CCPA – De California Consumer Privacy Act

Op 1 januari 2020 is de CCPA, de California Consumer Privacy Act, in werking getreden. Dit is de eerste wet in zijn soort in de Verenigde Staten.

De California Consumer Privacy Act begon als een initiatief van onwaarschijnlijke privacyactivisten, onder leiding van een miljonair vastgoedontwikkelaar, een voormalige CIA-analist, een industrieleider én een Pulitzer prijswinnende journalist, die werkte aan de Snowden-lekken voor de Washington Post.

‘Californians for Consumer Privacy’ wordt geleid door vastgoedontwikkelaar Alastair Mactaggart uit San Francisco, die een stembiljet opstelde over de bescherming van de privacy van consumenten om de juridische leemte te vullen.

“Tell me what you know about me. Stop selling it. Keep it safe”, zoals Alastair Mactaggart het voorstel samenvatte.

Met de onthullingen van het Facebook / Cambridge Analytica-schandaal kreeg het Californische steminitiatief plotseling een sterke wind in de rug.

De CCPA is een staatswet voor gegevensprivacy die regelt hoe bedrijven over de hele wereld mogen omgaan met de persoonlijke informatie (PI) van inwoners van Californië. Er zijn overeenkomsten met “onze” AVG, maar ook wezenlijke verschillen.

Voor wie geldt de CCPA?

Zo is het toepassingsbereik van de CCPA beperkter dan die van de AVG. De CCPA is alleen van toepassing op commerciële bedrijven en dan pas vanaf een bepaalde grootte:

• Een jaarlijkse omzet van minimaal 25 miljoen USD of
• Jaarlijks meer dan 50.000 individuele persoonsgegevens kopen of ontvangen van consumenten, huishoudens of apparaten (devices); of
• Meer dan 50% van de jaarlijkse omzet ontlenen aan het verkopen van persoonsgegevens.

Kleine bedrijven die hier niet aan voldoen hoeven de regels van de CCPA niet in acht te nemen.

Bovendien beschermt de CCPA alleen persoonsgegevens van consumenten die in Californië woonachtig zijn. De AVG kent deze beperking voor consumenten niet. Zij is van toepassing op persoonsgegevens van alle natuurlijke personen binnen het toepassingsbereik van de wet.

Definitie persoonsgegevens

De definitie van persoonsgegevens komt wel grotendeels overeen met die van de AVG. Maar de CCPA is daarentegen weer niet van toepassing op álle persoonsgegevens. Medische gegevens en openbare persoonsgegevens, zoals paspoortnummers, zijn bijvoorbeeld uitgezonderd, terwijl deze onder de AVG juist worden aangemerkt als bijzondere persoonsgegevens.

Uitwerking

Nog een belangrijk verschil is de uitwerking van de richtlijnen. De CCPA kent geen verplichting tot het bijhouden van een verwerkingsregister, wel van het informeren van consumenten over het verwerken van persoonsgegevens middels een jaarlijks bij te werken privacy policy. Daarnaast moeten bedrijven tijdens of voor het verwerken van persoonsgegevens de consument informeren over welke categorieën gegevens en voor welke doeleinden deze worden verwerkt. Met betrekking tot cookies kan je dit vergelijken met de cookie-policy onder de AVG.

Wel kent de CCPA zeer specifieke regels met betrekking tot het verkopen van persoonsgegevens. Alle bedrijven dienen een pagina te hebben waarin consumenten een “do not sell my personal information” verzoek kunnen doen.

Cookies en de CCPA

Cookies (met name die van derden ingebed via plug-ins) kunnen persoonlijke informatie verzamelen zoals namen, fysieke adressen, IP-adressen, locatiegegevens, maar ook gevoelige persoonlijke gegevens zoals religieuze overtuigingen, politieke meningen en/of seksuele geaardheid.

De CCPA vereist dat bedrijven inwoners van Californië in staat stellen om ervoor te zorgen dat hun persoonlijke informatie niet aan derden wordt verkocht, en dat ze onthullen welke gegevens al zijn verzameld en deze verwijderen als consumenten daarom vragen.

Cookiebot heeft de richtlijnen van de California Consumer Privacy Act geïmplementeerd in de cookie-oplossing. Een geautomatiseerd overzicht van de door de website gebruikte cookies was er al middels de cookie-policy. Deze wordt standaard maandelijks bijgewerkt. Daar is een Consent-ID (toestemming ID) aan toegevoegd. Deze kan je doorgeven aan het bedrijf, zodat jouw gegevens verwijderd kunnen worden.

Cookiebot maakt naleving van de CCPA mogelijk met een specifieke configuratie die detecteert of een gebruiker uit Californië komt en geeft vervolgens de vereiste link Mijn persoonlijke gegevens niet verkopen weer op de cookieverklaring van de website (zoals hieronder te zien).

Een specifieke configuratie detecteert of een gebruiker uit Californië komt en toont vervolgens de vereiste knop “do not sell my personal information”, zoals hieronder te zien:

Op deze manier krijgen bezoekers uit de EU een AVG-compatibele cookiebanner te zien, waarin om hun voorafgaande toestemming gevraagd wordt. En voor bezoekers uit Californië wordt voldaan met de CCPA-conforme cookieverklaring met informatie over welke gegevens worden verzameld en een duidelijke manier voor hen om zich af te melden om hun persoonlijke informatie aan derden te laten verkopen.