De CCPA – California Consumer Privacy Act

De California Consumer Privacy Act (CCPA) is een staatswet voor gegevensprivacy die regelt hoe bedrijven over de hele wereld mogen omgaan met de persoonlijke informatie (PI) van inwoners van Californië.

De ingangsdatum van de CCPA is 1 januari 2020. Het is de eerste wet in zijn soort in de Verenigde Staten.

De drie CCPA-drempels voor bedrijven

CCPA is van toepassing op bedrijven:

  • met een winstoogmerk die jaarlijks de persoonlijke informatie van meer dan 50.000 inwoners van Californië verkopen
  • of een jaarlijkse bruto-omzet hebben van meer dan $ 25 miljoen
  • of meer dan 50% van hun jaarlijkse omzet halen uit de verkoop van de persoonlijke informatie van Inwoners van Californië.

Verkoop van Persoonlijke Informatie wordt in de CCPA gedefinieerd als “verkopen, verhuren, vrijgeven, openbaar maken, verspreiden, beschikbaar stellen, overdragen of anderszins mondeling, schriftelijk of via elektronische of andere middelen communiceren van persoonlijke informatie van een consument door het bedrijf aan een ander bedrijf of een derde partij voor geld of een andere waardevolle vergoeding. ”(1798.140.t1).

Als een bedrijf gemeenschappelijke merknamen (d.w.z. gedeelde naam, dienstmerk of handelsmerk) deelt met een ander bedrijf dat aansprakelijk is onder de CCPA, zal het bedrijf ook onderworpen zijn aan CCPA-naleving.

Volgens de CCPA hebben inwoners van Californië (‘consumenten’) het recht om ervoor te kiezen om:

  • hun gegevens niet aan derden te laten verkopen
  • openbaarmaking van reeds verzamelde gegevens
  • verwijdering van verzamelde gegevens te vragen.

Inwoners van Californië hebben bovendien het recht om op de hoogte te worden gesteld en het recht op gelijke diensten en prijzen. Dit wil zeggen dat er niet kan worden gediscrimineerd op basis van hun keuze om hun rechten uit te oefenen.

Het niet naleven van de CCPA kan leiden tot boetes. Dit is voor bedrijven $ 7.500 per overtreding en $ 750 per getroffen gebruiker in civiele schadevergoedingen voor bedrijven.

De bevoegdheid om de CCPA af te dwingen ligt bij het kantoor van de procureur-generaal van Californië. Deze kan tot juli 2020 de handhavings-regelgeving kan bepalen.

De tussenliggende periode tussen januari en juli 2020 is echter geen periode van afstel of respijt. Bedrijven zijn aansprakelijk voor civiele rechtszaken uit hun gegevensverzameling en verkoop vanaf 1 januari 2020.

Wat betekent de CCPA voor mijn website?

Als jouw organisatie aan een van de drie CCPA-drempels hierboven voldoet én een online domein heeft, moet je bepaalde wijzigingen in de website doorvoeren.

  • De website moet, op of vóór het moment van gegevensverzameling, gebruikers informeren over de categorieën persoonlijke informatie die het verzamelt. Inclusief voor welke doeleinden deze worden gebruikt.
  • De website moet een link met ‘Mijn persoonlijke gegevens niet verkopen’ bevatten. Deze moeten gebruikers kunnen gebruiken om zich af te melden voor gegevensverkopen door derden.
  • Als jouw website minderjarigen, onder de 16 jaar onder zijn gebruikers heeft, dan ben je verplicht om hun opt-in te verkrijgen (toestemming) vóórdat je toestemming krijgt om hun persoonlijke informatie aan derden te verkopen of bekend te maken. Als de minderjarige jonger is dan 13, moet een ouder of voogd toestemming geven.
  • Jouw bedrijf moet ook het privacybeleid van zijn website bijwerken met een beschrijving van de rechten van de consument. Jouw privacybeleid moet ook een lijst bevatten van de categorieën persoonlijke informatie die jouw bedrijf verzamelt, verkoopt en openbaar maakt. Deze lijst moet jaarlijks worden bijgewerkt. 
  • Als jouw bedrijf een verifieerbaar verzoek ontvangt van een consument, die vraagt om openbaarmaking van zijn verzamelde persoonlijke informatie, moet je de consument gratis de registers verstrekken van persoonlijke informatie die in de afgelopen 12 maanden is verzameld (inclusief bronnen, commerciële doeleinden en categorieën van derden met wie het is gedeeld).
  • Jouw bedrijf mag niet discrimineren op basis van de keuze van de consument om zijn recht op opt-out uit te oefenen, openbaarmaking of verwijdering te vragen.

Wat is de definitie van persoonlijke informatie?

