Iubenda logo
Aan de slag

Documentatie

Inhoud

Gids voor naleving van de Privacywet van Californië (CCPA)

Wat is de Privacywet van Californië (CCPA) en hoe voldoe je aan de eisen van de CCPA? We zetten het voor je op een rijtje (zonder al het juridisch jargon) in de punten hieronder.

De CCPA is de nieuwste privacywet van Californië en is bedoeld om de privacyrechten te verbeteren van de inwoners van Californië in de Verenigde Staten. De wet is op 1 januari 2020 in werking getreden en is volledig van kracht geworden vanaf 1 juli 2020.

De CCPA (ook wel de AVG van Californië genoemd) legt nieuwe verplichtingen op voor de verwerking van persoonlijke informatie en geeft consumenten in dat verband bijkomende rechten. Daarom heeft deze wet belangrijke gevolgen voor bedrijfsprocessen en aansprakelijkheid.

Wanneer is de CCPA van toepassing?

In het algemeen is de CCPA van toepassing als aan BEIDE van de volgende voorwaarden wordt voldaan:

  • je hebt een bedrijf; en
  • je richt je op consumenten in Californië.

Belangrijkste definities

Consument

De CCPA definieert een “consument” als een natuurlijke persoon die in Californië woont.

Bedrijf

Onder het toepassingsgebied van de California Consumer Privacy Act wordt een “bedrijf” gedefinieerd als een for-profit organisatie die de persoonlijke informatie van consumenten verzamelt, de doeleinden van de verwerking en de verwerkingsmethode vaststelt, zich richt op inwoners van Californië (ongeacht of het bedrijf al dan niet in Californië is gevestigd), en voldoet aan ten minste een van de volgende vereisten:

  • het bedrijf heeft jaarlijkse bruto-inkomsten van meer dan vijfentwintig miljoen dollar ($ 25.000.000); of
  • het bedrijf haalt 50 procent of meer van zijn jaarlijkse inkomsten uit de verkoop van persoonlijke informatie van consumenten; of
  • het koopt, ontvangt, verkoopt of deelt jaarlijks de persoonlijke informatie van 50.000 consumenten of meer ten bate van de commerciële activiteiten van het bedrijf. Aangezien IP-adressen vallen onder de definitie van persoonsgegevens en “commerciële doeleinden” gewoon neerkomen op het behartigen van commerciële of economische belangen, ligt het voor de hand dat elke website met ten minste 50.000 unieke bezoeken per jaar uit Californië, binnen dit toepassingsgebied valt

Persoonlijke informatie

In het kader van de California Consumer Privacy Act wordt “persoonlijke informatie” gedefinieerd als “informatie die een bepaalde consument of een bepaald huishouden identificeert, daarmee verband houdt, beschrijft, daarmee in verband kan worden gebracht of redelijkerwijs rechtstreeks of onrechtstreeks aan een bepaalde consument of een bepaald huishouden kan worden gekoppeld”.

De CCPA bepaalt verder dat persoonlijke informatie onder meer kan bestaan uit:

  • identificatoren als een echte naam, alias, postadres, unieke persoonlijke identificator, online identificerend IP-adres, e-mailadres, accountnaam, identiteitsnummer, rijbewijsnummer, paspoortnummer, of andere soortgelijke identificatoren;
  • commerciële informatie, waaronder gegevens over persoonlijke bezittingen, aangekochte, verkregen of overwogen producten of diensten, of andere aankoop- of consumptiegeschiedenissen of -tendensen;
  • biometrische informatie;
  • informatie over internet- of andere elektronische netwerkactiviteiten, waaronder de browsegeschiedenis, zoekgeschiedenis en informatie over interacties met websites, apps of advertenties;
  • geolocatiegegevens
  • geluids-, elektronische, visuele, thermische, reuk-, of soortgelijke informatie;
  • beroeps- of werkgerelateerde informatie;
  • opleidingsinformatie – anders dan wat algemeen beschikbaar is, zoals hier is gedefinieerd; of
  • gevolgtrekkingen op basis van de hierboven aangegeven informatie om een profiel te maken dat de voorkeuren, kenmerken, psychologische trends, aanleg, gedrag, houding, intelligentie, capaciteiten of bekwaamheden van consumenten weerspiegelt.

