De CCPA is een bekende en invloedrijke wet in het gegevensbeschermingslandschap. Het is gemakkelijk te zien waarom: veel datagestuurde techbedrijven zijn gevestigd in Silicon Valley, waaronder giganten als Apple, Google en Meta. De CCPA is dus verreweg de meest invloedrijke staatswet voor de digitale economie. Laten we meer leren over de CCPA en hoe deze de gegevensbescherming binnen en buiten Californië beïnvloedt!
- Wat is de CCPA?
- Wat zijn persoonlijke gegevens volgens de CCPA?
- Hoe is de CCPA van toepassing op cookies?
- Welke invloed heeft de CCPA op direct marketing?
- Wat is de invloed van de CCPA op het gebruik van gevoelige informatie?
- De CCPA in actie: de Sephora-zaak
- Verder dan de CCPA: Californische privacywetgeving
- De toekomst van gegevensbescherming onder de CCPA
Wat is de CCPA?
De CCPA is de California Consumer Privacy Act van 2018. De wet geeft inwoners van Californië bepaalde rechten, zoals het wissen van hun persoonlijke gegevens en een opt-out voor de verkoop van hun gegevens.
De CCPA is meerdere keren gewijzigd en onderging uitgebreide wijzigingen in 2020 met de CPRA (California Privacy Rights Act). De CCPA wordt gehandhaafd door de Attorney General van Californië en het California Privacy Protection Agency (CPPA).
De CCPA geeft alleen rechten aan inwoners van Californië, maar is ook van toepassing op organisaties buiten Californië en zelfs buiten de VS. De wet is alleen van toepassing op grote bedrijven en bedrijven die grote hoeveelheden persoonlijke informatie van inwoners van Californië beheren. De wet is niet van toepassing op overheidsinstanties en non-profitorganisaties, met beperkte uitzonderingen voor non-profitorganisaties die verbonden zijn aan bedrijven.
Wat zijn persoonlijke gegevens volgens de CCPA?
De CCPA definieert persoonlijke informatie als "informatie die identificeert, betrekking heeft op, beschrijft, in verband kan worden gebracht met of redelijkerwijs, direct of indirect, kan worden gekoppeld aan een bepaalde consument of huishouden".
Dit is een brede definitie die meer omvat dan directe identificatiegegevens zoals namen, adressen en sofi-nummers. Unieke identificatoren** zoals die in cookies zijn bijvoorbeeld persoonsgegevens onder de CCPA, omdat ze redelijkerwijs kunnen worden gekoppeld aan een apparaat - en dus aan de gebruiker ervan.
Kortom: ga er niet te snel van uit dat uw bedrijf geen persoonlijke informatie beheert!
Hoe is de CCPA van toepassing op cookies?
De CCPA heeft geen regels voor cookies, maar de regels voor het delen van gegevens door derden hebben invloed op web analytics.
Onder de Act hebben inwoners van Californië het recht om de verkoop van hun persoonlijke gegevens te weigeren. De definitie van "verkoop" in de CCPA was altijd al breed en werd nog breder met de CPRA. Als gevolg hiervan kan het delen van persoonlijke informatie met Google Analytics of andere web analytics providers een verkoop onder de Act vormen. In de praktijk betekent dit dat inwoners van Californië het recht hebben om geïnformeerd te worden en de mogelijkheid moeten hebben om zich af te melden.
Bedrijven die onder de CCPA vallen, moeten dus op hun websites pop-ups plaatsen met informatie over analytische en marketing cookies en een duidelijke opt-out mogelijkheid bieden in de vorm van een knop of link.
Daarnaast vereist de CCPA opt-in toestemming voor de verkoop van persoonlijke gegevens van minderjarigen. Bedrijven zijn verplicht om toestemming te vragen aan minderjarigen van 16 voordat ze bewust hun persoonlijke gegevens verkopen.
De CCPA vereist ook dat bedrijven de Global Privacy Control (GPC) naleven. GPC is een technische standaard waarmee browsers websites verplichten om hun gegevens niet te verkopen of te delen. Met andere woorden, GPC is de manier waarop browsers geautomatiseerde afmeldingsverzoeken versturen zodat gebruikers zich niet handmatig hoeven af te melden voor de verkoop van gegevens voor elke website die ze bezoeken.
