Naleving van privacywetgeving van de VS voor je website, app en bedrijf
Wetten van Amerikaanse staten leggen nieuwe wettelijke en technische verplichtingen op aan bedrijven. De naleving ervan kan ingewikkeld zijn. Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.
Over het algemeen kunnen privacywetten in de VS, zoals de CPRA (voorheen CCPA) en de VCDPA op jou van toepassing zijn als je je richt op gebruikers die in de betreffende staten wonen en je bedrijf voldoet aan een van de onderstaande voorwaarden.
CPRA
VCDPA
CPA
CTDPA
UCPA
De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië. De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:
het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.
* Hieronder vallen ook integraties van derden op je website.
De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide wet op de gegevensbescherming. De VCDPA treedt op 1 januari 2023 in werking.
De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:
het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van minstens 100.000 consumenten; of
het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.
De Colorado Privacy Act (CPA) is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.
De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of zich met commerciële producten of diensten richten op inwoners van Colorado, en:
gedurende een kalenderjaar de persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.
De Connecticut Data Privacy Act (CTDPA) verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen van gegevens met derden.
De wet is van toepassing op personen die zaken doen in Connecticut of die producten of diensten produceren die gericht zijn op inwoners van Connecticut en die gedurende het voorgaande kalenderjaar:
persoonsgegevens van ten minste 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die worden gecontroleerd of verwerkt uitsluitend om een betalingstransactie af te ronden); of
Persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens behaalden.
De Utah Consumer Privacy Act (UCPA) is een nieuwe gegevensbeschermingswet voor consumenten in Utah die op 31 december 2023 van kracht wordt. De UCPA benadert privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.
De wet is van toepassing op elke organisatie die:
zaken doet in Utah; of
een product of dienst levert die gericht is op consumenten die in Utah wonen;
een jaaromzet heeft van $25.000.000 of meer; en
voldoet aan een of meer van de volgende drempels:
gedurende een kalenderjaar persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
meer dan 50% van de bruto-inkomsten van de entiteit uit de verkoop van persoonsgegevens behalen en persoonsgegevens van 25.000 of meer consumenten beheren of verwerken.
CPRA
De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië. De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:
het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.
* Hieronder vallen ook integraties van derden op je website.
De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide wet op de gegevensbescherming. De VCDPA treedt op 1 januari 2023 in werking.
De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:
het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van minstens 100.000 consumenten; of
het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.
CPA
De Colorado Privacy Act (CPA) is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.
De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of zich met commerciële producten of diensten richten op inwoners van Colorado, en:
gedurende een kalenderjaar de persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.
CTDPA
De Connecticut Data Privacy Act (CTDPA) verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen van gegevens met derden.
De wet is van toepassing op personen die zaken doen in Connecticut of die producten of diensten produceren die gericht zijn op inwoners van Connecticut en die gedurende het voorgaande kalenderjaar:
persoonsgegevens van ten minste 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die worden gecontroleerd of verwerkt uitsluitend om een betalingstransactie af te ronden); of
Persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens behaalden.
UCPA
De Utah Consumer Privacy Act (UCPA) is een nieuwe gegevensbeschermingswet voor consumenten in Utah die op 31 december 2023 van kracht wordt. De UCPA benadert privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.
De wet is van toepassing op elke organisatie die:
zaken doet in Utah; of
een product of dienst levert die gericht is op consumenten die in Utah wonen;
een jaaromzet heeft van $25.000.000 of meer; en
voldoet aan een of meer van de volgende drempels:
gedurende een kalenderjaar persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
meer dan 50% van de bruto-inkomsten van de entiteit uit de verkoop van persoonsgegevens behalen en persoonsgegevens van 25.000 of meer consumenten beheren of verwerken.
Tijdlijn voor wetgeving van Amerikaanse staten
De California Consumer Privacy Act (CCPA), wordt met een respijtperiode van 6 maanden van kracht vanaf
Naleving van de CCPA wordt actief gecontroleerd en gehandhaafd door de procureur-generaal, die kennisgevingen van niet-naleving uitvaardigt en ook boetes oplegt als de overtredingen aanhouden na een herstelperiode van 30 dagen.
