Iubenda logo
Aan de slag

Naleving van privacywetgeving van de VS voor je website, app en bedrijf

Wetten van Amerikaanse staten leggen nieuwe wettelijke en technische verplichtingen op aan bedrijven. De naleving ervan kan ingewikkeld zijn. Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.

Lees hier meer over de wettelijke verplichtingen.

CCPA-kennisgeving genereren

Welke wetten zijn op mij van toepassing?

Over het algemeen kunnen privacywetten in de VS, zoals de CPRA (voorheen CCPA) en de VCDPA op jou van toepassing zijn als je je richt op gebruikers die in de betreffende staten wonen en je bedrijf voldoet aan een van de onderstaande voorwaarden.

CPRA

De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië.
De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:

  • het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
  • het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
  • het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.

* Hieronder vallen ook integraties van derden op je website.

Twijfel je of de CPRA op jou van toepassing is? → Met deze korte quiz kom je het te weten

VCDPA

De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide privacywet. De VCDPA trad op 1 januari 2023 in werking.

De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:

  • het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van ten minste 100.000 consumenten; of
  • het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.

CPA

De Colorado Privacy Act (CPA) is op 1 juli 2023 van kracht geworden en is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.

De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of hun commerciële producten of diensten uitdrukkelijk richten op inwoners van Colorado en:

  • de persoonsgegevens van 100.000 consumenten of meer gedurende een kalenderjaar beheren of verwerken; of
  • inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.

CTDPA

De Connecticut Data Privacy Act (CTDPA) is op 1 juli 2023 van kracht geworden en verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen met derden.

De wet is van toepassing op personen die zaken doen in Connecticut of producten of diensten aanbieden die gericht zijn op inwoners van Connecticut en die in het voorgaande kalenderjaar:

  1. persoonsgegevens van minstens 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die uitsluitend worden beheerd of verwerkt om een betalingstransactie te voltooien); of
  2. persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens hebben gehaald.

UCPA

De Utah Consumer Privacy Act (UCPA) is een nieuwe privacywet voor consumenten in Utah die van kracht werd op 31 december 2023. De UCPA benadert de privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.

De wet is van toepassing op elke organisatie die:

  1. zaken doet in Utah; of
  2. een product of dienst produceert die gericht is op consumenten die in Utah wonen;
  3. een jaaromzet heeft van $25.000.000 of meer; en
  4. voldoet aan een of meer van de volgende drempels:
  5. gedurende een kalenderjaar beheren of verwerken van persoonsgegevens van 100.000 of meer consumenten; of
  6. meer dan 50% van de bruto-inkomsten van de entiteit komen uit de verkoop van persoonsgegevens en deze beheert of verwerkt persoonsgegevens ten minste 25.000 consumenten.

TDPSA

De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.

De wet is van toepassing op:

  • bedrijven met activiteiten in Texas;
  • die producten of diensten produceren voor inwoners van Texas;
  • die persoonsgegevens verwerken of verkopen; en
  • die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.

MTCDPA

De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.

De wet is van toepassing op:

  • bedrijven met activiteiten in Texas;
  • die producten of diensten produceren voor inwoners van Texas;
  • die persoonsgegevens verwerken of verkopen; en
  • die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.

Tijdlijn voor wetgeving van Amerikaanse staten

Wat is er nodig om te voldoen aan de wetten in de VS?

Omdat de regelgeving per staat enigszins verschilt, kan het bijhouden van alle regels een hele klus zijn. De slimme oplossingen van iubenda passen de meest robuuste normen toe om je te helpen met minimale inspanning aan alle wetgeving te voldoen. Je hoeft alleen maar Wetgeving van Amerikaanse staten te selecteren in je generator om te voldoen aan de meeste wetgeving in de gehele VS

CCPA world

Uitgebreide informatie via een privacybeleid

Verplichtingen in de VS

Bedrijven moeten specifieke informatie opnemen in hun privacybeleid. Deze informatie beschrijft de rechten waarover consumenten beschikken, verwerkingspartners, doeleinden, bronnen en meer De informatie moet volledig en actueel zijn en moet gemakkelijk kunnen worden geraadpleegd via je website of app.

