Naleving van privacywetgeving van de VS voor je website, app en bedrijf
Wetten van Amerikaanse staten leggen nieuwe wettelijke en technische verplichtingen op aan bedrijven. De naleving ervan kan ingewikkeld zijn. Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.
Welke wetten zijn op mij van toepassing?
CPRA
De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië.
De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:
- het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
- het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
- het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.
* Hieronder vallen ook integraties van derden op je website.
Twijfel je of de CPRA op jou van toepassing is? → Met deze korte quiz kom je het te weten
VCDPA
De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide privacywet. De VCDPA trad op 1 januari 2023 in werking.
De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:
- het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van ten minste 100.000 consumenten; of
- het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.
CPA
De Colorado Privacy Act (CPA) is op 1 juli 2023 van kracht geworden en is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.
De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of hun commerciële producten of diensten uitdrukkelijk richten op inwoners van Colorado en:
- de persoonsgegevens van 100.000 consumenten of meer gedurende een kalenderjaar beheren of verwerken; of
- inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.
CTDPA
De Connecticut Data Privacy Act (CTDPA) is op 1 juli 2023 van kracht geworden en verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen met derden.
De wet is van toepassing op personen die zaken doen in Connecticut of producten of diensten aanbieden die gericht zijn op inwoners van Connecticut en die in het voorgaande kalenderjaar:
- persoonsgegevens van minstens 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die uitsluitend worden beheerd of verwerkt om een betalingstransactie te voltooien); of
- persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens hebben gehaald.
UCPA
De Utah Consumer Privacy Act (UCPA) is een nieuwe privacywet voor consumenten in Utah die van kracht werd op 31 december 2023. De UCPA benadert de privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.
De wet is van toepassing op elke organisatie die:
- zaken doet in Utah; of
- een product of dienst produceert die gericht is op consumenten die in Utah wonen;
- een jaaromzet heeft van $25.000.000 of meer; en
- voldoet aan een of meer van de volgende drempels:
- gedurende een kalenderjaar beheren of verwerken van persoonsgegevens van 100.000 of meer consumenten; of
- meer dan 50% van de bruto-inkomsten van de entiteit komen uit de verkoop van persoonsgegevens en deze beheert of verwerkt persoonsgegevens ten minste 25.000 consumenten.
TDPSA
De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.
De wet is van toepassing op:
- bedrijven met activiteiten in Texas;
- die producten of diensten produceren voor inwoners van Texas;
- die persoonsgegevens verwerken of verkopen; en
- die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.
MTCDPA
De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.
De wet is van toepassing op:
- bedrijven met activiteiten in Texas;
- die producten of diensten produceren voor inwoners van Texas;
- die persoonsgegevens verwerken of verkopen; en
- die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.
Tijdlijn voor wetgeving van Amerikaanse staten
-
De California Consumer Privacy Act (CCPA), wordt met een respijtperiode van 6 maanden van kracht vanaf
Naleving van de CCPA wordt actief gecontroleerd en gehandhaafd door de procureur-generaal, die kennisgevingen van niet-naleving uitvaardigt en ook boetes oplegt als de overtredingen aanhouden na een herstelperiode van 30 dagen.
-
Start van CPRA-controleperiode van 12 maanden. Bedrijven moeten nu de persoonlijke informatie die is verzameld en verwerkt gedurende een periode van 12 maanden voorafgaand aan het verzoek van een consument kunnen documenteren.
-
De California Privacy Rights Act (CPRA) wijzigt de CCPA en is in werking getreden. De herstelperiode van 30 dagen is niet langer van toepassing.
Om te voldoen aan de CPRA moet je mogelijk de volgende stappen nemen:
De stappen om hieraan te voldoen zijn afhankelijk van de aard van je bedrijf en het soort persoonlijke informatie dat je verzamelt en verwerkt. Kom met deze korte vragenlijst te weten of je bedrijf hieronder valt
Kijk hier voor specifieke informatie over hoe je hieraan kunt voldoen: Hoe iubenda je kan helpen te voldoen aan de CPRADe Virginia Consumer Data Protection Act (VCDPA) treedt in werking en wordt gehandhaafd.
Om te voldoen aan de VCDPA moet je mogelijk de volgende stappen nemen:
De specifieke stappen om hieraan te voldoen zijn afhankelijk van de aard van je bedrijf, het soort persoonlijke informatie dat je verzamelt en verwerkt en andere factoren.
