de plannen voor beursplannen hebben moeten aanpassen. Ook de uitbouw van reeds aangekondigde business (zoals datacenters) wordt inmiddels bijgesteld of op de lange baan geschoven.
Met de AVG hebben we leren leven. Maar moeten we dat nu ook met de PIPL en alles wat daarna komt? Het antwoord is: ja. Voor het IT bedrijf dat zijn onderdelen in China besteld zal er nog niet zo snel veel veranderen. Maar niet is uitgesloten dat ook die moet gaan aangeven zich aan de PIPL eisen te gaan houden. Het echt laaghangende fruit zijn de online-marktplaatsen en datacenters van niet Chinese eigenaren. Als due business van en met China faciliteren zijn er ongetwijfeld persoonsgegevens in het spel. Dat betekent dus kunnen aantonen naast AVG complaint zijn ook binnen de marges van de PIPL blijven.