Een beleid dat niet de juiste informatie bevat, is ongeldig

Je beleid voldoet pas aan de regels als het minimaal de volgende informatie bevat:

Invalid document icon
  • Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden heeft verkocht aan of gedeeld met derden, een lijst van relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de afgelopen 12 maanden geen persoonlijke informatie van gebruikers hebt verkocht of gedeeld.
  • Voeg een verklaring toe met betrekking tot de vraag of je bedrijf al dan niet bewust de persoonlijke informatie van gebruikers jonger dan 16 jaar verkoopt of deelt.
  • Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden (voor zakelijke doeleinden) aan derden heeft verstrekt, een lijst met relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de voorgaande 12 maanden geen persoonlijke informatie van consumenten hebt verstrekt.
  • Geef aan of je bedrijf wel of niet gevoelige persoonlijke informatie gebruikt of openbaar maakt voor andere dan de in de wet genoemde doeleinden.
  • Vermeld links naar online aanvraagformulieren of portals zodat je gebruikers een verzoek kunnen indienen met betrekking tot het verzamelen, bekendmaken of verkopen van hun persoonlijke informatie.

Hier is de volledige checklist met informatie die je volgens de CPRA-vereisten in je privacybeleid moet opnemen.

  • Vermeld de categorieën persoonsgegevens die door je organisatie worden verwerkt.
  • Vermeld het doel van je organisatie voor het verwerken van persoonsgegevens.
  • Informeer je gebruikers over hoe ze hun rechten kunnen uitoefenen (zie hieronder), inclusief hoe ze in beroep kunnen gaan tegen een beslissing over hun verzoeken. Je moet een of meer methoden bieden waarmee gebruikers een verzoek kunnen indienen.
  • Vermeld de eventuele categorieën persoonsgegevens die je organisatie deelt met derden.
  • Vermeld de categorieën van derden, indien van toepassing, waarmee je organisatie persoonsgegevens deelt.

Specifiek vereist de CPA dat je een privacyverklaring verstrekt die de volgende informatie bevat:

  1. Categorieën van verzamelde of verwerkte persoonsgegevens.
  2. Doeleinden waarvoor de categorieën van persoonsgegevens worden verwerkt.
  3. Hoe en waar consumenten hun rechten kunnen uitoefenen, inclusief contactgegevens en hoe ze in beroep kunnen gaan tegen een reactie van een verwerkingsverantwoordelijke met betrekking tot een verzoek van een consument.
  4. Categorieën van persoonsgegevens die worden gedeeld met derden, indien van toepassing;
  5. Categorieën van derden met wie de persoonsgegevens worden gedeeld, indien van toepassing.

Meer details hier →

De nieuwe privacywet van Connecticut vereist dat je consumenten voorziet van een duidelijke en zinvolle privacyverklaring die redelijk toegankelijk is. Hier is een checklist van wat er in je privacybeleid moet staan om aan de nieuwe wet te voldoen:

  • Categorieën van persoonsgegevens: Je privacybeleid moet een lijst bevatten van de categorieën persoonsgegevens die je verwerkt.
  • Doeleinden voor verwerking: Je privacybeleid moet duidelijk de doeleinden voor het verwerken van persoonsgegevens vermelden. Dit omvat elke reden waarom je persoonsgegevens verzamelt en gebruikt, zoals om een overeenkomst uit te voeren of een dienst te verlenen.
  • Consumentenrechten: Je privacybeleid moet uitleggen hoe consumenten hun wettelijke rechten kunnen uitoefenen. Dit omvat hoe een consument toegang kan krijgen tot zijn persoonsgegevens en hoe hij deze kan corrigeren, verwijderen of de verwerking ervan kan beperken. Je moet ook informatie geven over hoe een consument in beroep kan gaan tegen een beslissing over zijn verzoek.
  • Delen met derden: Als je persoonsgegevens deelt met derden, moet je in je privacybeleid aangeven welke categorieën persoonsgegevens je deelt.
  • Categorieën van derden: In je privacybeleid moet je ook aangeven met welke categorieën derden je persoonsgegevens deelt.
  • Contactgegevens: Je privacybeleid moet een actief e-mailadres of ander online mechanisme bevatten dat consumenten kunnen gebruiken om contact met je op te nemen met vragen of zorgen over hun persoonsgegevens.
  • Verkoop of gerichte advertenties: Als je persoonsgegevens verwerkt met het oog op verkoop of gericht adverteren, moet je dit duidelijk en opvallend vermelden in je privacybeleid. Je moet ook informatie geven over hoe consumenten hun recht kunnen uitoefenen om zich af te melden van deze verwerking.