Verkoop

Onder verkoop wordt in het kader van de CCPA verstaan: “verkopen, verhuren, vrijgeven, bekendmaken, verspreiden, beschikbaar stellen, doorgeven of anderszins mondeling, schriftelijk of elektronisch communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde, tegen betaling of een andere vergoeding“.

Tegenprestatie

De term vergoeding of tegenprestatie (in het Engels: valuable consideration) wordt op het moment niet in de CCPA gedefinieerd, maar in het overeenkomstenrecht van Californië wordt hieronder verstaan: “[a]Elk voordeel dat door een ander aan de promittent wordt verschaft of overeengekomen, waarop de promittent niet wettelijk aanspraak kan maken, of elk nadeel dat deze persoon oploopt of overeenkomt op te lopen, anders dan waartoe deze persoon op het moment van de toestemming wettelijk verplicht is, als een aansporing aan de promittent, is een tegenprestatie voor een belofte.” (Californisch Burgerlijk Wetboek § 1605).

In deze context kan een “tegenprestatie” ruim worden geïnterpreteerd als alle overeenkomsten waarbij persoonsgegevens worden uitgewisseld – en de overdragende entiteit enig voordeel ontvangt waartoe zij zonder de overeenkomst wettelijk niet gerechtigd zou zijn.

Belangrijk

De CalOPPA is niet ingetrokken door de CCPA en is nog steeds van toepassing. Zelfs als de bovenstaande definitie van “bedrijf” niet op jou van toepassing is, moet je hier wel rekening mee houden, aangezien je mogelijk toch moet voldoen aan de CalOPPA. Ook kunnen beide wetten op jou van toepassing zijn. Meer informatie over de CalOPPA

Rechten van consumenten krachtens de CCPA

Wat schrijft de CCPA precies voor?

Recht op informatie

Consumenten hebben onder de CCPA recht op informatie over de manier waarop hun informatie wordt verwerkt op of voor het verzamelpunt.

Op grond van de Privacywet van Californië moet je bekendmaken:

  • de categorieën van persoonlijke informatie die het bedrijf verzamelt, verkoopt of deelt;
  • de categorieën derden  waarmee het bedrijf persoonlijke informatie deelt;
  • de categorieën bronnen waar deze informatie is verzameld;
  • het zakelijke/commerciële doel voor het verzamelen of verkopen van persoonlijke informatie van consumenten;
  • consumentenrechten in Californië en hoe deze kunnen worden uitgeoefend; en
  • hoe consumenten bezwaar kunnen maken tegen de verkoop van hun gegevens, via een “Mijn gegevens niet verkopen”-link (indien gegevens worden verkocht).

Inzagerecht

Krachtens de CCPA hebben consumenten recht op toegang tot hun persoonlijke informatie wanneer zij daar op verifieerbare wijze om verzoeken*.

In het bijzonder hebben consumenten recht op inzage van:

  • de categorieën persoonlijke informatie van de consument die in de afgelopen 12 maanden is verzameld;
  • de specifieke informatie die over hen is verzameld;
  • de categorieën bronnen waar deze informatie is verzameld;
  • de doeleinden voor het verzamelen of verkopen van de informatie;
  • de categorieën derden waarmee persoonlijke informatie is gedeeld;
  • de categorieën verkochte persoonlijke informatie en de categorieën derden aan wie persoonlijke informatie is verkocht;
  • de categorieën persoonlijke informatie die voor zakelijke doeleinden bekend zijn gemaakt.

*Verifieerbaar verzocht of een “verifieerbaar consumentenverzoek”: een verzoek dat wordt gedaan door een consument, door een consument namens een minderjarig kind van de consument of door een natuurlijke persoon of een door de Secretary of State geregistreerde persoon die door de consument gemachtigd is om namens de consument op te treden, en waarbij het bedrijf redelijkerwijs kan verifiëren dat deze … de consument is over wie de onderneming persoonlijke informatie heeft verzameld. Californisch Burgerlijk Wetboek § 1798.140(y)

Je moet consumenten twee of meer methoden bieden om inzageverzoeken in te dienen, waaronder ten minste een gratis telefoonnummer en, indien het bedrijf een website heeft, een website-adres. Je moet ook redelijke inspanningen leveren om te verifiëren dat de persoon die het verzoek indient, ofwel de consument is over wie de informatie is verzameld, ofwel gemachtigd is om deze informatie op te vragen namens de consument, zoals hierboven uiteengezet.