Start van CPRA-controleperiode van 12 maanden. Bedrijven moeten nu de persoonlijke informatie die is verzameld en verwerkt gedurende een periode van 12 maanden voorafgaand aan het verzoek van een consument kunnen documenteren.
De California Privacy Rights Act (CPRA) wijzigt de CCPA en is in werking getreden. De herstelperiode van 30 dagen is niet langer van toepassing.
Om te voldoen aan de CPRA moet je mogelijk de volgende stappen nemen:
De Virginia Consumer Data Protection Act (VCDPA) treedt in werking en wordt gehandhaafd.
Om te voldoen aan de VCDPA moet je mogelijk de volgende stappen nemen:
De specifieke stappen om hieraan te voldoen zijn afhankelijk van de aard van je bedrijf, het soort persoonlijke informatie dat je verzamelt en verwerkt en andere factoren.
De California Privacy Rights Act (CPRA) wordt gehandhaafd.
De CPRA wordt nu actief gecontroleerd en gehandhaafd door het Privacy Protection Agency (CPPA) in Californië, waarbij boetes of sancties worden opgelegd voor niet-naleving.
Houd er rekening mee dat als gevolg van de beslissing van het Hooggerechtshof van Sacramento County, de handhaving van de definitieve regels die zijn uitgevaardigd door de California Privacy Protection Agency zijn uitgesteld tot 29 maart 2024. De beslissing heeft echter geen invloed op de wettelijke bepalingen van de CPRA, die vanaf 1 juli 2023 worden gehandhaafd.
De Colorado Privacy Act (CPA) treedt in werking.
Om te voldoen aan de CPA moet je mogelijk de volgende stappen nemen:
De Connecticut Data Privacy Act (CTDPA) treedt in werking.
Om te voldoen aan de CTDPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
De Utah Consumer Privacy Act (UCPA) treedt in werking.
Om te voldoen aan de UCPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
Het in de Colorado Privacy Act opgenomen vereiste om te voldoen aan afmeldverzoeken van consumenten door een universeel opt-outmechanisme is nu van kracht.
Wat is er nodig om te voldoen aan de wetten in de VS?
Omdat de regelgeving per staat enigszins verschilt, kan het bijhouden van alle regels een hele klus zijn. De slimme oplossingen van iubenda passen de meest robuuste normen toe om je te helpen met minimale inspanning aan alle wetgeving te voldoen. Je hoeft alleen maar Wetgeving van Amerikaanse staten te selecteren in je generator om te voldoen aan de meeste wetgeving in de gehele VS
Uitgebreide informatie via een privacybeleid
Verplichtingen in de VS
Bedrijven moeten specifieke informatie opnemen in hun privacybeleid. Deze informatie beschrijft de rechten waarover consumenten beschikken, verwerkingspartners, doeleinden, bronnen en meer De informatie moet volledig en actueel zijn en moet gemakkelijk kunnen worden geraadpleegd via je website of app.
Een beleid dat niet de juiste informatie bevat, is ongeldig
Je beleid voldoet pas aan de regels als het minimaal de volgende informatie bevat:
Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden heeft verkocht aan of gedeeld met derden, een lijst van relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de afgelopen 12 maanden geen persoonlijke informatie van gebruikers hebt verkocht of gedeeld.
Voeg een verklaring toe met betrekking tot de vraag of je bedrijf al dan niet bewust de persoonlijke informatie van gebruikers jonger dan 16 jaar verkoopt of deelt.
Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden (voor zakelijke doeleinden) aan derden heeft verstrekt, een lijst met relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de voorgaande 12 maanden geen persoonlijke informatie van consumenten hebt verstrekt.
Geef aan of je bedrijf wel of niet gevoelige persoonlijke informatie gebruikt of openbaar maakt voor andere dan de in de wet genoemde doeleinden.
Vermeld links naar online aanvraagformulieren of portals zodat je gebruikers een verzoek kunnen indienen met betrekking tot het verzamelen, bekendmaken of verkopen van hun persoonlijke informatie.