Meer details hier →

Als je onder de Utah Consumer Privacy Act (UCPA) valt, moet je een privacybeleid opstellen dat redelijk toegankelijk en duidelijk is voor consumenten. Je privacybeleid moet het volgende bevatten:

  1. Categorieën van verwerkte persoonsgegevens: Identificeer de soorten persoonsgegevens die je organisatie verzamelt en verwerkt, zoals namen, e-mailadressen en betalingsgegevens.
  2. Doeleinden voor het verwerken van persoonsgegevens: Beschrijf de redenen waarom je organisatie persoonsgegevens verzamelt en verwerkt, bijvoorbeeld om bestellingen uit te voeren, klantenondersteuning te bieden of producten of diensten te verbeteren.
  3. Consumentenrechten: Leg uit hoe consumenten hun rechten kunnen uitoefenen, zoals het recht op inzage en verwijdering van hun persoonsgegevens. Houd er rekening mee dat de UCPA consumenten niet het recht geeft om correctie van onjuiste persoonsgegevens te vragen.
  4. Delen van persoonsgegevens: Meld welke categorieën persoonsgegevens je organisatie eventueel deelt met derden. Je kunt bijvoorbeeld betalingsgegevens delen met een betalingsverwerker of postadressen met een transportbedrijf.
  5. Derden: Geef aan met welke categorieën derden je organisatie eventueel persoonsgegevens deelt. Dit kunnen bijvoorbeeld leveranciers, dienstverleners of marketingpartners zijn.

Meer details hier →

De Texas Data Privacy and Security Act vereist dat verwerkingsverantwoordelijken een redelijk toegankelijke en duidelijke privacyverklaring aan consumenten verstrekken, waarin onder andere het volgende wordt beschreven:

  1. de categorieën van persoonsgegevens, inclusief gevoelige gegevens, indien van toepassing, die worden verwerkt en de doeleinden van de verwerking;
  2. de manier waarop consumenten hun rechten kunnen uitoefenen; en
  3. de categorieën persoonsgegevens die worden gedeeld met derden en de categorieën derden met wie de informatie wordt gedeeld.

Als verwerkingsverantwoordelijken gevoelige gegevens verkopen, zijn ze verplicht om consumenten op passende wijze te informeren. Voor bepaalde soorten gegevensverwerking moeten de verwerkingsverantwoordelijken gegevensbeschermingsbeoordelingen uitvoeren.

Verstrekken van een duidelijke privacyverklaring:

  • de categorieën van verwerkte persoonsgegevens;
  • verwerkingsdoeleinden;
  • praktijken voor het delen van gegevens;
  • contactgegevens; en
  • de manier waarop de rechten van consumenten kunnen worden uitgeoefend.

De OCDPA verplicht verwerkingsverantwoordelijken om consumenten een duidelijke, toegankelijke en zinvolle privacyverklaring te verstrekken. Deze verklaring moet het volgende bevatten:

  • De categorieën persoonsgegevens (waaronder gevoelige gegevens) die door de verwerkingsverantwoordelijke worden verwerkt en de doeleinden van de verwerking.
  • De categorieën persoonsgegevens die met derden worden gedeeld en de identiteit van deze derden.
  • Details van alle verwerkingsactiviteiten met betrekking tot gerichte advertenties.
  • Instructies over hoe consumenten contact kunnen opnemen met de verwerkingsverantwoordelijke en hun privacyrechten kunnen uitoefenen, waaronder de beroepsprocedure.
Oplossing
Privacy and Cookie Policy icon

Privacybeleid- en Cookiebeleid-generator

Schrijf in een handomdraai je privacy- en cookiebeleid uit.

Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Verkennen

Geef een melding weer en maak opt-out mogelijk

Desktop cookie banner icon

Overeenkomstig de CPRA (CCPA-wijziging) moet je voor of bij het verzamelen een melding laten zien waarin consumenten informatie krijgen over de categorieën persoonlijke informatie die wordt verzameld, en voor welk doel dit gebeurt. Consumenten moeten zich ook kunnen afmelden voor deze verwerking. Als bedrijf ben je daarom verantwoordelijk voor het informeren van consumenten over deze optie en het verstrekken van de feitelijke middelen voor opt-out.

In het bijzonder moet je:

  • Detecteren of een consument al dan niet in Californië woont en of hij je website al eerder heeft bezocht
  • Opt-out verzoeken vergemakkelijken via een DNSMPI-link
  • Relevante derden opdracht geven om te stoppen met het verwerken van de informatie van de consument wanneer een opt-out verzoek wordt ontvangen.
  • Bij het eerste bezoek aan de site een melding weergeven met de benodigde informatie

Wij wijzen je erop dat er op grond van de VCDPA geen aanwijzingen zijn dat opt-out-links waarmee gebruikers zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden verplicht zijn.

De bepalingen van de VCDPA behandelen het opt-out-recht van gebruikers in feite op dezelfde manier als alle andere gebruikersrechten die op grond van deze wet worden verleend.

Je bedrijf moet als volgt voldoen aan de verzoeken van gebruikers:

  • Je moet binnen 45 dagen aan het verzoek voldoen. De reactietermijn kan eenmalig worden verlengd met 45 extra dagen wanneer dit redelijkerwijs noodzakelijk is, zolang je de gebruiker op de hoogte stelt van een verlenging binnen de initiële reactietermijn van 45 dagen, samen met de reden voor de verlenging;
  • Als je weigert actie te ondernemen met betrekking tot het verzoek van je gebruiker, breng de gebruiker dan binnen 45 dagen op de hoogte van deze afwijzing, met vermelding van de relevante rechtvaardiging en instructies over hoe ze in beroep kunnen gaan tegen de beslissing;
  • Als je niet in staat bent om een verzoek te verifiëren aan de hand van commercieel redelijke inspanningen, ben je niet verplicht om aan het verzoek te voldoen en kun je om aanvullende informatie vragen die redelijkerwijs nodig is om de gebruiker en zijn verzoek te verifiëren.

Wij wijzen je erop dat er in de CPA geen aanwijzingen zijn dat er opt-out links nodig zijn waarmee consumenten zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden. Echter, als je persoonsgegevens verwerkt voor gericht adverteren of verkoop, ben je verplicht om een duidelijke en opvallende methode te bieden waarmee consumenten hun recht op opt-out kunnen uitoefenen.

Deze methode moet duidelijk en opvallend worden beschreven in de privacyverklaring en moet gemakkelijk toegankelijk zijn buiten de privacyverklaring.

Je moet consumenten ook de mogelijkheid bieden om zich af te melden voor de verwerking van hun persoonsgegevens voor gericht adverteren of verkoop door middel van een opt-out-voorkeurssignaal dat via een platform, technologie of mechanisme wordt verzonden, met toestemming van de consument.
Dit mechanisme moet:

  • andere verwerkingsverantwoordelijken niet oneerlijk benadelen,
  • een bevestigende en ondubbelzinnige keuze van de consument vereisen,
  • gemakkelijk te gebruiken zijn,
  • zoveel mogelijk in overeenstemming zijn met andere soortgelijke mechanismen die door federale of staatswet- en regelgeving worden vereist, en
  • de verwerkingsverantwoordelijke in staat stellen om te bepalen of de consument een inwoner van Connecticut is en een legitiem opt-out verzoek heeft gedaan.

Volgens de Utah Consumer Privacy Act (UCPA) hebben consumenten het recht om af te zien van de verwerking van hun persoonsgegevens voor gerichte advertentiedoeleinden of de verkoop van hun persoonsgegevens aan derden. De wet geeft echter geen specifieke richtlijnen over hoe je consumenten in staat moet stellen om dit recht uit te oefenen.