Kijk hier voor specifieke informatie over hoe je hieraan kunt voldoen: Hoe iubenda je kan helpen te voldoen aan de VCDPADe California Privacy Rights Act (CPRA) wordt gehandhaafd.
De CPRA wordt nu actief gecontroleerd en gehandhaafd door het Privacy Protection Agency (CPPA) in Californië, waarbij boetes of sancties worden opgelegd voor niet-naleving.
Houd er rekening mee dat als gevolg van de beslissing van het Hooggerechtshof van Sacramento County, de handhaving van de definitieve regels die zijn uitgevaardigd door de California Privacy Protection Agency zijn uitgesteld tot 29 maart 2024. De beslissing heeft echter geen invloed op de wettelijke bepalingen van de CPRA, die vanaf 1 juli 2023 worden gehandhaafd.De Colorado Privacy Act (CPA) treedt in werking.
Om te voldoen aan de CPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor specifieke informatie over hoe je hieraan kunt voldoen: Hoe iubenda je kan helpen te voldoen aan de CPA
De Connecticut Data Privacy Act (CTDPA) treedt in werking.
Om te voldoen aan de CTDPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
De Utah Consumer Privacy Act (UCPA) treedt in werking.
Om te voldoen aan de UCPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
-
Het in de Colorado Privacy Act opgenomen vereiste om te voldoen aan afmeldverzoeken van consumenten door een universeel opt-outmechanisme is nu van kracht.
De Oregon Consumer Privacy Act (OCPA) is inmiddels van kracht
Let op: bedrijven zonder winstoogmerk hebben een jaar extra, tot 1 juli 2025, om aan deze wet te voldoen.
De Texas Data Privacy and Security Act (TDPSA) is inmiddels van kracht.
De Montana Consumer Data Privacy Act (MTCDPA) is inmiddels van kracht.
Houd er rekening mee dat non-profitorganisaties en bepaalde andere entiteiten zijn vrijgesteld van de verplichtingen uit deze wet.
-
De Montana Consumer Data Privacy Act verplicht bedrijven nu om universele opt-out-signalen van consumenten die de verkoop van hun persoonsgegevens of gerichte advertenties weigeren, te herkennen en te honoreren.
-
De Oregon Consumer Privacy Act vereist nu dat bedrijven Global Privacy Control-signalen herkennen van browsers zoals Chrome, waarmee gebruikers zich kunnen afmelden voor de verkoop van gegevens of gerichte advertenties.
Wat is er nodig om te voldoen aan de wetten in de VS?
Omdat de regelgeving per staat enigszins verschilt, kan het bijhouden van alle regels een hele klus zijn. De slimme oplossingen van iubenda passen de meest robuuste normen toe om je te helpen met minimale inspanning aan alle wetgeving te voldoen. Je hoeft alleen maar Wetgeving van Amerikaanse staten te selecteren in je generator om te voldoen aan de meeste wetgeving in de gehele VS
Uitgebreide informatie via een privacybeleid
Verplichtingen in de VSBedrijven moeten specifieke informatie opnemen in hun privacybeleid. Deze informatie beschrijft de rechten waarover consumenten beschikken, verwerkingspartners, doeleinden, bronnen en meer De informatie moet volledig en actueel zijn en moet gemakkelijk kunnen worden geraadpleegd via je website of app.
Een beleid dat niet de juiste informatie bevat, is ongeldig
Je beleid voldoet pas aan de regels als het minimaal de volgende informatie bevat:
- Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden heeft verkocht aan of gedeeld met derden, een lijst van relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de afgelopen 12 maanden geen persoonlijke informatie van gebruikers hebt verkocht of gedeeld.
- Voeg een verklaring toe met betrekking tot de vraag of je bedrijf al dan niet bewust de persoonlijke informatie van gebruikers jonger dan 16 jaar verkoopt of deelt.
- Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden (voor zakelijke doeleinden) aan derden heeft verstrekt, een lijst met relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de voorgaande 12 maanden geen persoonlijke informatie van consumenten hebt verstrekt.
- Geef aan of je bedrijf wel of niet gevoelige persoonlijke informatie gebruikt of openbaar maakt voor andere dan de in de wet genoemde doeleinden.