Recht op gegevensoverdraagbaarheid

In de Privacywet van Californië is het recht op overdraagbaarheid van gegevens verbonden met het inzagerecht overeenkomstig artikel 1798.100 (d).

Wanneer bedrijven inzageverzoeken “elektronisch” afhandelen, is het ook vereist dat de informatie aan de consument wordt verstrekt in “een overdraagbaar en, voor zover technisch haalbaar, in een gemakkelijk bruikbaar formaat waarmee de consument deze informatie ongehinderd aan een andere entiteit door kan geven”.

Aan informatieverzoeken moet kosteloos worden voldaan binnen een periode van 45 dagen na het verifieerbare verzoek. Deze termijn kan eenmalig met 45 dagen worden verlengd indien dat redelijkerwijs noodzakelijk is en mits de consument binnen de eerste termijn van 45 dagen van de verlenging in kennis wordt gesteld.

De informatie die bij het voldoen aan het verzoek wordt gegeven, moet betrekking hebben op de periode van 12 maanden die aan de ontvangst van het verzoek voorafgaat.

Leveringsformaat

Bedrijven moeten reageren via de gewone post of in een elektronisch formaat (zoals e-mail, downloaden van bestanden, enz.). Bij elektronische levering moet de informatie volgens de wet “overdraagbaar” zijn, d.w.z. geleverd in een formaat dat gemakkelijk te gebruiken is en waarmee de informatie zonder belemmeringen aan een andere entiteit kan worden doorgegeven.

Uitzonderingen en grenzen

  • Consumenten mogen maximaal 2 verzoeken indienen over een periode van 12 maanden.
  • Eenmalige verwerkingsactiviteiten zijn uitgezonderd als de informatie niet wordt verkocht of bewaard door het bedrijf of anderszins wordt gebruikt om de persoon opnieuw te identificeren.
  • Er hoeft geen antwoord te worden gegeven als het bedrijf niet daadwerkelijk informatie over de betreffende consument heeft verzameld.

Recht op verwijdering

De CCPA verleent consumenten het recht te verzoeken om verwijdering van alle persoonlijke informatie die over hen is verzameld. Indien een verifieerbaar verzoek tot verwijdering van een consument wordt ontvangen, moet je de persoonlijke informatie van de consument uit je registratie verwijderen en alle betrokken dienstverleners opdracht geven de persoonlijke informatie van de consument uit hun registraties te verwijderen.

Je moet consumenten twee of meer methoden bieden om verzoeken in te dienen, waaronder ten minste een gratis telefoonnummer en, indien het bedrijf een website heeft, een website-adres. Je moet ook redelijke inspanningen leveren om te verifiëren dat de persoon die het verzoek indient, ofwel de consument is over wie de informatie is verzameld, ofwel gemachtigd is om deze informatie op te vragen namens de consument, zoals hierboven uiteengezet.

Aan informatieverzoeken moet kosteloos worden voldaan binnen een periode van 45 dagen na het verifieerbare verzoek. Deze termijn kan eenmalig met 45 dagen worden verlengd indien dat redelijkerwijs noodzakelijk is en mits de consument binnen de eerste termijn van 45 dagen van de verlenging in kennis wordt gesteld.

Uitzonderingen en grenzen

Bedrijven zijn niet verplicht in te gaan op het verzoek tot verwijdering als de informatie noodzakelijk is:

  • om de transactie te voltooien waarvoor de persoonlijke informatie werd verzameld;
  • voor de levering van een goed of dienst waarom de consument heeft verzocht, of om anderszins uitvoering te geven aan een overeenkomst tussen het bedrijf en de consument;
  • om beveiligingsincidenten op te sporen, bescherming te bieden tegen kwaadwillige, bedrieglijke, frauduleuze of illegale activiteiten, of de verantwoordelijken voor die activiteiten te vervolgen;
  • om te debuggen om fouten te identificeren en te repareren;
  • voor de uitoefening van de vrijheid van meningsuiting, of de uitoefening van het recht op vrije meningsuiting van een andere consument;
  • om te voldoen aan de Privacywet voor elektronische communicatie van Californië (CalECPA);
  • voor openbaar of collegiaal getoetst wetenschappelijk, historisch of statistisch onderzoek in het algemeen belang;
  • om te voldoen aan een wettelijke verplichting;
  • ten dienste van uitsluitend intern gebruik dat redelijkerwijs is afgestemd op de verwachtingen van de consument op basis van zijn relatie met het bedrijf;
  • uitsluitend voor intern gebruik op een rechtmatige manier die verenigbaar is met de context waarin de consument de informatie heeft verstrekt.

