CCPA vs CPRA: wat is nieuw?

Image of Iron Brands

Gepubliceerd op 12 sep 2023 door Iron Brands

  1. Wat is de CPRA?
  2. Hoe wordt de CPRA gehandhaafd?
  3. Waarom zijn al deze acroniemen zo verwarrend?
  4. Wanneer is de CPRA in werking getreden?
  5. Hoe heeft de CPRA de CPPA gewijzigd?
  6. Gegevensminimalisatie
  7. Bescherming van gevoelige informatie
  8. Het recht op opt-out: "niet verkopen of delen"
  9. Het recht om informatie te laten corrigeren
  10. De CPRA en wereldwijde privacycontrole
  11. De CPPA
  12. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Wat is de CPRA?

De California Privacy Rights Act (CPRA) is een Californische wet en een gewijzigde versie van de California Consumer Privacy Act (CCPA). Met andere woorden, het is een wijziging van de al bestaande privacywetgeving van Californië.

Het is vermeldenswaard dat de CPRA het resultaat is van een ballot initiative. Dit toont aan dat de inwoners van Californië zich zorgen maken over hun privacy en dat privacyregels veel steun krijgen in de staat.

Hoe wordt de CPRA gehandhaafd?

De CPRA wordt gehandhaafd door de advocaat-generaal van Californië. Vanaf 2024 zal de CPRA ook worden gehandhaafd door de California Privacy Protection Agency (CPPA).

Daarnaast bevat de CPRA een particulier vorderingsrecht voor datalekken, waardoor klanten bedrijven rechtstreeks kunnen aanklagen (maar niet hun partners en serviceproviders).

Waarom zijn al deze acroniemen zo verwarrend?

We hebben geen idee en we haten het ook. Hier is een handige referentie:

  • de CCPA (California Consumers Privacy Act) is de oude Californische privacywet uit 2018
  • de CPRA (California Privacy Rights Act) is de nieuwe wet van 2020
  • de CPPA (California Privacy Protection Agency) is het handhavingsbureau dat door de CPRA is opgericht.

Wanneer is de CPRA in werking getreden?

De CPRA is op 1 januari 2023 in werking getreden. Sommige regels van de CPRA zijn echter vaag en moeten door de CPPA worden uitgewerkt in verordeningen. Deze regels worden pas in maart 2024 van kracht vanwege een recente uitspraak van een rechtbank.

In de praktijk betekent dit dat de regelgeving als geheel al van kracht is, maar dat bepaalde regels pas volgend jaar afdwingbaar worden.

Hoe heeft de CPRA de CPPA gewijzigd?

De CPRA heeft belangrijke wijzigingen aangebracht in de CPPA, waaronder:

  • invoering van het principe van gegevensminimalisatie
  • invoering van een betere bescherming voor gevoelige informatie
  • uitbreiding van de reikwijdte van het recht om af te zien van het verkopen of delen van persoonlijke informatie
  • invoering van de verplichting om de wereldwijde privacycontroles van de consument te eerbiedigen
  • invoering van het recht op correctie van persoonlijke informatie
  • oprichting van het Californisch agentschap voor de bescherming van de persoonlijke levenssfeer

Gegevensminimalisatie

Onder de CRPA mogen persoonlijke gegevens van consumenten alleen worden verwerkt en bewaard als dit redelijkerwijs noodzakelijk is en in verhouding staat tot het doel van de verwerking, of voor een ander, openbaar gemaakt en verenigbaar doel.

In een notendop: 1) verwerk alleen de gegevens die je nodig hebt, en 2) verwerk ze alleen voor het oorspronkelijke doel waarvoor ze zijn verzameld, of voor een compatibel doel waar de consument van op de hoogte is.

(Dat is de korte, vereenvoudigde versie. De tekst van de regel heeft veel meer juridische inhoud: "Het verzamelen, gebruiken, bewaren en delen van persoonlijke informatie van een bedrijf met een consument moet redelijkerwijs noodzakelijk en evenredig zijn om de doeleinden te bereiken waarvoor de persoonlijke informatie is verzameld of verwerkt, of voor een ander openbaar gemaakt doel dat verenigbaar is met de context waarin de persoonlijke informatie is verzameld, en mag niet verder worden verwerkt op een manier die onverenigbaar is met deze doeleinden").

Dataminimalisatie probeert veel te bereiken met slechts één principe. In feite omvat CPRA dataminimalisatie twee verschillende GDPR-principes: dataminimalisatie en doelbinding. Daarom is het principe zo ingewikkeld.

De CPRA bevat met name gedetailleerde regels over wat telt als een compatibel doel. Aan de Europese kant ontbreken dergelijke regels in de GDPR en laat het begrip open voor interpretatie.

Bescherming van gevoelige informatie

De CPRA introduceerde een wettelijke definitie van gevoelige informatie, evenals specifieke regels voor de verwerking van deze informatie.