- Vermeld links naar online aanvraagformulieren of portals zodat je gebruikers een verzoek kunnen indienen met betrekking tot het verzamelen, bekendmaken of verkopen van hun persoonlijke informatie.
Hier is de volledige checklist met informatie die je volgens de CPRA-vereisten in je privacybeleid moet opnemen.
- Vermeld de categorieën persoonsgegevens die door je organisatie worden verwerkt.
- Vermeld het doel van je organisatie voor het verwerken van persoonsgegevens.
- Informeer je gebruikers over hoe ze hun rechten kunnen uitoefenen (zie hieronder), inclusief hoe ze in beroep kunnen gaan tegen een beslissing over hun verzoeken. Je moet een of meer methoden bieden waarmee gebruikers een verzoek kunnen indienen.
- Vermeld de eventuele categorieën persoonsgegevens die je organisatie deelt met derden.
- Vermeld de categorieën van derden, indien van toepassing, waarmee je organisatie persoonsgegevens deelt.
Specifiek vereist de CPA dat je een privacyverklaring verstrekt die de volgende informatie bevat:
- Categorieën van verzamelde of verwerkte persoonsgegevens.
- Doeleinden waarvoor de categorieën van persoonsgegevens worden verwerkt.
- Hoe en waar consumenten hun rechten kunnen uitoefenen, inclusief contactgegevens en hoe ze in beroep kunnen gaan tegen een reactie van een verwerkingsverantwoordelijke met betrekking tot een verzoek van een consument.
- Categorieën van persoonsgegevens die worden gedeeld met derden, indien van toepassing;
- Categorieën van derden met wie de persoonsgegevens worden gedeeld, indien van toepassing.
Meer details hier →
De nieuwe privacywet van Connecticut vereist dat je consumenten voorziet van een duidelijke en zinvolle privacyverklaring die redelijk toegankelijk is. Hier is een checklist van wat er in je privacybeleid moet staan om aan de nieuwe wet te voldoen:
- Categorieën van persoonsgegevens: Je privacybeleid moet een lijst bevatten van de categorieën persoonsgegevens die je verwerkt.
- Doeleinden voor verwerking: Je privacybeleid moet duidelijk de doeleinden voor het verwerken van persoonsgegevens vermelden. Dit omvat elke reden waarom je persoonsgegevens verzamelt en gebruikt, zoals om een overeenkomst uit te voeren of een dienst te verlenen.
- Consumentenrechten: Je privacybeleid moet uitleggen hoe consumenten hun wettelijke rechten kunnen uitoefenen. Dit omvat hoe een consument toegang kan krijgen tot zijn persoonsgegevens en hoe hij deze kan corrigeren, verwijderen of de verwerking ervan kan beperken. Je moet ook informatie geven over hoe een consument in beroep kan gaan tegen een beslissing over zijn verzoek.
- Delen met derden: Als je persoonsgegevens deelt met derden, moet je in je privacybeleid aangeven welke categorieën persoonsgegevens je deelt.
- Categorieën van derden: In je privacybeleid moet je ook aangeven met welke categorieën derden je persoonsgegevens deelt.
- Contactgegevens: Je privacybeleid moet een actief e-mailadres of ander online mechanisme bevatten dat consumenten kunnen gebruiken om contact met je op te nemen met vragen of zorgen over hun persoonsgegevens.
- Verkoop of gerichte advertenties: Als je persoonsgegevens verwerkt met het oog op verkoop of gericht adverteren, moet je dit duidelijk en opvallend vermelden in je privacybeleid. Je moet ook informatie geven over hoe consumenten hun recht kunnen uitoefenen om zich af te melden van deze verwerking.
Meer details hier →
Als je onder de Utah Consumer Privacy Act (UCPA) valt, moet je een privacybeleid opstellen dat redelijk toegankelijk en duidelijk is voor consumenten. Je privacybeleid moet het volgende bevatten:
- Categorieën van verwerkte persoonsgegevens: Identificeer de soorten persoonsgegevens die je organisatie verzamelt en verwerkt, zoals namen, e-mailadressen en betalingsgegevens.
- Doeleinden voor het verwerken van persoonsgegevens: Beschrijf de redenen waarom je organisatie persoonsgegevens verzamelt en verwerkt, bijvoorbeeld om bestellingen uit te voeren, klantenondersteuning te bieden of producten of diensten te verbeteren.