Het recht op opt-out (het recht om de verkoop van hun gegevens te weigeren)

Krachtens de CCPA hebben consumenten te allen tijde het recht om een bedrijf dat hun persoonlijke informatie aan derden verkoopt, te melden dat zij moet stoppen met de verkoop van die persoonlijke informatie.

Wat is volgens de Privacywet van Californië een verkoop en hoe “verkoop” je persoonlijke informatie?

Zoals hierboven is aangegeven, definieert de CCPA “verkoop”, “verkopen” of “verkocht” als alle “verkoop, verhuur, vrijgeven, bekendmaken, verspreiden, beschikbaar stellen, doorgeven of anderszins mondeling, schriftelijk of elektronisch communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde, tegen betaling of een andere vergoeding.

Twee minder voor de hand liggende voorbeelden van wat zou kunnen* worden beschouwd als “verkoop” in de zin van de CCPA zijn:

  • het delen van gebruikersgegevens met advertentienetwerken en andere derden om gerichte advertenties te tonen voor een voordeel/inkomsten; of zelfs
  • het gebruik van externe analyseprogramma’s voor retargeting of het anderszins genereren van een gebruikersprofiel voor verkopen aan de consument.

*In dit stadium van de invoering van de wet kunnen sommige factoren nog veranderen naarmate de wet verder wordt verfijnd.

Als je persoonlijke informatie van consumenten aan derden “verkoopt”, moet je dit aan de consumenten melden, en je moet ze ook vertellen dat ze het recht hebben om de verkoop van hun persoonlijke informatie te weigeren (opt-out, zoals aangegeven in ”Het recht op informatie” hierboven).

Je mag een consument niet vragen om een account aan te maken voor een opt-out. In plaats daarvan moet dit proces worden vergemakkelijkt via een “Mijn persoonlijke informatie niet verkopen”-link (”DNSMPI”) op je website of in je privacyverklaring.

Als een bedrijf van een consument de instructie krijgt om de persoonlijke informatie van de consument niet te verkopen, mag het bedrijf de persoonlijke informatie van die consument dus niet verkopen, tenzij de consument daarna uitdrukkelijke toestemming verstrekt voor de verkoop van hun persoonlijke informatie (opt-in).

Bedrijven mogen daarna slechts nog één keer vragen om de toestemming van de consument en slechts voor een periode van 12 maanden na de opt-out van de consument.

Het recht op opt-in (voorafgaande toestemming voor minderjarigen)

Het is bedrijven verboden persoonlijke informatie van consumenten te verkopen indien het bedrijf er feitelijk kennis van heeft dat de consument jonger is dan 16 jaar. In dergelijke gevallen mogen bedrijven de informatie alleen verkopen als:

  • de consument tussen 13 en 16 jaar oud is en uitdrukkelijk toestemming heeft gegeven (opt-in); of
  • de consument jonger is dan 13 jaar en de ouder of voogd van de consument namens de consument uitdrukkelijk toestemming heeft gegeven (opt-in).

Het recht om niet te worden gediscrimineerd (zelfs als consumenten hun privacyrechten uitoefenen)

Krachtens de CCPA is het bedrijven verboden consumenten te discrimineren omdat zij gebruik maken van hun wettelijke rechten. Verboden vormen van discriminatie zijn onder meer:

  • Consumenten goederen of diensten ontzeggen.
  • Verschillende prijzen of tarieven rekenen voor goederen of diensten, onder meer door het gebruik van kortingen of andere voordelen of het opleggen van boetes.
  • Het verstrekken van een ander niveau of kwaliteit van goederen of diensten aan de consument indien de consument wettelijke consumentenrechten uitoefent.
  • Suggereren dat de consument een andere prijs of een ander tarief voor goederen of diensten moet gaan betalen, of een ander niveau of kwaliteit van goederen of diensten ontvangt.

