Delete Act: alles wat je moet weten

Op 10 oktober heeft de staat Californië de Delete Act aangenomen, een nieuwe wet die inwoners van Californië in staat stelt om tegelijkertijd van alle gegevensmakelaars te eisen dat ze hun persoonlijke gegevens wissen. De wet zal waarschijnlijk een grote invloed hebben op de privacypraktijken binnen en buiten de staat. Laten we eens kijken waar deze wet over gaat!

Michelin chose Simple AnalyticsJoin them

Wat is de Delete Act?

De Delete Act is een nieuwe wet in Californië over het recht om je gegevens te laten verwijderen bij gegevensmakelaars. De Delete Act zal worden gehandhaafd door de California Privacy Protection Agency (CPPA).

Hadden Californiërs niet al het recht om gegevens te wissen?

Ja, inwoners van Californië hebben een recht op wissen onder de CCPA. Maar er zijn twee problemen als het gaat om gegevensmakelaars.

Ten eerste is het onduidelijk of ze dat recht kunnen uitoefenen tegen gegevensmakelaars op basis van de formulering van de CCPA. Ten tweede, ervan uitgaande dat ze dat wel kunnen, zou het in de praktijk nog steeds moeilijk zijn om gegevensmakelaars te vragen persoonlijke informatie te verwijderen. Veel verschillende tussenhandelaren beheren doorgaans informatie over één consument en consumenten weten doorgaans niet wie deze tussenhandelaren zijn en hoe ze contact met hen kunnen opnemen.

Om een lang verhaal kort te maken, het recht op wissen dat door de Delete Act wordt geïntroduceerd is niet nieuw in de Californische wetgeving, maar de wet maakt het veel gemakkelijker voor consumenten om dit recht uit te oefenen tegen gegevensmakelaars.

Hoe werkt de Delete Act?

Het verwijderingssysteem dat door de wet wordt beschreven, bestaat uit een gemeenschappelijk register voor verwijderingsverzoeken. Datatussenpersonen moeten periodiek toegang krijgen tot het systeem en hun databases controleren om er zeker van te zijn dat ze geen gegevens bevatten over personen die een verzoek hebben ingediend.

Gegevensmakelaars hebben ook andere verplichtingen, zoals het documenteren van de naleving van verwijderingsverzoeken en het controleren van de resultaten van hun procedures voor het honoreren van verzoeken.

De Delete Act is vaag over de technische aspecten van het systeem en roept de CPPA op om de kinken in de toekomstige regelgeving weg te werken. Volgens de wet moet het systeem uiterlijk in 2026 operationeel zijn. Naar alle waarschijnlijkheid zal het plannen van het systeem geen sinecure zijn voor de CCPA - en het implementeren ervan zal geen sinecure zijn voor bedrijven!

Waarin verschilt de Delete Act van andere wetten?

De Delete Act is een innovatieve wet. Privacywetten zoals de GDPR en de Californische CCPA zien het recht om gegevens te wissen als een zaak tussen een individu en een specifiek bedrijf of organisatie. Aan de andere kant breidt de Delete Act de reikwijdte van een enkel verzoek uit naar alle gegevensmakelaars. Dit systeem verschilt van typische verzoeken om gegevens te wissen en lijkt meer op een soort bel-me-niet-register.

De Delete Act verschilt ook van andere privacywetten doordat verzoeken ook gevolgen hebben voor alle gegevens die na de indiening worden verzameld. Een gegevensmakelaar kan niet zomaar uw gegevens wissen en het voor gezien houden; ze moeten hun database regelmatig controleren en alle nieuwe gegevens over u wissen. Een doorlopend proces van controle en wissen is vereist.

Op wie is de wet van toepassing?

Aan de ene kant is de Act van toepassing op inwoners van Californië, net als de CCPA. Niemand anders kan een verzoek onder de Act indienen.

Aan de andere kant van de vergelijking is de Act van toepassing op gegevensmakelaars. De wet definieert datamakelaars als elk bedrijf dat willens en wetens informatie verzamelt en verkoopt van consumenten met wie het bedrijf geen directe relatie heeft. Datamakelaars fungeren dus in wezen als tussenpersonen, die persoonlijke informatie over consumenten verkrijgen via een derde partij en deze verkopen aan een andere derde partij.