Vermeld de categorieën persoonsgegevens die door je organisatie worden verwerkt.
Vermeld het doel van je organisatie voor het verwerken van persoonsgegevens.
Informeer je gebruikers over hoe ze hun rechten kunnen uitoefenen (zie hieronder), inclusief hoe ze in beroep kunnen gaan tegen een beslissing over hun verzoeken. Je moet een of meer methoden bieden waarmee gebruikers een verzoek kunnen indienen.
Vermeld de eventuele categorieën persoonsgegevens die je organisatie deelt met derden.
Vermeld de categorieën van derden, indien van toepassing, waarmee je organisatie persoonsgegevens deelt.
Specifiek vereist de CPA dat je een privacyverklaring verstrekt die de volgende informatie bevat:
Categorieën van verzamelde of verwerkte persoonsgegevens.
Doeleinden waarvoor de categorieën van persoonsgegevens worden verwerkt.
Hoe en waar consumenten hun rechten kunnen uitoefenen, inclusief contactgegevens en hoe ze in beroep kunnen gaan tegen een reactie van een verwerkingsverantwoordelijke met betrekking tot een verzoek van een consument.
Categorieën van persoonsgegevens die worden gedeeld met derden, indien van toepassing;
Categorieën van derden met wie de persoonsgegevens worden gedeeld, indien van toepassing.
De nieuwe privacywet van Connecticut vereist dat je consumenten voorziet van een duidelijke en zinvolle privacyverklaring die redelijk toegankelijk is. Hier is een checklist van wat er in je privacybeleid moet staan om aan de nieuwe wet te voldoen:
Categorieën van persoonsgegevens: Je privacybeleid moet een lijst bevatten van de categorieën persoonsgegevens die je verwerkt.
Doeleinden voor verwerking: Je privacybeleid moet duidelijk de doeleinden voor het verwerken van persoonsgegevens vermelden. Dit omvat elke reden waarom je persoonsgegevens verzamelt en gebruikt, zoals om een overeenkomst uit te voeren of een dienst te verlenen.
Consumentenrechten: Je privacybeleid moet uitleggen hoe consumenten hun wettelijke rechten kunnen uitoefenen. Dit omvat hoe een consument toegang kan krijgen tot zijn persoonsgegevens en hoe hij deze kan corrigeren, verwijderen of de verwerking ervan kan beperken. Je moet ook informatie geven over hoe een consument in beroep kan gaan tegen een beslissing over zijn verzoek.
Delen met derden: Als je persoonsgegevens deelt met derden, moet je in je privacybeleid aangeven welke categorieën persoonsgegevens je deelt.
Categorieën van derden: In je privacybeleid moet je ook aangeven met welke categorieën derden je persoonsgegevens deelt.
Contactgegevens: Je privacybeleid moet een actief e-mailadres of ander online mechanisme bevatten dat consumenten kunnen gebruiken om contact met je op te nemen met vragen of zorgen over hun persoonsgegevens.
Verkoop of gerichte advertenties: Als je persoonsgegevens verwerkt met het oog op verkoop of gericht adverteren, moet je dit duidelijk en opvallend vermelden in je privacybeleid. Je moet ook informatie geven over hoe consumenten hun recht kunnen uitoefenen om zich af te melden van deze verwerking.
Als je onder de Utah Consumer Privacy Act (UCPA) valt, moet je een privacybeleid opstellen dat redelijk toegankelijk en duidelijk is voor consumenten. Je privacybeleid moet het volgende bevatten:
Categorieën van verwerkte persoonsgegevens: Identificeer de soorten persoonsgegevens die je organisatie verzamelt en verwerkt, zoals namen, e-mailadressen en betalingsgegevens.
Doeleinden voor het verwerken van persoonsgegevens: Beschrijf de redenen waarom je organisatie persoonsgegevens verzamelt en verwerkt, bijvoorbeeld om bestellingen uit te voeren, klantenondersteuning te bieden of producten of diensten te verbeteren.