Uitzonderingen en grenzen

  • Een bedrijf mag alleen verschillende prijzen, tarieven, niveaus of kwaliteit van goederen of diensten in rekening brengen of aanbieden wanneer dat verschil in redelijke verhouding staat tot de waarde die de gegevens van de consument aan de consument verschaffen.

    Bijvoorbeeld: een bedrijf biedt standaard een korting van 30% op een product aan als stimulans om het product opnieuw aan te kopen, één maand na de eerste aankoop van hetzelfde product door de consument. Gedurende die tijd kunnen consumenten hun recht op verwijdering uitoefenen en verzoeken om verwijdering van hun persoonlijke informatie. Omdat het bedrijf in dat geval niet meer over de consumentengegevens beschikt waaruit blijkt dat de consument het product eerder heeft gekocht, kan het redelijkerwijs de standaardkorting van 30% niet meer aan die specifieke consument aanbieden.

  • Een bedrijf kan financiële stimulansen bieden, waaronder betalingen aan consumenten als vergoeding voor het verzamelen van persoonlijke informatie, de verkoop van persoonlijke informatie of de verwijdering van persoonlijke informatie. In dergelijke gevallen moeten deze financiële stimulansen via de startpagina van je website en in je privacybeleid aan de gebruikers worden bekendgemaakt.

    Het is bedrijven verboden om financiële stimuleringspraktijken te gebruiken die “onrechtvaardig, onredelijk, dwingend of woekerachtig van aard zijn”.

CCPA vs AVG (in het kort)

De CCPA wordt soms wel “de AVG van Californië” genoemd. Hier vind je een feitelijke vergelijking van de twee wetten:

CCPA AVG
Handhavingsorgaan? De Minister van Justitie van de staat Californië, VS. De nationale gegevensautoriteiten (per EU-lidstaat).
Wie moet aan de wet voldoen? Alle for-profit bedrijven die zich richten op consumenten in Californië en ofwel:
  • de persoonsgegevens van ten minste 50.000 consumenten in Californië verwerken (IP-adressen worden als persoonsgegevens beschouwd, dus dit geldt voor elke website die ten minste 50.000 keer door Californische consumenten wordt bezocht); of
  • ten minste 50% van hun inkomsten halen uit het delen van gegevens van consumenten in Californië met een winstoogmerk – geldelijk of anderszins; or
  • een jaaromzet van 25 miljoen euro of meer hebben.
Alle entiteiten (zonder winstoogmerk of anderszins – waaronder NGO’s, particulieren en overheidsinstanties) die zich richten op consumenten in de EU, of die in de EU gevestigd zijn.
Welke soorten gegevens worden beschermd? Alle gegevens die betrekking hebben op, of in verband kunnen worden gebracht met, een bepaalde consument of een bepaald huishouden, met uitzondering van openbare registers van de overheid. Alle gegevens die kunnen leiden tot de identificatie van een persoon.
Worden IP-adressen als persoonsgegevens beschouwd?
Is toestemming vereist voor verwerking? Alleen ten aanzien van minderjarigen en bij een eerdere opt-out. Ja, tenzij een andere rechtsgrond rechtmatig van toepassing is.
Moeten bedrijven consumenten de mogelijkheid geven voor een opt-out of het intrekken van toestemming? Ja, bedrijven moeten een DNSMPI-link aanbieden en verzoeken om opt-out honoreren. Gebruikers hebben zowel het recht om hun toestemming in te trekken als het recht om bezwaar te maken tegen de verwerking (dit kan zelfs gelden in gevallen waarin de verwerking op een andere rechtsgrond dan toestemming plaatsvindt).
Zijn de beschermingsmaatregelen ook van toepassing op business-to-business (B2B) interacties? Nee, de bescherming van de CCPA geldt alleen voor consumenten. De AVG maakt geen onderscheid tussen bescherming voor B2B en B2C (business to consumer) interacties, maar past haar bescherming gewoon toe op “betrokkenen”, die worden gedefinieerd als “herleidbare natuurlijke personen” die in de EU zijn gevestigd.
Beveiligingsvereisten? De CCPA bevat geen specifieke beveiligingsvereisten, maar geeft consumenten uitdrukkelijk het recht om een rechtszaak aan te spannen voor schade die voortvloeit uit het verzuim van een bedrijf om passende beveiligingspraktijken toe te passen. De AVG schrijft voor dat zowel de verwerkingsverantwoordelijken als de verwerkers beveiligingsmethoden moeten toepassen die op het betrokken risico zijn afgestemd. Beveiligingsmethoden moeten volgens de “stand van de techniek” zijn, wat betekent dat de beveiligingsmethoden aan de nieuwste normen moeten voldoen.
Sancties op niet-naleving? Boetes tot 7500 USD per afzonderlijke overtreding. De CCPA geeft consumenten ook het recht om in rechte schadevergoeding te eisen. Boetes tot 20 miljoen EUR of 4% van de jaarlijkse wereldwijde omzet – afhankelijk van welk bedrag hoger is, mogelijke audits en sancties. De AVG geeft betrokkenen ook de mogelijkheid een rechtszaak aan te spannen als hun rechten zijn geschonden.
Toepasselijke rechten van gebruikers in het kort
Recht op informatie
Inzagerecht
Recht op gegevensoverdraagbaarheid
Recht op rectificatie ×
Recht op verwijdering
Recht van bezwaar In zekere mate gedekt door het recht op opt-out

Gevolgen van niet-naleving

Consumenten hebben het recht om te procederen* tegen bedrijven die de wetgeving niet naleven. Hier zijn boetes aan verbonden van 100 tot 750 USD. Als een hogere schade kan worden bewezen, kan vergoeding worden gevraagd van de daadwerkelijke schade.
*Dit geldt alleen voor de bedrijven zelf en niet voor “dienstverleners” die namens de bedrijven optreden.

De staat Californië kan verder tot 2500 USD per inbreuk vorderen van bedrijven die de CCPA niet naleven, en zelfs tot 7500 USD per inbreuk indien kan worden aangetoond dat er opzet mee gemoeid is.

Deze boetes lijken laag vergeleken met andere privacywetgevingen, maar ze zijn van toepassing per inbreuk en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.

Naleving van de CCPA

Naleving van de CCPA is, net als naleving van andere privacywetgeving, een proces met vele facetten dat een eerlijke beoordeling, planning en technische en juridische implementatie omvat. De implementatie blijkt in de praktijk vaak de meeste inspanning te vergen.

Daarbij kun je iubenda goed inschakelen. Implementatie kan ingewikkeld zijn. Wij nemen een last van je schouders door krachtige softwareoplossingen aan te bieden – ondersteund door ons internationaal juridisch team – waarmee je zelfs de meest complexe situaties met een paar muisklikken aan kunt en die je bovendien volledig kunt aanpassen wanneer dat nodig is (meer informatie over onze oplossingen en hoe ze kunnen helpen).

Ongeacht hoe je het implementatieproces wilt aanpakken, zijn er een paar basisstappen te zetten voordat je zelfs maar aan de implementatiefase kunt beginnen. Hieronder vind je een overzicht van die eerste stappen, en de rest van het implementatieproces.

Doorlichten en beoordelen

Een van de belangrijkste stappen is misschien wel het doorlichten en beoordelen van je eigen processen en systemen.

Enkele vragen die je jezelf kunt stellen:

  • Welke categorieën persoonsgegevens verzamel ik en met welke categorieën derden deel ik deze gegevens?
  • Uit welke bronnen verzamel ik deze informatie en wat zijn hun categorieën (bv. analyses)?
  • Wat zijn de redenen of doeleinden van mijn gegevensverzameling?
  • Welke CCPA-consumentenrechten zijn van toepassing op mijn verwerkingsactiviteiten?
  • Ben ik technisch toegerust om te voldoen aan verzoeken in verband met consumentenrechten, zoals verzoeken om verwijdering en inzage?
    • Hoe kan ik bijhouden wanneer aan dergelijke verzoeken is voldaan?
    • Houd ik overzicht over alle dienstverleners die namens mij toegang hebben tot de persoonlijke informatie van consumenten?
    • Kan ik op betrouwbare wijze contact opnemen met deze partijen om te voldoen aan zaken als verwijderingsverzoeken?
    • Houd ik betrouwbare registers bij van de informatie en de categorieën van persoonlijke informatie die ik voor elke consument verzamel?
  • Heb ik ter plaatse de documenten beschikbaar die nodig zijn om de wettelijk vereiste informatie te verstrekken?
  • Welke uitzonderingen zijn in redelijkheid en billijkheid van toepassing op mijn scenario?