Persoonlijke informatie wordt in de CCPA gedefinieerd als “informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs kan worden geassocieerd met, of redelijkerwijs kan worden gekoppeld, direct of indirect, met een bepaalde consument of huishouden.” (1798.140.o1).

Persoonlijke informatie onder de CCPA omvat:

  • directe identificatiegegevens (zoals echte naam, alias, postadres, sofinummers)
  • unieke identificatiegegevens (zoals cookies, IP-adressen en accountnamen)
  • biometrische gegevens (zoals gezichts- en spraakopnamen)
  • geolocatie gegevens (zoals locatiegeschiedenis)
  • internetactiviteit (zoals browsegeschiedenis, zoekgeschiedenis, gegevens over interactie met een webpagina of app)
  • gevoelige informatie (zoals gezondheidsgegevens, persoonlijke kenmerken, gedrag, religieuze of politieke overtuigingen, seksuele voorkeuren, gegevens over tewerkstelling en onderwijs, financiële en medische informatie).

Persoonlijke informatie omvat ook gegevens die bij gevolg kunnen leiden tot de identificatie van een individu of een huishouden.

Geaggregeerde en anonieme gegevens zijn vrijgesteld van de CCPA, tenzij deze op enigerlei wijze opnieuw identificeerbaar zijn.

Dit betekent dat gegevens die op zichzelf geen persoonlijke informatie zijn, dit onder de CCPA kunnen worden als ze kunnen worden gebruikt , door inferentie of in combinatie met andere gegevens, om een individu of een huishouden te identificeren.

Wat zegt de CCPA over cookies?

Cookies en andere website-trackingtechnologieën worden geclassificeerd als unieke identificatiegegevens die deel uitmaken van de CCPA’s definitie van persoonlijke informatie.

Cookies zijn één van de meest gebruikte technologieën ter wereld voor websites om persoonlijke informatie over eindgebruikers te verzamelen.

First party-cookies verzamelen vaak anonieme gegevens voor hun kernfuncties, maar die worden verwijderd, zodra een gebruiker de browser sluit. Ook cookies van derden (die door technologiebedrijven en sociale media-platforms zijn ingesteld) verzamelen vaak veel persoonlijke , soms gevoelige informatie over consumenten die tot honderd jaar kan worden bewaard.

Zelfs gegevens die op jouw website worden verzameld via cookies die op zichzelf misschien geen persoonlijke informatie vormen (zoals geanonimiseerde analysegegevens), maar door inferentie of combinatie met andere gegevens voor het identificeren en verbinden van apparaten, het maken van profielen en het aanbieden van gepersonaliseerde advertenties, kunnen uiteindelijk worden beschouwd als persoonlijke informatie onder CCPA.

Voldoet jouw bedrijf aan één van de drie CCPA-nalevingsdrempels? Dan ben je aansprakelijk voor alle persoonlijke informatie, die je over inwoners van Californië verzamelt, via de cookies van jouw website. Consumenten kunnen vragen om openbaarmaking van de PI die de afgelopen 12 maanden op jouw website is verzameld. Zij kunnen je verzoeken deze gegevens te verwijderen.

Je moet daarom weten welke gegevens jouw website verzamelt, hoe deze wordt verzameld en met welk doel. Maar ook met wie (derden) deze gegevens worden gedeeld.

CookieInfo, Cookiebot en de CCPA

Wij zijn de grootste partner van Cookiebot in de Benelux en we adviseren en helpen je graag. Wij bieden jou de Cookiebot oplossing, waarbij je gratis gebruik kan maken van onze Nederlandstalige support-desk, knowledge base en custom banner ontwerpen.

Cookiebot is ’s werelds toonaangevende platform voor toestemmingsbeheer dat naleving van de Europese GDPR, ePrivacy-richtlijn en, sinds januari 2020, de CCPA garandeert. De oplossing van Cookiebot is plug-and-play zonder handmatige implementatie of on-site integratie met jouw domein.

Cookiebot is een technologie die jouw website diepgaand scant om alle cookies en vergelijkbare trackers te ontdekken. Deze worden automatisch beheert, zodat jij en jouw eindgebruikers weten welke persoonlijke informatie wordt verzameld en met welke derde partijen deze wordt gedeeld.

Cookiebot maakt de CCPA-naleving mogelijk met een specifieke configuratie die detecteert of een gebruiker uit Californië komt. Vervolgens wordt de vereiste optie ‘Do not sell my personal information’, maar ook opt-in-banners aanbieden die nodig zijn voor de toestemming van minderjarigen jonger dan 16 jaar.

Bekijk de prijzen en probeer Cookiebot tijdens de 30 dagen gratis proefperiode.

Was deze informatie nuttig?
0 out of 5 stars
5 Stars 0%
4 Stars 0%
3 Stars 0%
2 Stars 0%
1 Stars 0%
Hoe kunnen we dit artikel verbeteren?
Inhoud