Om te voldoen aan de UCPA moet je:

  • consumenten een middel bieden om een opt-out-verzoek in te dienen; en
  • om te specificeren welk recht ze willen uitoefenen.

Het is belangrijk op te merken dat onder de UCPA opt-out-links alleen in aanmerking komen met betrekking tot het recht van consumenten om af te zien van de verwerking van gevoelige gegevens.

De TDPSA vereist opt-in-toestemming van de gebruiker in de volgende scenario's:

  • Opt-in-toestemming voor de verwerking van gevoelige gegevens: Verwerkingsverantwoordelijken mogen geen gevoelige gegevens verwerken zonder de uitdrukkelijke toestemming van de gebruiker. Bij het verwerken van gevoelige persoonsgegevens van kinderen moeten de verwerkingsverantwoordelijken ook voldoen aan de Children's Online Privacy Protection Act van 1998.
  • Opt-in-toestemming voor het verwerken van gegevens van kinderen: In deze wet wordt onder kinderen verstaan: minderjarigen jonger dan 13 jaar.

Bedrijven kunnen over het algemeen gegevens van consumenten verwerken zonder hun toestemming als de verwerkingsdoeleinden dezelfde zijn als in eerste instantie bekendgemaakt. Voor doeleinden die niet redelijkerwijs noodzakelijk zijn voor en verenigbaar zijn met de doeleinden die oorspronkelijk in het privacybeleid zijn aangegeven, is toestemming van de gebruiker nodig.

Bedrijven moeten toestemming van consumenten krijgen voor de volgende doeleinden:

  • Verwerking van gevoelige gegevens.
  • Verwerking van persoonsgegevens van kinderen van 13-16 jaar voor verkoop en gerichte advertenties, als het bedrijf op de hoogte is van hun leeftijd.

Bedrijven moeten consumenten een gemakkelijke methode bieden om hun toestemming in te trekken. Als een consument de toestemming intrekt, moet binnen 45 dagen worden gestopt met de betreffende verwerking van zijn persoonsgegevens.

Opt-out mechanismen

  • Aangeven of persoonsgegevens worden verkocht of gebruikt voor gerichte advertenties.
  • Consumenten methoden aanbieden om af te zien van gegevensverkoop, gerichte advertenties en profilering.
  • Controleerbare opt-out-signalen herkennen van geautoriseerde vertegenwoordigers, inclusief wereldwijde opt-out-mechanismen.

Vóór 1 januari 2025 moeten bedrijven consumenten de mogelijkheid bieden om af te zien van gerichte advertenties en de verkoop van hun persoonsgegevens door middel van opt-out-signalen.

Om persoonsgegevens verder te verwerken dan redelijkerwijs nodig is voor de doeleinden die oorspronkelijk aan consumenten zijn bekendgemaakt, moeten entiteiten actieve, opt-in-toestemming van consumenten verkrijgen. Dezelfde richtlijnen voor toestemming zijn van toepassing op het verzamelen en verwerken van gevoelige informatie.

De OCPA geeft duidelijke toestemmingsvereisten:

  • Consumenten moeten duidelijke, bevestigende actie ondernemen.
  • Toestemming moet ondubbelzinnig en geïnformeerd zijn.
  • Het toestemmingsmechanisme mag de besluitvorming van consumenten niet versluieren, ondermijnen of belemmeren.
  • Er moet een gemakkelijke, met het geven van toestemming vergelijkbare manier zijn voor consumenten om hun toestemming op elk moment in te trekken.
  • Niets doen door de consument houdt geen toestemming in.

Daarnaast is actieve toestemming van een wettelijk vertegenwoordiger vereist voor het verwerken van gegevens over kinderen jonger dan dertien jaar, waaronder voor gerichte advertenties of de verkoop van hun persoonlijke informatie.

Oplossing
Cookie solution icon

Privacy Controls and Cookie Solution voor de CCPA

Informeer consumenten en beheer opt-outs. IAB CCPA Compliance Framework geïntegreerd.

Met onze oplossing kun je het volgende doen:

Display banner icon

Geef een melding weer dat je gegevens verzamelt.

Profiling cookie icon

Toon een "Mijn persoonsgegevens niet verkopen"-link ("Do Not Sell My Personal Information" of DNSMPI) in de cookiemelding en elders op je website of in je app, waarmee bezoekers zich hiervoor kunnen afmelden.

Detect location icon

Detecteer automatisch (ook meerdere) normen op basis van de locatie, en pas ze meteen toe. Met onze oplossing kun je zowel CPRA (voorheen CCPA)- als AVG-conform werken voor dezelfde gebruikers, wanneer dit wettelijk is vereist.

Opt out icon

Sla informatie op over gebruikersvoorkeuren (zoals een opt-out) en stuur die door naar andere leveranciers die het IAB CCPA Compliance Framework ondersteunen (zoals Google en AdRoll).

Opt out preferences icon

De Privacy Controls and Cookie Solution van iubenda ondersteunt signalen voor afmeldingsvoorkeuren, zoals GPC en GPP conform de CPRA

Verkennen
Pointed world icon

Houd informatie bij over handmatige opt-out

Verplichtingen in de VS

Zoals hierboven aangegeven verlenen de meeste van deze wetten op staatsniveau, net als de CPRA (voorheen CCPA), de gebruikers het recht om zich af te melden (opt-out). Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.

Bovendien wordt in wetten als de CPRA voorgeschreven dat je gedurende minimaal 12 maanden na het verzoek van een gebruiker geen contact mag opnemen met die gebruiker. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.

Oplossing
Consent Solution icon

Consent Database

Onze Consent Database wordt gekoppeld aan je webformulieren, zodat je automatisch informatie over de voorkeuren van je consumenten (zoals opt-out via API) kunt doorsturen naar een centraal beheerd visueel dashboard voor toestemmingen. Je kunt alle relevante gegevens bewaren, zoals de datum en het tijdstip van de opt-out, de versie van je privacybeleid die je aan de gebruiker hebt verstrekt op het moment van de opt-out, en identificatiegegevens, e-mailadressen en zelfs IP-adressen de je kunnen helpen het verzoek te verifiëren.
Verkennen
Internal Privacy Management icon

Register van de gegevensverwerkingsactiviteiten

Onze oplossing voor Register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.

Onze oplossing documenteert:

  • informatie over de beveiliging, zoals de personen binnen je organisatie die toegang hebben tot gegevens van gebruikers;
  • geregistreerde onderaannemers die namens jou verwerkingsactiviteiten uitvoeren;
  • zelf toegevoegde doeleinden voor de verwerking;
  • methodes waarmee gegevens worden verzameld, en meer.
Verkennen

Boetes en sancties bij niet-naleving

California icon

Een boete van
2.500 USD per overtreding of
7.500 USD per overtreding als sprake is van opzet of de persoonlijke informatie van een kind in het geding is.

Virginia icon

Een boete van maximaal 7.500 USD per overtreding.

Hoewel deze boetes misschien laag lijken in vergelijking met andere privacywetten, moet je er rekening mee houden dat deze boetes worden opgelegd per overtreding en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.

Wat zijn de voornaamste verplichtingen voor eigenaren van websites en apps?

Display banner icon

Delen en profileren

Als je gebruikers uit de VS hebt, moet je mogelijk voldoen aan wetten als de CPRA en de VCDPA als het gaat om profilering of het delen van informatie over gebruikers. Dit betekent dat je gebruikers moet informeren dat je hun gegevens op deze manier verwerkt en ze de mogelijkheid moet geven om het delen van gegevens te stoppen (door zich af te melden, ook wel een "opt-out" genoemd).

Store consent proof icon

Toestemming bijhouden

In sommige regio's, zoals in Europa en Brazilië, ben je verplicht om bewijs van toestemmingen te bewaren. Doe je dit niet, dan zijn in veel gevallen de toestemmingen die je verzamelt niet geldig en overtreed je hiermee de wettelijke regels.

Cross-region icon

Vereisten voor meerdere regio's

Als je gebruikers uit verschillende regio's (bijvoorbeeld Europa en de VS) hebt, moet je mogelijk tegelijkertijd voldoen aan wetgeving uit meerdere regio's, zoals de CPRA in Californië en de AVG in Europa. Dit betekent onder andere dat je regiospecifieke kennisgevingen in je privacydocumenten moet opnemen.