Welke invloed heeft de CCPA op direct marketing?
De CCPA heeft niet specifiek betrekking op direct marketing, maar sommige regels zijn wel van belang voor direct marketing.
De regels over het verkopen en delen van persoonlijke gegevens zijn op zichzelf niet van toepassing op direct marketing, maar ze kunnen wel de beschikbaarheid van gegevens van derden voor direct marketing beperken. De Delete Act zal de beschikbaarheid van gegevens waarschijnlijk verder beperken, wat slecht nieuws is voor veel marketingbedrijven die vertrouwen op gegevens van derden en voor elk bedrijf dat zijn databases verrijkt met gegevens van derden.
Bovendien hebben consumenten die direct marketing ontvangen het recht om te weten welke persoonlijke gegevens worden verwerkt. Bedrijven die zich bezighouden met direct marketing moeten efficiënte procedures opstellen voor het afhandelen van deze verzoeken. Idealiter houden ze een register bij van hun activiteiten, zodat ze consumenten kunnen vertellen welke gegevens ze hebben, waar ze vandaan komen en of ze zijn ontvangen van of gedeeld met derden.
Het is onduidelijk of het recht op wissen onder de CCPA ook geldt voor gegevens van derden. Toekomstige handhaving zal dit punt waarschijnlijk verduidelijken. In de tussentijd moeten marketingbedrijven voorzichtig zijn en verzoeken honoreren om gegevens van derden te verwijderen.
Wat is de invloed van de CCPA op het gebruik van gevoelige informatie?
Gevoelige informatie is persoonlijke informatie zoals seksleven en seksuele geaardheid, genetische gegevens, etnische gegevens, enzovoort. Burgerservicenummers, creditcard-/debetkaartgegevens, e-mails en precieze geolocatiegegevens zijn ook gevoelige informatie onder de CCPA (raadpleeg voor een nauwkeurigere en uitgebreidere lijst de website van het Office of the Attorney General of California).
Onder de CCPA hebben consumenten het recht om het gebruik en het delen van hun gevoelige informatie te beperken tot wat strikt noodzakelijk is (bijvoorbeeld om een dienst te verlenen).
Tot op zekere hoogte overlapt dit recht met het recht om af te zien van de verkoop van persoonlijke informatie. Maar het is ook breder omdat het betrekking heeft op het gebruik van gegevens door de eerste partij en het delen van gegevens die niet onder de definitie van verkopen of delen vallen.
De CCPA in actie: de Sephora-zaak
Handhaving van de CCPA haalt bedrijven in en de Sephora-zaak is een heel goed voorbeeld van wat je niet moet doen.
Het Franse bedrijf Sephora is een multinationale detailhandelaar in schoonheidsproducten. Het kreeg problemen met de procureur-generaal vanwege een waslijst aan CCPA-overtredingen met betrekking tot zijn webanalyse. Het bedrijf maakte niet bekend dat het persoonlijke informatie verkocht, honoreerde geen verzoeken van gebruikers om af te zien van een verkoop en herstelde de overtredingen niet binnen de wettelijk toegestane periode van 30 dagen.
De zaak eindigde met een schikking van $1,2 miljoen tussen het bedrijf en de procureur-generaal. In de praktijk is het gebruikelijk dat CCPA-overtredingen eindigen met een schikking. Een echte boete zou waarschijnlijk veel duurder zijn geweest.
Interessant is dat Sephora geen persoonlijke informatie verkocht aan gegevensmakelaars en dergelijke. Net als talloze andere bedrijven deed Sephora aan webmarketing en analyses via een populaire webanalyseprovider (de naam van de provider werd niet bekendgemaakt).
Dus zelfs webmarketing en re-targeting kunnen een verkoop zijn onder de CCPA. Dit is echt een belangrijk punt om te benadrukken: veel bedrijven denken dat ze geen consumentengegevens verkopen, maar dat doen ze wel en ze kunnen aansprakelijk worden gesteld als ze niet voldoen aan de verplichtingen die de verkoop met zich meebrengt.
Het is ook vermeldenswaard dat de advocaat-generaal de regel over wereldwijde privacycontrole heeft afgedwongen tegen Sephora. Alleen de tijd zal leren hoe groot de rol van GPC in de praktijk zal zijn, maar de handhaving van de GPC-regels in deze zaak schept een veelbelovend precedent.