Onder de CPRA omvat het begrip gevoelige informatie

  • precieze geolocatiegegevens
  • religieuze overtuigingen
  • etnische afkomst
  • inhoud van communicatie
  • genetische gegevens
  • biometrische informatie voor identificatiedoeleinden
  • gezondheidsinformatie
  • informatie over geslacht of seksuele geaardheid
  • andere gegevens die kunnen worden gebruikt voor fraude of identiteitsdiefstal (sofi-nummer, toegangsgegevens, creditcard-/debetkaartgegevens, enzovoort).

Consumenten hebben het recht om bedrijven te vragen het gebruik en de openbaarmaking van hun gevoelige informatie te beperken tot wat strikt noodzakelijk is om de dienst te verlenen. Met andere woorden, ze kunnen zich afmelden voor elk niet-essentieel gebruik van hun gevoelige informatie.

Wij zijn niet zo dol op opt-outsystemen omdat ze de last van de privacy bij de consument leggen in plaats van bedrijven te verplichten goede privacypraktijken te hanteren. Maar de CPRA is nog steeds een stap in de goede richting omdat de CCPA helemaal geen regels voor gevoelige gegevens bevatte.

Het recht op opt-out: "niet verkopen of delen"

Onder de CPRA hebben consumenten het recht om af te zien van het verkopen en delen van hun persoonlijke gegevens. Onder de CCPA konden consumenten zich alleen afmelden voor de verkoop van persoonlijke informatie. Daarom breidt de CPRA de reikwijdte van een al bestaand opt-out recht uit.

Deze wijziging werd beïnvloed door het debat binnen de juridische gemeenschap over de betekenis van verkoop. Een verkoop van persoonlijke informatie werd onder de CCPA in zeer brede termen gedefinieerd: het vrijgeven van informatie in ruil voor geldelijke of andere waardevolle tegenprestaties werd beschouwd als een verkoop. Het begrip "waardevolle tegenprestatie" was ruim genoeg om ook gedragsreclame in verschillende contexten waarbij een derde partij betrokken was (meestal Google of Meta), te omvatten.

Toch beweerden sommige bedrijven dat het gebruik van analytische cookies geen verkoop was. De CPRA maakte dus voor eens en altijd een einde aan het debat: het breidde de reikwijdte van het opt-out recht uit tot de verkoop en het delen van informatie en verduidelijkte dat het gebruik van cookies voor cross-context behavioral advertising een vorm van gegevensdeling is.

Er bestaat dus geen twijfel over dat consumenten het recht hebben om af te zien van tracking voor contextuele reclame onder de CPRA!

Nogmaals, we zijn geen fan van dit opt-out systeem, maar het is toch goed dat consumenten op zijn minst de optie hebben om "nee bedankt" te zeggen.

Het recht om informatie te laten corrigeren

Vreemd genoeg bevatte de CCPA een recht om te weten en een recht om gegevens te wissen, maar geen recht om persoonlijke gegevens te laten corrigeren. De CPRA vulde deze leemte op.

Het recht op correctie werkt grotendeels op dezelfde manier als het recht op weten en wissen: bedrijven moeten binnen 45 dagen aan de eisen voldoen en mogen de termijn met nog eens 45 dagen verlengen, mits ze de consument informeren.

De CPRA en wereldwijde privacycontrole

Global Privacy Control (GPC) is een technische standaard die is ingebouwd in browsers en plug-ins. GPC informeert websites over de privacyvoorkeuren van de consument, inclusief de weigering om zijn informatie te verkopen of te delen. Onder de CPRA moeten bedrijven voldoen aan de GPC-signalen van de browser van de consument.

Zoals we al zeiden, zijn de meeste privacyrechten in de CCPA/CPRA opt-outrechten. Door het vervelende proces van opt-out te stroomlijnen, kan GPC de last voor de consument verlichten en het makkelijker maken om privacyrechten uit te oefenen. Het zal interessant zijn om te zien hoe wijdverspreid het gebruik van GPC wordt en in hoeverre websites eraan zullen voldoen.

Meer informatie over GPC is te vinden op https://globalprivacycontrol.org/.

De CPPA

Zoals we al hebben uitgelegd, is met de CPRA de California Privacy Protection Agency (CPPA) opgericht. Tot op zekere hoogte kun je de CPPA zien als het Californische equivalent van de gegevensbeschermingsautoriteiten in Europa: het agentschap is samen met de advocaat-generaal verantwoordelijk voor de handhaving van de CCPA en kan regelgeving aannemen op basis van de CCPA.

Het agentschap is al aan het werk, maar door een recente rechterlijke beslissing zal het pas in 2024 in staat zijn om zijn regelgeving te handhaven.

Conclusies

Bij Simple Analytics proberen we de privacywetgeving op een eenvoudige manier uit te leggen omdat we om privacy geven. Daarom hebben we Simple Analytics gebouwd: een lichtgewicht, gebruiksvriendelijke analysetool die je alle inzichten geeft die je nodig hebt, terwijl de privacy van gebruikers behouden blijft. Als dit u aanspreekt, probeer ons dan gerust uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode