💡 Twijfels over de CCPA? Dit is wat je moet doen:
Wat is de Privacywet van Californië (CCPA) en hoe voldoe je aan de eisen van de CCPA? We zetten het voor je op een rijtje (zonder al het juridisch jargon) in de punten hieronder.
De CCPA is de nieuwste privacywet van Californië en is bedoeld om de privacyrechten te verbeteren van de inwoners van Californië in de Verenigde Staten. De wet is op 1 januari 2020 in werking getreden en is volledig van kracht geworden vanaf 1 juli 2020.
De CCPA (ook wel de AVG van Californië genoemd) legt nieuwe verplichtingen op voor de verwerking van persoonlijke informatie en geeft consumenten in dat verband bijkomende rechten. Daarom heeft deze wet belangrijke gevolgen voor bedrijfsprocessen en aansprakelijkheid.
In het algemeen is de CCPA van toepassing als aan BEIDE van de volgende voorwaarden wordt voldaan:
De CCPA definieert een “consument” als een natuurlijke persoon die in Californië woont.
Onder het toepassingsgebied van de California Consumer Privacy Act wordt een “bedrijf” gedefinieerd als een for-profit organisatie die de persoonlijke informatie van consumenten verzamelt, de doeleinden van de verwerking en de verwerkingsmethode vaststelt, zich richt op inwoners van Californië (ongeacht of het bedrijf al dan niet in Californië is gevestigd), en voldoet aan ten minste een van de volgende vereisten:
In het kader van de California Consumer Privacy Act wordt “persoonlijke informatie” gedefinieerd als “informatie die een bepaalde consument of een bepaald huishouden identificeert, daarmee verband houdt, beschrijft, daarmee in verband kan worden gebracht of redelijkerwijs rechtstreeks of onrechtstreeks aan een bepaalde consument of een bepaald huishouden kan worden gekoppeld”.
De CCPA bepaalt verder dat persoonlijke informatie onder meer kan bestaan uit:
Onder verkoop wordt in het kader van de CCPA verstaan: “verkopen, verhuren, vrijgeven, bekendmaken, verspreiden, beschikbaar stellen, doorgeven of anderszins mondeling, schriftelijk of elektronisch communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde, tegen betaling of een andere vergoeding“.
De term vergoeding of tegenprestatie (in het Engels: valuable consideration) wordt op het moment niet in de CCPA gedefinieerd, maar in het overeenkomstenrecht van Californië wordt hieronder verstaan: “[a]Elk voordeel dat door een ander aan de promittent wordt verschaft of overeengekomen, waarop de promittent niet wettelijk aanspraak kan maken, of elk nadeel dat deze persoon oploopt of overeenkomt op te lopen, anders dan waartoe deze persoon op het moment van de toestemming wettelijk verplicht is, als een aansporing aan de promittent, is een tegenprestatie voor een belofte.” (Californisch Burgerlijk Wetboek § 1605).
In deze context kan een “tegenprestatie” ruim worden geïnterpreteerd als alle overeenkomsten waarbij persoonsgegevens worden uitgewisseld – en de overdragende entiteit enig voordeel ontvangt waartoe zij zonder de overeenkomst wettelijk niet gerechtigd zou zijn.
De CalOPPA is niet ingetrokken door de CCPA en is nog steeds van toepassing. Zelfs als de bovenstaande definitie van “bedrijf” niet op jou van toepassing is, moet je hier wel rekening mee houden, aangezien je mogelijk toch moet voldoen aan de CalOPPA. Ook kunnen beide wetten op jou van toepassing zijn. Meer informatie over de CalOPPA
Wat schrijft de CCPA precies voor?
Consumenten hebben onder de CCPA recht op informatie over de manier waarop hun informatie wordt verwerkt op of voor het verzamelpunt.
Op grond van de Privacywet van Californië moet je bekendmaken:
Krachtens de CCPA hebben consumenten recht op toegang tot hun persoonlijke informatie wanneer zij daar op verifieerbare wijze om verzoeken*.
In het bijzonder hebben consumenten recht op inzage van:
*Verifieerbaar verzocht of een “verifieerbaar consumentenverzoek”: een verzoek dat wordt gedaan door een consument, door een consument namens een minderjarig kind van de consument of door een natuurlijke persoon of een door de Secretary of State geregistreerde persoon die door de consument gemachtigd is om namens de consument op te treden, en waarbij het bedrijf redelijkerwijs kan verifiëren dat deze … de consument is over wie de onderneming persoonlijke informatie heeft verzameld. Californisch Burgerlijk Wetboek § 1798.140(y)
Je moet consumenten twee of meer methoden bieden om inzageverzoeken in te dienen, waaronder ten minste een gratis telefoonnummer en, indien het bedrijf een website heeft, een website-adres. Je moet ook redelijke inspanningen leveren om te verifiëren dat de persoon die het verzoek indient, ofwel de consument is over wie de informatie is verzameld, ofwel gemachtigd is om deze informatie op te vragen namens de consument, zoals hierboven uiteengezet.
In de Privacywet van Californië is het recht op overdraagbaarheid van gegevens verbonden met het inzagerecht overeenkomstig artikel 1798.100 (d).
Wanneer bedrijven inzageverzoeken “elektronisch” afhandelen, is het ook vereist dat de informatie aan de consument wordt verstrekt in “een overdraagbaar en, voor zover technisch haalbaar, in een gemakkelijk bruikbaar formaat waarmee de consument deze informatie ongehinderd aan een andere entiteit door kan geven”.
Aan informatieverzoeken moet kosteloos worden voldaan binnen een periode van 45 dagen na het verifieerbare verzoek. Deze termijn kan eenmalig met 45 dagen worden verlengd indien dat redelijkerwijs noodzakelijk is en mits de consument binnen de eerste termijn van 45 dagen van de verlenging in kennis wordt gesteld.
De informatie die bij het voldoen aan het verzoek wordt gegeven, moet betrekking hebben op de periode van 12 maanden die aan de ontvangst van het verzoek voorafgaat.
Bedrijven moeten reageren via de gewone post of in een elektronisch formaat (zoals e-mail, downloaden van bestanden, enz.). Bij elektronische levering moet de informatie volgens de wet “overdraagbaar” zijn, d.w.z. geleverd in een formaat dat gemakkelijk te gebruiken is en waarmee de informatie zonder belemmeringen aan een andere entiteit kan worden doorgegeven.
De CCPA verleent consumenten het recht te verzoeken om verwijdering van alle persoonlijke informatie die over hen is verzameld. Indien een verifieerbaar verzoek tot verwijdering van een consument wordt ontvangen, moet je de persoonlijke informatie van de consument uit je registratie verwijderen en alle betrokken dienstverleners opdracht geven de persoonlijke informatie van de consument uit hun registraties te verwijderen.
Je moet consumenten twee of meer methoden bieden om verzoeken in te dienen, waaronder ten minste een gratis telefoonnummer en, indien het bedrijf een website heeft, een website-adres. Je moet ook redelijke inspanningen leveren om te verifiëren dat de persoon die het verzoek indient, ofwel de consument is over wie de informatie is verzameld, ofwel gemachtigd is om deze informatie op te vragen namens de consument, zoals hierboven uiteengezet.
Aan informatieverzoeken moet kosteloos worden voldaan binnen een periode van 45 dagen na het verifieerbare verzoek. Deze termijn kan eenmalig met 45 dagen worden verlengd indien dat redelijkerwijs noodzakelijk is en mits de consument binnen de eerste termijn van 45 dagen van de verlenging in kennis wordt gesteld.
Bedrijven zijn niet verplicht in te gaan op het verzoek tot verwijdering als de informatie noodzakelijk is:
Krachtens de CCPA hebben consumenten te allen tijde het recht om een bedrijf dat hun persoonlijke informatie aan derden verkoopt, te melden dat zij moet stoppen met de verkoop van die persoonlijke informatie.
Zoals hierboven is aangegeven, definieert de CCPA “verkoop”, “verkopen” of “verkocht” als alle “verkoop, verhuur, vrijgeven, bekendmaken, verspreiden, beschikbaar stellen, doorgeven of anderszins mondeling, schriftelijk of elektronisch communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde, tegen betaling of een andere vergoeding.
Twee minder voor de hand liggende voorbeelden van wat zou kunnen* worden beschouwd als “verkoop” in de zin van de CCPA zijn:
*In dit stadium van de invoering van de wet kunnen sommige factoren nog veranderen naarmate de wet verder wordt verfijnd.
Als je persoonlijke informatie van consumenten aan derden “verkoopt”, moet je dit aan de consumenten melden, en je moet ze ook vertellen dat ze het recht hebben om de verkoop van hun persoonlijke informatie te weigeren (opt-out, zoals aangegeven in ”Het recht op informatie” hierboven).
Je mag een consument niet vragen om een account aan te maken voor een opt-out. In plaats daarvan moet dit proces worden vergemakkelijkt via een “Mijn persoonlijke informatie niet verkopen”-link (”DNSMPI”) op je website of in je privacyverklaring.
Als een bedrijf van een consument de instructie krijgt om de persoonlijke informatie van de consument niet te verkopen, mag het bedrijf de persoonlijke informatie van die consument dus niet verkopen, tenzij de consument daarna uitdrukkelijke toestemming verstrekt voor de verkoop van hun persoonlijke informatie (opt-in).
Bedrijven mogen daarna slechts nog één keer vragen om de toestemming van de consument en slechts voor een periode van 12 maanden na de opt-out van de consument.
Het is bedrijven verboden persoonlijke informatie van consumenten te verkopen indien het bedrijf er feitelijk kennis van heeft dat de consument jonger is dan 16 jaar. In dergelijke gevallen mogen bedrijven de informatie alleen verkopen als:
Krachtens de CCPA is het bedrijven verboden consumenten te discrimineren omdat zij gebruik maken van hun wettelijke rechten. Verboden vormen van discriminatie zijn onder meer:
Een bedrijf mag alleen verschillende prijzen, tarieven, niveaus of kwaliteit van goederen of diensten in rekening brengen of aanbieden wanneer dat verschil in redelijke verhouding staat tot de waarde die de gegevens van de consument aan de consument verschaffen.
Bijvoorbeeld: een bedrijf biedt standaard een korting van 30% op een product aan als stimulans om het product opnieuw aan te kopen, één maand na de eerste aankoop van hetzelfde product door de consument. Gedurende die tijd kunnen consumenten hun recht op verwijdering uitoefenen en verzoeken om verwijdering van hun persoonlijke informatie. Omdat het bedrijf in dat geval niet meer over de consumentengegevens beschikt waaruit blijkt dat de consument het product eerder heeft gekocht, kan het redelijkerwijs de standaardkorting van 30% niet meer aan die specifieke consument aanbieden.
Een bedrijf kan financiële stimulansen bieden, waaronder betalingen aan consumenten als vergoeding voor het verzamelen van persoonlijke informatie, de verkoop van persoonlijke informatie of de verwijdering van persoonlijke informatie. In dergelijke gevallen moeten deze financiële stimulansen via de startpagina van je website en in je privacybeleid aan de gebruikers worden bekendgemaakt.
Het is bedrijven verboden om financiële stimuleringspraktijken te gebruiken die “onrechtvaardig, onredelijk, dwingend of woekerachtig van aard zijn”.
De CCPA wordt soms wel “de AVG van Californië” genoemd. Hier vind je een feitelijke vergelijking van de twee wetten:
| CCPA | AVG | |
|---|---|---|
| Handhavingsorgaan? | De Minister van Justitie van de staat Californië, VS. | De nationale gegevensautoriteiten (per EU-lidstaat). |
| Wie moet aan de wet voldoen? | Alle for-profit bedrijven die zich richten op consumenten in Californië en ofwel:
|
Alle entiteiten (zonder winstoogmerk of anderszins – waaronder NGO’s, particulieren en overheidsinstanties) die zich richten op consumenten in de EU, of die in de EU gevestigd zijn. |
| Welke soorten gegevens worden beschermd? | Alle gegevens die betrekking hebben op, of in verband kunnen worden gebracht met, een bepaalde consument of een bepaald huishouden, met uitzondering van openbare registers van de overheid. | Alle gegevens die kunnen leiden tot de identificatie van een persoon. |
| Worden IP-adressen als persoonsgegevens beschouwd? | ||
| Is toestemming vereist voor verwerking? | Alleen ten aanzien van minderjarigen en bij een eerdere opt-out. | Ja, tenzij een andere rechtsgrond rechtmatig van toepassing is. |
| Moeten bedrijven consumenten de mogelijkheid geven voor een opt-out of het intrekken van toestemming? | Ja, bedrijven moeten een DNSMPI-link aanbieden en verzoeken om opt-out honoreren. | Gebruikers hebben zowel het recht om hun toestemming in te trekken als het recht om bezwaar te maken tegen de verwerking (dit kan zelfs gelden in gevallen waarin de verwerking op een andere rechtsgrond dan toestemming plaatsvindt). |
| Zijn de beschermingsmaatregelen ook van toepassing op business-to-business (B2B) interacties? | Nee, de bescherming van de CCPA geldt alleen voor consumenten. | De AVG maakt geen onderscheid tussen bescherming voor B2B en B2C (business to consumer) interacties, maar past haar bescherming gewoon toe op “betrokkenen”, die worden gedefinieerd als “herleidbare natuurlijke personen” die in de EU zijn gevestigd. |
| Beveiligingsvereisten? | De CCPA bevat geen specifieke beveiligingsvereisten, maar geeft consumenten uitdrukkelijk het recht om een rechtszaak aan te spannen voor schade die voortvloeit uit het verzuim van een bedrijf om passende beveiligingspraktijken toe te passen. | De AVG schrijft voor dat zowel de verwerkingsverantwoordelijken als de verwerkers beveiligingsmethoden moeten toepassen die op het betrokken risico zijn afgestemd. Beveiligingsmethoden moeten volgens de “stand van de techniek” zijn, wat betekent dat de beveiligingsmethoden aan de nieuwste normen moeten voldoen. |
| Sancties op niet-naleving? | Boetes tot 7500 USD per afzonderlijke overtreding. De CCPA geeft consumenten ook het recht om in rechte schadevergoeding te eisen. | Boetes tot 20 miljoen EUR of 4% van de jaarlijkse wereldwijde omzet – afhankelijk van welk bedrag hoger is, mogelijke audits en sancties. De AVG geeft betrokkenen ook de mogelijkheid een rechtszaak aan te spannen als hun rechten zijn geschonden. |
| Toepasselijke rechten van gebruikers in het kort | ||
| Recht op informatie | ||
| Inzagerecht | ||
| Recht op gegevensoverdraagbaarheid | ||
| Recht op rectificatie | × | |
| Recht op verwijdering | ||
| Recht van bezwaar | In zekere mate gedekt door het recht op opt-out | |
Consumenten hebben het recht om te procederen* tegen bedrijven die de wetgeving niet naleven. Hier zijn boetes aan verbonden van 100 tot 750 USD. Als een hogere schade kan worden bewezen, kan vergoeding worden gevraagd van de daadwerkelijke schade.
*Dit geldt alleen voor de bedrijven zelf en niet voor “dienstverleners” die namens de bedrijven optreden.
De staat Californië kan verder tot 2500 USD per inbreuk vorderen van bedrijven die de CCPA niet naleven, en zelfs tot 7500 USD per inbreuk indien kan worden aangetoond dat er opzet mee gemoeid is.
Deze boetes lijken laag vergeleken met andere privacywetgevingen, maar ze zijn van toepassing per inbreuk en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.
Naleving van de CCPA is, net als naleving van andere privacywetgeving, een proces met vele facetten dat een eerlijke beoordeling, planning en technische en juridische implementatie omvat. De implementatie blijkt in de praktijk vaak de meeste inspanning te vergen.
Daarbij kun je iubenda goed inschakelen. Implementatie kan ingewikkeld zijn. Wij nemen een last van je schouders door krachtige softwareoplossingen aan te bieden – ondersteund door ons internationaal juridisch team – waarmee je zelfs de meest complexe situaties met een paar muisklikken aan kunt en die je bovendien volledig kunt aanpassen wanneer dat nodig is (meer informatie over onze oplossingen en hoe ze kunnen helpen).
Ongeacht hoe je het implementatieproces wilt aanpakken, zijn er een paar basisstappen te zetten voordat je zelfs maar aan de implementatiefase kunt beginnen. Hieronder vind je een overzicht van die eerste stappen, en de rest van het implementatieproces.
Een van de belangrijkste stappen is misschien wel het doorlichten en beoordelen van je eigen processen en systemen.
Enkele vragen die je jezelf kunt stellen:
Op basis van de in de vorige stap bepaalde antwoorden, structureer je de relevante verklaringen en neem je ze op in je privacybeleid, en eventueel op het punt waar gegevens worden verzameld (bv. een contactformulier), indien van toepassing.
Zorg ervoor dat je het volgende opneemt:
Inzage-, overdraagbaarheids- en verwijderingsverzoeken moeten worden gehonoreerd, zonder kosten voor de consument, binnen 45 dagen na ontvangst van een verifieerbaar verzoek. De termijn om aan verzoeken te voldoen kan zo nodig (eenmalig) met nog eens 45 dagen worden verlengd, mits de consument hiervan in kennis wordt gesteld.
Wanneer aan verzoeken om inzage en overdraagbaarheid wordt voldaan, moet de aan de consument verzonden informatie worden verstrekt in een gemakkelijk te gebruiken en gemakkelijk overdraagbaar formaat.
Wanneer consumenten hun opt-out-rechten uitoefenen (het recht om de verkoop van hun gegevens te weigeren), moet je daaraan voldoen zodra je het verzoek ontvangt.
In gevallen waarin je op de hoogte bent van het feit dat de consument een minderjarige jonger dan 16 jaar is, mag je hun gegevens niet verkopen, tenzij je hiervoor uitdrukkelijk toestemming hebt gekregen van een ouder of voogd (voor minderjarigen jonger dan 13) of indien je hiervoor uitdrukkelijk toestemming hebt gekregen van de minderjarige consument in gevallen waarin de minderjarige tussen de 13 en 16 jaar oud is.
In het kader van het opt-out-recht van de consument moet je een gemakkelijk toegankelijke, duidelijke en opvallende “Mijn persoonlijke informatie niet verkopen”-link (”DNSMPI”) plaatsen op de startpagina van je website en in je privacybeleid (met de nodige informatie over het recht van de consument om zich af te melden).
De link moet de gebruikers naar een pagina brengen waar zij de verkoop van hun persoonlijke informatie kunnen weigeren.
Indien technisch haalbaar, mag je inwoners van Californië hosten en doorverwijzen naar een aparte startpagina met de zichtbare DNSMPI-link.
De dienst, kwaliteit, niveaus en/of prijzen die je de consumenten rekent of /aanbiedt, mogen niet worden beïnvloed door of afhankelijk zijn van het feit of zij al dan niet hun rechten uitoefenen. De enige uitzonderingen op deze regel zijn gevallen waarin de waarde van de aangeboden dienst of het aangeboden goed afhangt van de over de consument verzamelde gegevens (zie bovenstaand voorbeeld)
Je mag consumenten financiële stimulansen (waaronder betalingen) bieden in ruil voor toegang tot hun persoonlijke informatie, maar je mag alleen financiële stimulansen gebruiken die eerlijk, redelijk, niet dwingend en niet buitensporig zijn. In al deze gevallen moeten de consumenten eerst via de startpagina van je website op de hoogte worden gebracht van dergelijke stimulansen.
Wetten zijn, net als de mensen, behoeften en ideeën die zij dienen, vaak dynamische “levende” dingen. Ook kunnen je eigen ondernemingsdoelen, partners en processen met de tijd verschuiven.
Daarom is het van vitaal belang dat je periodiek je interne processen, technische capaciteiten en juridische documenten beoordeelt en ze up-to-date houdt met wettelijke verplichtingen.
Deze verplichtingen zijn niet altijd even makkelijk na te komen. Het kan een uitdaging zijn om de wetgeving na te leven en je website en je bedrijf aan te passen aan de technische vereisten.
Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.
Je voldoet aan de CCPA met al het privacybeleid dat door iubenda wordt gegenereerd, omdat je eenvoudig de mogelijkheid hebt om de wettelijke normen van de CCPA toe te passen op gebruikers in Californië.
Met onze oplossing kun je zonder zorgen aan uitgebreide verplichtingen voldoen door:
💡 Meer informatie over onze Privacybeleid- en Cookiebeleid-generator.
De CCPA schrijft voor dat je Californische gebruikers bij het bezoek aan je website informeert over de eventuele verkoop van hun gegevens en hen de optie biedt om daarvan af te zien. Onze oplossing helpt je om te voldoen aan deze verplichtingen.
Met de Privacy Controls and Cookie Solution kun je:
💡 Meer informatie over hoe je deze functies inschakelt.
Zoals vermeld, geeft de CCPA consumenten een recht op opt-out. Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.
Bovendien bepaalt de CCPA dat gedurende een periode van 12 maanden geen contact mag worden opgenomen met gebruikers nadat ze hun recht op opt-out hebben uitgeoefend. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.
Onze Consent Database wordt gekoppeld aan je webformulieren, zodat je automatisch informatie over de voorkeuren van je consumenten (zoals opt-out via API) kunt doorsturen naar een centraal beheerd visueel dashboard voor toestemmingen.
Je kunt alle relevante gegevens bewaren, zoals de datum en het tijdstip van de opt-out, de versie van je privacybeleid die je aan de gebruiker hebt verstrekt op het moment van de opt-out, en identificatiegegevens, e-mailadressen en zelfs IP-adressen de je kunnen helpen het verzoek te verifiëren.
💡 Meer informatie over de Consent Database.
Onze oplossing voor het register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.
Onze oplossing documenteert:
💡 Meer informatie over de oplossing voor het Register van de gegevensverwerkingsactiviteiten.