Opgemerkt moet worden dat de Act dezelfde brede definitie van gegevensverkoop hanteert als de CCPA/CPRA. Het openbaar maken van consumentengegevens in ruil voor iets waardevols zal waarschijnlijk worden beschouwd als een verkoop, of er nu geld mee gemoeid is of niet. Dit betekent dat de wet van toepassing kan zijn op veel tussenpersonen in de reclamesector, afhankelijk van hoe regelgevers de definitie opvatten.

Het is nog onduidelijk of de definitie van gegevensmakelaar ook betrekking heeft op bedrijven die gegevens kopen of ontvangen van tussenpersonen - met andere woorden, de klanten van gegevensmakelaars. Dit nog onduidelijke punt is cruciaal, aangezien veel bedrijven (ook kleinere) hun klantgegevens verrijken met informatie van derden. Toekomstige regelgeving van de CCPA zal dit hopelijk verduidelijken.

Eén ding is wel duidelijk: net als de CCPA zal de Delete Act ook van toepassing zijn op gegevensmakelaars buiten Californië en zelfs buiten de VS.

Terzijde is het de moeite waard om te benadrukken dat Californië een register heeft voor gegevensmakelaars, en dat registratie al verplicht was vóór de Data Act. Dit kan de handhaving vergemakkelijken, omdat de CCPA dan weet wie de gegevensmakelaars zijn en hoe ze contact met ze kunnen opnemen.

Zijn er uitzonderingen op de Delete Act?

Ja. Net als de CCPA is de Delete Act niet van toepassing op bedrijven die gebonden zijn aan sectorspecifieke regelgeving (zoals de HIPAA voor de gezondheidszorg).

Wat zijn de straffen onder de Delete Act?

Data brokers kunnen een boete krijgen van $200 voor elke dag dat ze geen gehoor geven aan een verwijderverzoek. Datatransactiekantoren kunnen ook beboet worden onder reeds bestaande Californische wetten als ze zichzelf niet registreren in het register van datatransactiekantoren.

Welke impact zal de Delete Act hebben?

De Delete Act zal waarschijnlijk een grote impact hebben op de reclamesector en op andere sectoren die sterk afhankelijk zijn van gegevensbemiddelaars (zoals fraudeopsporing). Om aan de wet te voldoen, moeten bedrijven nieuwe procedures opstellen en periodiek hun databases controleren om de gegevens die ze moeten verwijderen terug te vinden.

Dit zal de juridische en operationele kosten waarschijnlijk aanzienlijk verhogen. Daarnaast zullen bedrijven robuuste data governance praktijken moeten implementeren, als ze dat nog niet hebben gedaan, om het makkelijk te maken databases uit te filteren en de informatie terug te vinden die verwijderd moet worden.

Tot slot moet worden opgemerkt dat gegevensmakelaars verwijderingsverzoeken moeten verifiëren. Met andere woorden, makelaars moeten er zeker van zijn dat consumenten zijn wie ze zeggen dat ze zijn, en precies uitzoeken welke persoonlijke informatie in hun databases op hen betrekking heeft.

Dit zal ingewikkeld worden, omdat gegevensmakelaars soms geen directe identificatiegegevens verzamelen die een eenvoudige verificatie mogelijk maken. Bedrijven doen er verstandig aan robuuste verificatieprocedures op te stellen voordat de verzoeken binnenkomen en de CPPA in de gaten te houden voor richtlijnen over verificatie.

Conclusie

Het is nog te vroeg om te zeggen in welke mate de Delete Act van invloed zal zijn op de digitale economie. Het is echter duidelijk dat het voor gegevensmakelaars moeilijker zal worden om aan de wet te voldoen. Bedrijven die onder de wet vallen, moeten vooruit denken en onmiddellijk beginnen met de voorbereidingen om aan de verplichtingen te voldoen.

Wij zijn gepassioneerd door privacy. Het is een mensenrecht en een recht dat met de dag belangrijker wordt naarmate de wereld meer en meer met elkaar verbonden raakt.

Daarom hebben we Simple Analytics gemaakt. Met onze privacy-first tool kunnen onze klanten alle inzichten krijgen die ze nodig hebben op een ethische, privacy-vriendelijke manier. Simple Analytics levert nauwkeurige inzichten zonder cookies, zonder trackers en zonder ook maar een beetje persoonlijke gegevens te verzamelen! Als dit je aanspreekt, probeer ons dan gerust uit!