- Consumentenrechten: Leg uit hoe consumenten hun rechten kunnen uitoefenen, zoals het recht op inzage en verwijdering van hun persoonsgegevens. Houd er rekening mee dat de UCPA consumenten niet het recht geeft om correctie van onjuiste persoonsgegevens te vragen.
- Delen van persoonsgegevens: Meld welke categorieën persoonsgegevens je organisatie eventueel deelt met derden. Je kunt bijvoorbeeld betalingsgegevens delen met een betalingsverwerker of postadressen met een transportbedrijf.
- Derden: Geef aan met welke categorieën derden je organisatie eventueel persoonsgegevens deelt. Dit kunnen bijvoorbeeld leveranciers, dienstverleners of marketingpartners zijn.
Meer details hier →
De Texas Data Privacy and Security Act vereist dat verwerkingsverantwoordelijken een redelijk toegankelijke en duidelijke privacyverklaring aan consumenten verstrekken, waarin onder andere het volgende wordt beschreven:
- de categorieën van persoonsgegevens, inclusief gevoelige gegevens, indien van toepassing, die worden verwerkt en de doeleinden van de verwerking;
- de manier waarop consumenten hun rechten kunnen uitoefenen; en
- de categorieën persoonsgegevens die worden gedeeld met derden en de categorieën derden met wie de informatie wordt gedeeld.
Als verwerkingsverantwoordelijken gevoelige gegevens verkopen, zijn ze verplicht om consumenten op passende wijze te informeren. Voor bepaalde soorten gegevensverwerking moeten de verwerkingsverantwoordelijken gegevensbeschermingsbeoordelingen uitvoeren.
Verstrekken van een duidelijke privacyverklaring:
- de categorieën van verwerkte persoonsgegevens;
- verwerkingsdoeleinden;
- praktijken voor het delen van gegevens;
- contactgegevens; en
- de manier waarop de rechten van consumenten kunnen worden uitgeoefend.
De OCDPA verplicht verwerkingsverantwoordelijken om consumenten een duidelijke, toegankelijke en zinvolle privacyverklaring te verstrekken. Deze verklaring moet het volgende bevatten:
- De categorieën persoonsgegevens (waaronder gevoelige gegevens) die door de verwerkingsverantwoordelijke worden verwerkt en de doeleinden van de verwerking.
- De categorieën persoonsgegevens die met derden worden gedeeld en de identiteit van deze derden.
- Details van alle verwerkingsactiviteiten met betrekking tot gerichte advertenties.
- Instructies over hoe consumenten contact kunnen opnemen met de verwerkingsverantwoordelijke en hun privacyrechten kunnen uitoefenen, waaronder de beroepsprocedure.
Privacybeleid- en Cookiebeleid-generator
Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Geef een melding weer en maak opt-out mogelijk
Overeenkomstig de CPRA (CCPA-wijziging) moet je voor of bij het verzamelen een melding laten zien waarin consumenten informatie krijgen over de categorieën persoonlijke informatie die wordt verzameld, en voor welk doel dit gebeurt. Consumenten moeten zich ook kunnen afmelden voor deze verwerking. Als bedrijf ben je daarom verantwoordelijk voor het informeren van consumenten over deze optie en het verstrekken van de feitelijke middelen voor opt-out.
In het bijzonder moet je:
- Detecteren of een consument al dan niet in Californië woont en of hij je website al eerder heeft bezocht
- Opt-out verzoeken vergemakkelijken via een DNSMPI-link
- Relevante derden opdracht geven om te stoppen met het verwerken van de informatie van de consument wanneer een opt-out verzoek wordt ontvangen.
- Bij het eerste bezoek aan de site een melding weergeven met de benodigde informatie
Wij wijzen je erop dat er op grond van de VCDPA geen aanwijzingen zijn dat opt-out-links waarmee gebruikers zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden verplicht zijn.
De bepalingen van de VCDPA behandelen het opt-out-recht van gebruikers in feite op dezelfde manier als alle andere gebruikersrechten die op grond van deze wet worden verleend.