Consumentenrechten: Leg uit hoe consumenten hun rechten kunnen uitoefenen, zoals het recht op inzage en verwijdering van hun persoonsgegevens. Houd er rekening mee dat de UCPA consumenten niet het recht geeft om correctie van onjuiste persoonsgegevens te vragen.
Delen van persoonsgegevens: Meld welke categorieën persoonsgegevens je organisatie eventueel deelt met derden. Je kunt bijvoorbeeld betalingsgegevens delen met een betalingsverwerker of postadressen met een transportbedrijf.
Derden: Geef aan met welke categorieën derden je organisatie eventueel persoonsgegevens deelt. Dit kunnen bijvoorbeeld leveranciers, dienstverleners of marketingpartners zijn.
Schrijf in een handomdraai je privacy- en cookiebeleid uit.
Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Overeenkomstig de CPRA (CCPA-wijziging) moet je voor of bij het verzamelen een melding laten zien waarin consumenten informatie krijgen over de categorieën persoonlijke informatie die wordt verzameld, en voor welk doel dit gebeurt. Consumenten moeten zich ook kunnen afmelden voor deze verwerking. Als bedrijf ben je daarom verantwoordelijk voor het informeren van consumenten over deze optie en het verstrekken van de feitelijke middelen voor opt-out.
In het bijzonder moet je:
Detecteren of een consument al dan niet in Californië woont en of hij je website al eerder heeft bezocht
Opt-out verzoeken vergemakkelijken via een DNSMPI-link
Relevante derden opdracht geven om te stoppen met het verwerken van de informatie van de consument wanneer een opt-out verzoek wordt ontvangen.
Bij het eerste bezoek aan de site een melding weergeven met de benodigde informatie
Wij wijzen je erop dat er op grond van de VCDPA geen aanwijzingen zijn dat opt-out-links waarmee gebruikers zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden verplicht zijn.
De bepalingen van de VCDPA behandelen het opt-out-recht van gebruikers in feite op dezelfde manier als alle andere gebruikersrechten die op grond van deze wet worden verleend.
Je bedrijf moet als volgt voldoen aan de verzoeken van gebruikers:
Je moet binnen 45 dagen aan het verzoek voldoen. De reactietermijn kan eenmalig worden verlengd met 45 extra dagen wanneer dit redelijkerwijs noodzakelijk is, zolang je de gebruiker op de hoogte stelt van een verlenging binnen de initiële reactietermijn van 45 dagen, samen met de reden voor de verlenging;
Als je weigert actie te ondernemen met betrekking tot het verzoek van je gebruiker, breng de gebruiker dan binnen 45 dagen op de hoogte van deze afwijzing, met vermelding van de relevante rechtvaardiging en instructies over hoe ze in beroep kunnen gaan tegen de beslissing;
Als je niet in staat bent om een verzoek te verifiëren aan de hand van commercieel redelijke inspanningen, ben je niet verplicht om aan het verzoek te voldoen en kun je om aanvullende informatie vragen die redelijkerwijs nodig is om de gebruiker en zijn verzoek te verifiëren.
Wij wijzen je erop dat er in de CPA geen aanwijzingen zijn dat er opt-out links nodig zijn waarmee consumenten zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden. Echter, als je persoonsgegevens verwerkt voor gericht adverteren of verkoop, ben je verplicht om een duidelijke en opvallende methode te bieden waarmee consumenten hun recht op opt-out kunnen uitoefenen.
Deze methode moet duidelijk en opvallend worden beschreven in de privacyverklaring en moet gemakkelijk toegankelijk zijn buiten de privacyverklaring.
Je moet consumenten ook de mogelijkheid bieden om zich af te melden voor de verwerking van hun persoonsgegevens voor gericht adverteren of verkoop door middel van een opt-out-voorkeurssignaal dat via een platform, technologie of mechanisme wordt verzonden, met toestemming van de consument. Dit mechanisme moet:
andere verwerkingsverantwoordelijken niet oneerlijk benadelen,
een bevestigende en ondubbelzinnige keuze van de consument vereisen,
gemakkelijk te gebruiken zijn,
zoveel mogelijk in overeenstemming zijn met andere soortgelijke mechanismen die door federale of staatswet- en regelgeving worden vereist, en
de verwerkingsverantwoordelijke in staat stellen om te bepalen of de consument een inwoner van Connecticut is en een legitiem opt-out verzoek heeft gedaan.
Volgens de Utah Consumer Privacy Act (UCPA) hebben consumenten het recht om af te zien van de verwerking van hun persoonsgegevens voor gerichte advertentiedoeleinden of de verkoop van hun persoonsgegevens aan derden. De wet geeft echter geen specifieke richtlijnen over hoe je consumenten in staat moet stellen om dit recht uit te oefenen.
Om te voldoen aan de UCPA moet je:
consumenten een middel bieden om een opt-out-verzoek in te dienen; en
om te specificeren welk recht ze willen uitoefenen.
Het is belangrijk op te merken dat onder de UCPA opt-out-links alleen in aanmerking komen met betrekking tot het recht van consumenten om af te zien van de verwerking van gevoelige gegevens.
Oplossing
Privacy Controls and Cookie Solution voor de CCPA
Informeer consumenten en beheer opt-outs. IAB CCPA Compliance Framework geïntegreerd.
Met onze oplossing kun je het volgende doen:
Geef een melding weer dat je gegevens verzamelt.
Toon een "Mijn persoonsgegevens niet verkopen"-link ("Do Not Sell My Personal Information" of DNSMPI) in de cookiemelding en elders op je website of in je app, waarmee bezoekers zich hiervoor kunnen afmelden.
Detecteer automatisch (ook meerdere) normen op basis van de locatie, en pas ze meteen toe. Met onze oplossing kun je zowel CPRA (voorheen CCPA)- als AVG-conform werken voor dezelfde gebruikers, wanneer dit wettelijk is vereist.
Sla informatie op over gebruikersvoorkeuren (zoals een opt-out) en stuur die door naar andere leveranciers die het IAB CCPA Compliance Framework ondersteunen (zoals Google en AdRoll).
De Privacy Controls and Cookie Solution van iubenda ondersteunt signalen voor
afmeldingsvoorkeuren, zoals GPC
en GPP
conform de CPRA
Zoals hierboven aangegeven verlenen de meeste van deze wetten op staatsniveau, net als de CPRA (voorheen CCPA), de gebruikers het recht om zich af te melden (opt-out). Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.
Bovendien wordt in wetten als de CPRA voorgeschreven dat je gedurende minimaal 12 maanden na het verzoek van een gebruiker geen contact mag opnemen met die gebruiker. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.
Oplossing
Consent Database
Onze Consent Database wordt gekoppeld aan je webformulieren, zodat je automatisch informatie over de voorkeuren van je consumenten (zoals opt-out via API) kunt doorsturen naar een centraal beheerd visueel dashboard voor toestemmingen. Je kunt alle relevante gegevens bewaren, zoals de datum en het tijdstip van de opt-out, de versie van je privacybeleid die je aan de gebruiker hebt verstrekt op het moment van de opt-out, en identificatiegegevens, e-mailadressen en zelfs IP-adressen de je kunnen helpen het verzoek te verifiëren.
Onze oplossing voor Register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.
Onze oplossing documenteert:
informatie over de beveiliging, zoals de personen binnen je organisatie die toegang hebben tot gegevens van gebruikers;
geregistreerde onderaannemers die namens jou verwerkingsactiviteiten uitvoeren;
zelf toegevoegde doeleinden voor de verwerking;
methodes waarmee gegevens worden verzameld, en meer.
Een boete van 2.500 USD per overtreding of 7.500 USD per overtreding als sprake is van opzet of de persoonlijke informatie van een kind in het geding is.
Een boete van maximaal 7.500 USD per overtreding.
Hoewel deze boetes misschien laag lijken in vergelijking met andere privacywetten, moet je er rekening mee houden dat deze boetes worden opgelegd per overtreding en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.
Wat zijn de voornaamste verplichtingen voor eigenaren van websites en apps?