Neem de verplichte meldingen op

Op basis van de in de vorige stap bepaalde antwoorden, structureer je de relevante verklaringen en neem je ze op in je privacybeleid, en eventueel op het punt waar gegevens worden verzameld (bv. een contactformulier), indien van toepassing.

Zorg ervoor dat je het volgende opneemt:

  • de categorieën persoonlijke informatie die je hebt verzameld, verkocht of doorgestuurd in de afgelopen 12 maanden;
  • de categorieën derden  aan wie je de persoonlijke informatie hebt doorgestuurd of kunt doorsturen;
  • de categorieën bronnen waar je de persoonlijke informatie van consumenten verzamelt;
  • het zakelijke/commerciële doel voor het verzamelen of verkopen van persoonlijke informatie van consumenten;
  • over welke rechten consumenten beschikken, en hoe ze die kunnen uitoefenen.

Voldoe aan verzoeken van consumenten die hun rechten uitoefenen

Inzage-, overdraagbaarheids- en verwijderingsverzoeken moeten worden gehonoreerd, zonder kosten voor de consument, binnen 45 dagen na ontvangst van een verifieerbaar verzoek. De termijn om aan verzoeken te voldoen kan zo nodig (eenmalig) met nog eens 45 dagen worden verlengd, mits de consument hiervan in kennis wordt gesteld.

Wanneer aan verzoeken om inzage en overdraagbaarheid wordt voldaan, moet de aan de consument verzonden informatie worden verstrekt in een gemakkelijk te gebruiken en gemakkelijk overdraagbaar formaat.

Wanneer consumenten hun opt-out-rechten uitoefenen (het recht om de verkoop van hun gegevens te weigeren), moet je daaraan voldoen zodra je het verzoek ontvangt.

In gevallen waarin je op de hoogte bent van het feit dat de consument een minderjarige jonger dan 16 jaar is, mag je hun gegevens niet verkopen, tenzij je hiervoor uitdrukkelijk toestemming hebt gekregen van een ouder of voogd (voor minderjarigen jonger dan 13) of indien je hiervoor uitdrukkelijk toestemming hebt gekregen van de minderjarige consument in gevallen waarin de minderjarige tussen de 13 en 16 jaar oud is.

Voeg een melding van verkoop en een DNSMPI-link toe aan je website

In het kader van het opt-out-recht van de consument moet je een gemakkelijk toegankelijke, duidelijke en opvallende “Mijn persoonlijke informatie niet verkopen”-link (”DNSMPI”) plaatsen op de startpagina van je website en in je privacybeleid (met de nodige informatie over het recht van de consument om zich af te melden).

De link moet de gebruikers naar een pagina brengen waar zij de verkoop van hun persoonlijke informatie kunnen weigeren.

Indien technisch haalbaar, mag je inwoners van Californië hosten en doorverwijzen naar een aparte startpagina met de zichtbare DNSMPI-link.

Geen ongelijke behandeling van consumenten die hun rechten uitoefenen

De dienst, kwaliteit, niveaus en/of prijzen die je de consumenten rekent of /aanbiedt, mogen niet worden beïnvloed door of afhankelijk zijn van het feit of zij al dan niet hun rechten uitoefenen. De enige uitzonderingen op deze regel zijn gevallen waarin de waarde van de aangeboden dienst of het aangeboden goed afhangt van de over de consument verzamelde gegevens (zie bovenstaand voorbeeld)

Je mag consumenten financiële stimulansen (waaronder betalingen) bieden in ruil voor toegang tot hun persoonlijke informatie, maar je mag alleen financiële stimulansen gebruiken die eerlijk, redelijk, niet dwingend en niet buitensporig zijn. In al deze gevallen moeten de consumenten eerst via de startpagina van je website op de hoogte worden gebracht van dergelijke stimulansen.

Je processen periodiek herzien

Wetten zijn, net als de mensen, behoeften en ideeën die zij dienen, vaak dynamische “levende” dingen. Ook kunnen je eigen ondernemingsdoelen, partners en processen met de tijd verschuiven.

Daarom is het van vitaal belang dat je periodiek je interne processen, technische capaciteiten en juridische documenten beoordeelt en ze up-to-date houdt met wettelijke verplichtingen.

Hoe iubenda je kan helpen met naleving van de CCPA

Deze verplichtingen zijn niet altijd even makkelijk na te komen. Het kan een uitdaging zijn om de wetgeving na te leven en je website en je bedrijf aan te passen aan de technische vereisten.

Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.

Privacybeleid- en Cookiebeleid-generator die voldoet aan de CCPA

Je voldoet aan de CCPA met al het privacybeleid dat door iubenda wordt gegenereerd, omdat je eenvoudig de mogelijkheid hebt om de wettelijke normen van de CCPA toe te passen op gebruikers in Californië.

Met onze oplossing kun je zonder zorgen aan uitgebreide verplichtingen voldoen door:

  • de juiste vermeldingen, informatie en instructies weer te geven , zoals dat door de CCPA wordt voorgeschreven;
  • aan te geven welke diensten op je website een verkoop kunnen inhouden, zoals dat wordt gedefinieerd in de CCPA ; en
  • je ingesloten privacybeleid automatisch bij te werken met de CCPA-tekst zodra deze in de generator is geactiveerd – je hoeft geen code aan te passen op je website!

💡 Meer informatie over onze Privacybeleid- en Cookiebeleid-generator.

Privacy Controls and Cookie Solution voor de CCPA Plaats een kennisgeving en een “niet verkopen”-link.

De CCPA schrijft voor dat je Californische gebruikers bij het bezoek aan je website informeert over de eventuele verkoop van hun gegevens en hen de optie biedt om daarvan af te zien. Onze oplossing helpt je om te voldoen aan deze verplichtingen.

Met de Privacy Controls and Cookie Solution kun je:

  • een CCPA-conforme melding weergeven dat je gegevens verzamelt;
  • een “mijn persoonlijke informatie niet verkopen”-link (DNSMPI) weergeven in de melding dat je gegevens verzamelt met de mogelijkheid de link aan je site toe te voegen voor gemakkelijke toegang door de gebruiker, waardoor opt-out van de verkoop wordt ondersteund;
  • automatisch (ook meerdere) normen detecteren op basis van de locatie, en ze meteen toepassen. Met onze oplossing kun je zowel CCPA- als AVG-conform werken voor dezelfde gebruikers, wanneer dit wettelijk is vereist.
  • Ondersteunt het CCPA Compliance Framework van het IAB (Interactive Advertising Bureau) dat een proces vastlegt voor uitgevers en hun partners om te voldoen aan de nieuwe regelgeving over de verkoop van consumentengegevens aan technologiebedrijven.
  • Blokkeer handmatig scripts die niet voldoen aan het CCPA Compliance Framework van het IAB. Onze oplossing zal dankzij de (handmatige) tagging automatisch scripts blokkeren bij de opt-out van een gebruiker.

💡 Meer informatie over hoe je deze functies inschakelt.

De Consent Database en de Register van de gegevensverwerkingsactiviteiten tool voor up-to-date documentatie

Zoals vermeld, geeft de CCPA consumenten een recht op opt-out. Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.

Bovendien bepaalt de CCPA dat gedurende een periode van 12 maanden geen contact mag worden opgenomen met gebruikers nadat ze hun recht op opt-out hebben uitgeoefend. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.

Consent Database

Onze Consent Database wordt gekoppeld aan je webformulieren, zodat je automatisch informatie over de voorkeuren van je consumenten (zoals opt-out via API) kunt doorsturen naar een centraal beheerd visueel dashboard voor toestemmingen.

Je kunt alle relevante gegevens bewaren, zoals de datum en het tijdstip van de opt-out, de versie van je privacybeleid die je aan de gebruiker hebt verstrekt op het moment van de opt-out, en identificatiegegevens, e-mailadressen en zelfs IP-adressen de je kunnen helpen het verzoek te verifiëren.

💡 Meer informatie over de Consent Database.

Register van de gegevensverwerkingsactiviteiten

Onze oplossing voor het register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.

Onze oplossing documenteert:

  • informatie over de beveiliging, zoals de personen binnen je organisatie die toegang hebben tot gegevens van gebruikers;
  • geregistreerde onderaannemers die namens jou verwerkingsactiviteiten uitvoeren;
  • zelf toegevoegde doeleinden voor de verwerking;
  • methodes waarmee gegevens worden verzameld, en meer.

💡 Meer informatie over de oplossing voor het Register van de gegevensverwerkingsactiviteiten.

Zie verder