Je bedrijf moet als volgt voldoen aan de verzoeken van gebruikers:
- Je moet binnen 45 dagen aan het verzoek voldoen. De reactietermijn kan eenmalig worden verlengd met 45 extra dagen wanneer dit redelijkerwijs noodzakelijk is, zolang je de gebruiker op de hoogte stelt van een verlenging binnen de initiële reactietermijn van 45 dagen, samen met de reden voor de verlenging;
- Als je weigert actie te ondernemen met betrekking tot het verzoek van je gebruiker, breng de gebruiker dan binnen 45 dagen op de hoogte van deze afwijzing, met vermelding van de relevante rechtvaardiging en instructies over hoe ze in beroep kunnen gaan tegen de beslissing;
- Als je niet in staat bent om een verzoek te verifiëren aan de hand van commercieel redelijke inspanningen, ben je niet verplicht om aan het verzoek te voldoen en kun je om aanvullende informatie vragen die redelijkerwijs nodig is om de gebruiker en zijn verzoek te verifiëren.
Wij wijzen je erop dat er in de CPA geen aanwijzingen zijn dat er opt-out links nodig zijn waarmee consumenten zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden. Echter, als je persoonsgegevens verwerkt voor gericht adverteren of verkoop, ben je verplicht om een duidelijke en opvallende methode te bieden waarmee consumenten hun recht op opt-out kunnen uitoefenen.
Deze methode moet duidelijk en opvallend worden beschreven in de privacyverklaring en moet gemakkelijk toegankelijk zijn buiten de privacyverklaring.
Je moet consumenten ook de mogelijkheid bieden om zich af te melden voor de verwerking van hun persoonsgegevens voor gericht adverteren of verkoop door middel van een opt-out-voorkeurssignaal dat via een platform, technologie of mechanisme wordt verzonden, met toestemming van de consument.
Dit mechanisme moet:
- andere verwerkingsverantwoordelijken niet oneerlijk benadelen,
- een bevestigende en ondubbelzinnige keuze van de consument vereisen,
- gemakkelijk te gebruiken zijn,
- zoveel mogelijk in overeenstemming zijn met andere soortgelijke mechanismen die door federale of staatswet- en regelgeving worden vereist, en
- de verwerkingsverantwoordelijke in staat stellen om te bepalen of de consument een inwoner van Connecticut is en een legitiem opt-out verzoek heeft gedaan.
Volgens de Utah Consumer Privacy Act (UCPA) hebben consumenten het recht om af te zien van de verwerking van hun persoonsgegevens voor gerichte advertentiedoeleinden of de verkoop van hun persoonsgegevens aan derden. De wet geeft echter geen specifieke richtlijnen over hoe je consumenten in staat moet stellen om dit recht uit te oefenen.
Om te voldoen aan de UCPA moet je:
- consumenten een middel bieden om een opt-out-verzoek in te dienen; en
- om te specificeren welk recht ze willen uitoefenen.
Het is belangrijk op te merken dat onder de UCPA opt-out-links alleen in aanmerking komen met betrekking tot het recht van consumenten om af te zien van de verwerking van gevoelige gegevens.
De TDPSA vereist opt-in-toestemming van de gebruiker in de volgende scenario's:
- Opt-in-toestemming voor de verwerking van gevoelige gegevens: Verwerkingsverantwoordelijken mogen geen gevoelige gegevens verwerken zonder de uitdrukkelijke toestemming van de gebruiker. Bij het verwerken van gevoelige persoonsgegevens van kinderen moeten de verwerkingsverantwoordelijken ook voldoen aan de Children's Online Privacy Protection Act van 1998.
- Opt-in-toestemming voor het verwerken van gegevens van kinderen: In deze wet wordt onder kinderen verstaan: minderjarigen jonger dan 13 jaar.
Bedrijven kunnen over het algemeen gegevens van consumenten verwerken zonder hun toestemming als de verwerkingsdoeleinden dezelfde zijn als in eerste instantie bekendgemaakt. Voor doeleinden die niet redelijkerwijs noodzakelijk zijn voor en verenigbaar zijn met de doeleinden die oorspronkelijk in het privacybeleid zijn aangegeven, is toestemming van de gebruiker nodig.
Bedrijven moeten toestemming van consumenten krijgen voor de volgende doeleinden:
- Verwerking van gevoelige gegevens.
- Verwerking van persoonsgegevens van kinderen van 13-16 jaar voor verkoop en gerichte advertenties, als het bedrijf op de hoogte is van hun leeftijd.