Delen en profileren
Als je gebruikers uit de VS hebt, moet je mogelijk voldoen aan wetten als de CPRA en de VCDPA als het gaat om profilering of het delen van informatie over gebruikers. Dit betekent dat je gebruikers moet informeren dat je hun gegevens op deze manier verwerkt en ze de mogelijkheid moet geven om het delen van gegevens te stoppen (door zich af te melden, ook wel een "opt-out" genoemd).
Toestemming bijhouden
In sommige regio's, zoals in Europa en Brazilië, ben je verplicht om bewijs van toestemmingen te bewaren. Doe je dit niet, dan zijn in veel gevallen de toestemmingen die je verzamelt niet geldig en overtreed je hiermee de wettelijke regels.
Vereisten voor meerdere regio's
Als je gebruikers uit verschillende regio's (bijvoorbeeld Europa en de VS) hebt, moet je mogelijk tegelijkertijd voldoen aan wetgeving uit meerdere regio's, zoals de CPRA in Californië en de AVG in Europa. Dit betekent onder andere dat je regiospecifieke kennisgevingen in je privacydocumenten moet opnemen.
Meer dan 130.000 klanten in meer dan 100 landen vertrouwen op iubenda
“Als je net als ik deel uitmaakt van een dynamisch team en niet steeds je privacybeleid wilt updaten als je iets toevoegt aan je website, dan is iubenda perfect. Het is ook echt betaalbaar en supergemakkelijk in gebruik.”
Reeds 3005287 automatisch bijgewerkte documenten gegenereerd
Veelgestelde vragen
Hoe bereid je je voor op de CPRA?
De CPRA wordt op 1 januari 2023 van kracht en wordt vanaf 1 juli 2023 gehandhaafd.
Bij iubenda houden we zoals altijd de laatste updates in de gaten. We zorgen ervoor dat al onze documenten en producten op tijd worden aangepast zodat je ook aan de nieuwe wetgeving voldoet.
Als je al werkt met procedures voor de CCPA, is het misschien een goed idee om je processen te herzien en deze informatie te lezen:
In de Verenigde Staten wordt nog een wet over gegevensbescherming van kracht: de Virginia Data Protection Act (VCDPA).
De VCDPA treedt in werking op 1 januari 2023.
Als je organisatie onder het toepassingsgebied van de VCDPA valt, moet je op zoek gaan naar compliance-oplossingen die betrouwbaar zijn en opgesteld zijn door juristen.
Als je nog geen oplossing hebt, begin dan meteen met het instellen van alles wat je nodig hebt. We stellen je op de hoogte wanneer de betreffende bepalingen beschikbaar zijn!
Of volg ons volgende webinar voor een overzicht van de juridische vereisten en een kans om direct vragen te stellen
Al onze producten zijn WCAG-conform op het hoogste niveau (AAA)
Een omvattende oplossing om je sites en apps compliant te maken
Compliance voor websites en apps
Privacybeleid- en Cookiebeleid-generator
Schrijf in een handomdraai je privacy- en cookiebeleid uit.
Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Beheer toestemmingsvoorkeuren voor ePrivacy, AVG, CCPRA en LGPD. Geïntegreerd met het TCF en CCPA Compliance Framework van het IAB.
Met onze oplossing kun je een volledig aanpasbare cookiebanner plaatsen, toestemming voor cookies verzamelen, voorafgaande blokkering implementeren, advertentievoorkeuren instellen en meer.
Verzamel AVG- en LGPD-conforme toestemmingen, houd opt-ins en CCPA opt-outs bij via je webformulieren.
Onze oplossing integreert naadloos met de formulieren waarmee je toestemming verzamelt, synchroniseert met je juridische documenten en heeft een gebruiksvriendelijk dashboard waarin je alles kunt bijhouden.
Documenteer alle gegevensverwerking binnen je organisatie.
Om te kunnen voldoen aan de privacywetgeving, met name de AVG, moet je als bedrijf documenteren hoe je gebruikersgegevens verzamelt, gebruikt en opslaat. Met onze oplossing kun je alle gegevensverwerking binnen je organisatie gemakkelijk documenteren.