Verder dan de CCPA: Californische privacywetgeving
Naast de CCPA zijn er nog andere veelbelovende ontwikkelingen in de Californische wetgeving.
We noemden al de Delete Act. Deze wet stelt inwoners in staat om van alle gegevensmakelaars te eisen dat ze hun persoonlijke gegevens verwijderen door één enkel verzoek in te dienen. Met andere woorden, het is een soort one-stop-shop systeem.
Als de Delete Act strikt wordt gehandhaafd, kan deze effectief privacyrechten afdwingen tegen gegevensmakelaars en de hoeveelheid persoonlijke informatie beperken die beschikbaar is voor op surveillance gebaseerde advertenties en gegevensverrijking door derden. Het is ook vermeldenswaard dat registratie van gegevensmakelaars verplicht is onder de Californische wet, waardoor de Delete Act gemakkelijker te handhaven zou zijn.
Het is ook vermeldenswaard dat de Californische privacywetgeving zoekopdrachten op omgekeerde trefwoorden en geofencing beperkt.
Geofencing is het gebruik van locatiegegevens om een virtuele grens rond een locatie te creëren en alle personen daarbinnen te registreren. Omgekeerde zoekopdrachten zijn een soort gerechtelijk bevel dat vaak wordt gebruikt door wetshandhavers.
Zowel geofencing als reverse-keyword zoekopdrachten worden vaak gebruikt om vrouwen die reproductieve gezondheidszorg zoeken te controleren en te vervolgen na het Dobbs v. Jackson arrest van het Amerikaanse Hooggerechtshof (het is een lang verhaal, we schreven er hier over).
Washington was de eerste staat die geofencing en reverse-keyword zoekopdrachten aan banden legde met de suggestief genaamde My Health My Data Act. Californië is al lang een vrijhavenstaat voor reproductieve gezondheidszorg en volgde kort daarna.
De toekomst van gegevensbescherming onder de CCPA
De CCPA heeft al een tastbare invloed gehad op digitale privacy binnen en buiten Californië. De toekomstige impact zal afhangen van de handhaving en de komende regelgeving van de CPPA. Maar de belangrijkste variabele voor de toekomst van de Californische privacywetgeving is natuurlijk de toekomst van de Amerikaanse privacywetgeving in het algemeen.
De VS hebben geen federale privacywetgeving. De eerste federale wetgeving op het gebied van gegevensbescherming (ADPPA) is momenteel in de maak, maar de onderhandelingen in het Congres zijn vastgelopen. Specifieke sectoren zoals de gezondheidszorg en de financiële wereld hebben hun eigen privacyregels, maar er is geen alomvattende en algemene federale wet voor online privacy.
Staatswetten zoals de CCPA zijn een poging om deze leegte op te vullen. Maar hoewel de wetten van de staten de inwoners van sommige staten belangrijke bescherming bieden, zorgen ze ook voor een gefragmenteerd juridisch landschap in de VS. Op dit moment moeten bedrijven de wetgeving van elke staat begrijpen en naleven om in het hele land zaken te kunnen doen.
Deze juridische versnippering is ook een obstakel voor het wetgevingsproces achter de ADPPA. Staten met privacywetgeving willen niet dat de ADPPA de privacyrechten van hun burgers ondermijnt en sommige van hen hebben zich verzet tegen ADPPA-ontwerpen die hun eigen wetgeving zouden ondermijnen.
Om een lang verhaal kort te maken, het is moeilijk te zeggen of het ADPPA-ontwerp ooit wet zal worden en welke rol staatswetten zoals de CCPA in dat scenario zouden spelen.
_Wij geven om privacy. Daarom doen we ons best om ons publiek te voorzien van kwalitatieve, jargonvrije informatie over privacynieuws.
Onze passie voor privacy ligt aan de basis van Simple Analytics. Ons product geeft organisaties alle inzichten die ze nodig hebben, zonder ook maar één stukje persoonlijke data te verzamelen. Als u op zoek bent naar een klacht, ethische en krachtige web analytics tool, aarzel dan niet om Simple Analytics eens te proberen! _