Bedrijven moeten consumenten een gemakkelijke methode bieden om hun toestemming in te trekken. Als een consument de toestemming intrekt, moet binnen 45 dagen worden gestopt met de betreffende verwerking van zijn persoonsgegevens.
Opt-out mechanismen
- Aangeven of persoonsgegevens worden verkocht of gebruikt voor gerichte advertenties.
- Consumenten methoden aanbieden om af te zien van gegevensverkoop, gerichte advertenties en profilering.
- Controleerbare opt-out-signalen herkennen van geautoriseerde vertegenwoordigers, inclusief wereldwijde opt-out-mechanismen.
Vóór 1 januari 2025 moeten bedrijven consumenten de mogelijkheid bieden om af te zien van gerichte advertenties en de verkoop van hun persoonsgegevens door middel van opt-out-signalen.
Om persoonsgegevens verder te verwerken dan redelijkerwijs nodig is voor de doeleinden die oorspronkelijk aan consumenten zijn bekendgemaakt, moeten entiteiten actieve, opt-in-toestemming van consumenten verkrijgen. Dezelfde richtlijnen voor toestemming zijn van toepassing op het verzamelen en verwerken van gevoelige informatie.
De OCPA geeft duidelijke toestemmingsvereisten:
- Consumenten moeten duidelijke, bevestigende actie ondernemen.
- Toestemming moet ondubbelzinnig en geïnformeerd zijn.
- Het toestemmingsmechanisme mag de besluitvorming van consumenten niet versluieren, ondermijnen of belemmeren.
- Er moet een gemakkelijke, met het geven van toestemming vergelijkbare manier zijn voor consumenten om hun toestemming op elk moment in te trekken.
- Niets doen door de consument houdt geen toestemming in.
Daarnaast is actieve toestemming van een wettelijk vertegenwoordiger vereist voor het verwerken van gegevens over kinderen jonger dan dertien jaar, waaronder voor gerichte advertenties of de verkoop van hun persoonlijke informatie.
Privacy Controls and Cookie Solution voor de CCPA
Informeer consumenten en beheer opt-outs. IAB CCPA Compliance Framework geïntegreerd.
Met onze oplossing kun je het volgende doen:
Toon een "Mijn persoonsgegevens niet verkopen"-link ("Do Not Sell My Personal Information" of DNSMPI) in de cookiemelding en elders op je website of in je app, waarmee bezoekers zich hiervoor kunnen afmelden.
Detecteer automatisch (ook meerdere) normen op basis van de locatie, en pas ze meteen toe. Met onze oplossing kun je zowel CPRA (voorheen CCPA)- als AVG-conform werken voor dezelfde gebruikers, wanneer dit wettelijk is vereist.
Sla informatie op over gebruikersvoorkeuren (zoals een opt-out) en stuur die door naar andere leveranciers die het IAB CCPA Compliance Framework ondersteunen (zoals Google en AdRoll).
Houd informatie bij over handmatige opt-out
Verplichtingen in de VSZoals hierboven aangegeven verlenen de meeste van deze wetten op staatsniveau, net als de CPRA (voorheen CCPA), de gebruikers het recht om zich af te melden (opt-out). Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.
Bovendien wordt in wetten als de CPRA voorgeschreven dat je gedurende minimaal 12 maanden na het verzoek van een gebruiker geen contact mag opnemen met die gebruiker. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.
Consent Database
Register van de gegevensverwerkingsactiviteiten
Onze oplossing voor Register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.
Onze oplossing documenteert:
- informatie over de beveiliging, zoals de personen binnen je organisatie die toegang hebben tot gegevens van gebruikers;
- geregistreerde onderaannemers die namens jou verwerkingsactiviteiten uitvoeren;
- zelf toegevoegde doeleinden voor de verwerking;
- methodes waarmee gegevens worden verzameld, en meer.
Boetes en sancties bij niet-naleving
Een boete van
2.500 USD per overtreding of
7.500 USD per overtreding als sprake is van opzet of de persoonlijke informatie van een kind in het geding is.
Een boete van maximaal 7.500 USD per overtreding.
Hoewel deze boetes misschien laag lijken in vergelijking met andere privacywetten, moet je er rekening mee houden dat deze boetes worden opgelegd per overtreding en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.
Wat zijn de voornaamste verplichtingen voor eigenaren van websites en apps?