Meer dan 130.000 klanten in meer dan 100 landen vertrouwen op iubenda

Armani hotel Milano logo
Peuterey logo
Mitsubishi logo
Save the Children logo
Lamborghini logo
Ryanair logo
Last Minute logo
MaxMara logo
Criteo logo
Etro logo
Honda logo
Sony Music logo
Siemens logo
Treedom logo
WWF logo
Unicef logo
Mailboxes logo
Virgin logo
Victorias Secret logo
Capterra rating

“Als je net als ik deel uitmaakt van een dynamisch team en niet steeds je privacybeleid wilt updaten als je iets toevoegt aan je website, dan is iubenda perfect. Het is ook echt betaalbaar en supergemakkelijk in gebruik.”

CCPA-kennisgeving genereren

PROBEER HET EERST UIT OF GEBRUIK DE GRATIS VERSIE

Reeds 3039561 automatisch bijgewerkte documenten gegenereerd

Veelgestelde vragen

Hoe bereid je je voor op de CPRA?

De CPRA wordt op 1 januari 2023 van kracht en wordt vanaf 1 juli 2023 gehandhaafd.

Bij iubenda houden we zoals altijd de laatste updates in de gaten. We zorgen ervoor dat al onze documenten en producten op tijd worden aangepast zodat je ook aan de nieuwe wetgeving voldoet.

Als je al werkt met procedures voor de CCPA, is het misschien een goed idee om je processen te herzien en deze informatie te lezen:

Meer over de CCPA 2.0
en wat dit voor jou betekent

Hoe bereid je je voor op de VCDPA?

In de Verenigde Staten wordt nog een wet over gegevensbescherming van kracht: de Virginia Data Protection Act (VCDPA).

De VCDPA treedt in werking op 1 januari 2023.

Als je organisatie onder het toepassingsgebied van de VCDPA valt, moet je op zoek gaan naar compliance-oplossingen die betrouwbaar zijn en opgesteld zijn door juristen.

Als je nog geen oplossing hebt, begin dan meteen met het instellen van alles wat je nodig hebt. We stellen je op de hoogte wanneer de betreffende bepalingen beschikbaar zijn!

Meer informatie over de Consumer Data Protection Act (VCDPA)

Al onze producten zijn WCAG-conform op het hoogste niveau (AAA)

Level AAA conformance, W3C WAI Web Content Accessibility Guidelines 2.1

Een omvattende oplossing om je sites en apps compliant te maken

Compliance voor websites en apps

Privacy and Cookie Policy icon

Privacybeleid- en Cookiebeleid-generator

Schrijf in een handomdraai je privacy- en cookiebeleid uit.

Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.

Verkennen
Cookie Solution icon

Privacy Controls and Cookie Solution

Beheer toestemmingsvoorkeuren voor ePrivacy, AVG, CCPRA en LGPD. Geïntegreerd met het TCF en CCPA Compliance Framework van het IAB.

Met onze oplossing kun je een volledig aanpasbare cookiebanner plaatsen, toestemming voor cookies verzamelen, voorafgaande blokkering implementeren, advertentievoorkeuren instellen en meer.

Verkennen

Compliance voor je organisatie

Consent Solution icon

Consent Database

Verzamel AVG- en LGPD-conforme toestemmingen, houd opt-ins en CCPA opt-outs bij via je webformulieren.

Onze oplossing integreert naadloos met de formulieren waarmee je toestemming verzamelt, synchroniseert met je juridische documenten en heeft een gebruiksvriendelijk dashboard waarin je alles kunt bijhouden.

Verkennen
Internal Privacy Management icon

Register van de gegevensverwerkingsactiviteiten

Documenteer alle gegevensverwerking binnen je organisatie.

Om te kunnen voldoen aan de privacywetgeving, met name de AVG, moet je als bedrijf documenteren hoe je gebruikersgegevens verzamelt, gebruikt en opslaat. Met onze oplossing kun je alle gegevensverwerking binnen je organisatie gemakkelijk documenteren.

Verkennen