Delen en profileren
Als je gebruikers uit de VS hebt, moet je mogelijk voldoen aan wetten als de CPRA en de VCDPA als het gaat om profilering of het delen van informatie over gebruikers. Dit betekent dat je gebruikers moet informeren dat je hun gegevens op deze manier verwerkt en ze de mogelijkheid moet geven om het delen van gegevens te stoppen (door zich af te melden, ook wel een "opt-out" genoemd).
Toestemming bijhouden
In sommige regio's, zoals in Europa en Brazilië, ben je verplicht om bewijs van toestemmingen te bewaren. Doe je dit niet, dan zijn in veel gevallen de toestemmingen die je verzamelt niet geldig en overtreed je hiermee de wettelijke regels.
Vereisten voor meerdere regio's
Als je gebruikers uit verschillende regio's (bijvoorbeeld Europa en de VS) hebt, moet je mogelijk tegelijkertijd voldoen aan wetgeving uit meerdere regio's, zoals de CPRA in Californië en de AVG in Europa. Dit betekent onder andere dat je regiospecifieke kennisgevingen in je privacydocumenten moet opnemen.
Meer dan 130.000 klanten in meer dan 100 landen vertrouwen op iubenda
PROBEER HET EERST UIT OF GEBRUIK DE GRATIS VERSIE
Reeds 3039561 automatisch bijgewerkte documenten gegenereerd
Veelgestelde vragen
Hoe bereid je je voor op de CPRA?
De CPRA wordt op 1 januari 2023 van kracht en wordt vanaf 1 juli 2023 gehandhaafd.
Bij iubenda houden we zoals altijd de laatste updates in de gaten. We zorgen ervoor dat al onze documenten en producten op tijd worden aangepast zodat je ook aan de nieuwe wetgeving voldoet.
Als je al werkt met procedures voor de CCPA, is het misschien een goed idee om je processen te herzien en deze informatie te lezen:
Hoe bereid je je voor op de VCDPA?
In de Verenigde Staten wordt nog een wet over gegevensbescherming van kracht: de Virginia Data Protection Act (VCDPA).
De VCDPA treedt in werking op 1 januari 2023.
Als je organisatie onder het toepassingsgebied van de VCDPA valt, moet je op zoek gaan naar compliance-oplossingen die betrouwbaar zijn en opgesteld zijn door juristen.
Als je nog geen oplossing hebt, begin dan meteen met het instellen van alles wat je nodig hebt. We stellen je op de hoogte wanneer de betreffende bepalingen beschikbaar zijn!
Meer informatie over de Consumer Data Protection Act (VCDPA)
Documentatie en gidsen
Nog niet helemaal duidelijk?
Lees onze gids over hoe te beginnen
Chat live met ons of neem contact op met het support team
Of volg ons volgende webinar voor een overzicht van de juridische vereisten en een kans om direct vragen te stellen
Een omvattende oplossing om je sites en apps compliant te maken
Compliance voor websites en apps
Privacybeleid- en Cookiebeleid-generator
Schrijf in een handomdraai je privacy- en cookiebeleid uit.
Kies uit meer dan 2000 bepalingen in 14 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Privacy Controls and Cookie Solution
Beheer toestemmingsvoorkeuren voor ePrivacy, AVG, CCPRA en LGPD. Geïntegreerd met het TCF en CCPA Compliance Framework van het IAB.
Met onze oplossing kun je een volledig aanpasbare cookiebanner plaatsen, toestemming voor cookies verzamelen, voorafgaande blokkering implementeren, advertentievoorkeuren instellen en meer.
Compliance voor je organisatie
Consent Database
Verzamel AVG- en LGPD-conforme toestemmingen, houd opt-ins en CCPA opt-outs bij via je webformulieren.
Onze oplossing integreert naadloos met de formulieren waarmee je toestemming verzamelt, synchroniseert met je juridische documenten en heeft een gebruiksvriendelijk dashboard waarin je alles kunt bijhouden.
Register van de gegevensverwerkingsactiviteiten
Documenteer alle gegevensverwerking binnen je organisatie.
Om te kunnen voldoen aan de privacywetgeving, met name de AVG, moet je als bedrijf documenteren hoe je gebruikersgegevens verzamelt, gebruikt en opslaat. Met onze oplossing kun je alle gegevensverwerking binnen je organisatie gemakkelijk documenteren.