Verschil tussen CCPA en GDPR?

Image of Carlo Cilento

Gepubliceerd op 24 feb 2023 en bijgewerkt op 15 aug 2023 door Carlo Cilento

Er is momenteel veel gaande in privacy-land. Meerdere EU-landen treden hard op tegen clouddiensten uit de VS, zoals Google Analytics, en vorige maand nog won privacy-NGO noyb een grote zaak tegen Facebook over het gebruik van gepersonaliseerde advertenties. Het is voor iedereen duidelijk dat privacy steeds meer op de voorgrond treedt, maar de weg vinden in de jungle van de privacywetgeving is moeilijk. Vandaar dat dit artikel de verschillende privacywetgevingen wil schetsen om de zaken te verduidelijken.

In het bijzonder richten we ons op de Californische Consumer Privacy Act, de meest beruchte Amerikaanse privacywet. Het is ook een zeer belangrijk stuk wetgeving omdat veel grote techbedrijven in Californië gevestigd zijn. We bekijken het en zien hoe het zich verhoudt tot de EU GDPR.

  1. De CCPA
  2. Op wie is de CCPA van toepassing?
  3. Wat zijn de verplichtingen voor uw bedrijf onder de CCPA?
  4. Bestaat er een federale privacywet in de VS?
  5. Is de CCPA een "GDPR light"?
  6. Hoe regelen de CPPA en de GDPR cookies?
  7. Hoe regelen de CCPA en GDPR de doorgifte van gegevens?
  8. Hoe werkt toestemming in de CCPA en de GDPR?
  9. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

De CCPA

De Californische Consumer Privacy Act(CCPA&aqs=chrome) is een Californische wet. Hij werd in 2018 aangenomen en trad in 2020 in werking. Het geeft consumenten bepaalde rechten, waaronder het recht op informatie, het recht om hun gegevens te wissen en het recht op opt-out.

De CCPA werd in 2020 gewijzigd door een andere wet, de California Rights Privacy Act. De wijziging introduceerde nieuwe privacyrechten en richtte het California Privacy Protection Agency op, dat de CPPA vanaf juli 2023 zal handhaven. De laatste en gewijzigde versie is degene waarnaar we in de hele blog zullen verwijzen.

Kortom:

  • de CCPA is een Californische privacywet
  • De CPRA is een andere Californische wet die de CPPA wijzigt.
  • de CPPA is de instantie die de Californische privacywetgeving vanaf juli 2023 zal handhaven.

Kortom, Californië is slecht in het kiezen van namen. We zullen nu de CCPA nader bekijken en zien hoe deze zich verhoudt tot de GDPR.

islands.png

Op wie is de CCPA van toepassing?

De CCPA is vooral van toepassing op bedrijven die aan bepaalde drempels voldoen wat betreft omzet en hoeveelheden verwerkte persoonsgegevens. De CCPA is ook van toepassing op sommige instellingen en openbare instanties, maar niet op organisaties zonder winstoogmerk.

Opgemerkt moet worden dat de CCPA van toepassing is op bedrijven die zaken doen in Californië, ongeacht hun vestiging. Een niet-Amerikaans bedrijf moet dus mogelijk voldoen aan de CCPA als het actief is op de Californische markt.

Behalve voor bedrijven bevat de CPPA ook regels voor dienstverleners, aannemers en derden.

Wat zijn de verplichtingen voor uw bedrijf onder de CCPA?

Bedrijven hebben verschillende verplichtingen onder de CCPA. Ze moeten informatie verstrekken over hoe de gegevens worden verwerkt, gegevens op verzoek wissen of corrigeren, het bewaren van gegevens beperken, en consumenten de mogelijkheid bieden om af te zien van het verkopen en delen van hun gegevens. Consumenten kunnen hen ook voor het gerecht dagen wegens gegevensinbreuken.

Bestaat er een federale privacywet in de VS?

De VS hebben geen uitgebreide federale privacywet, maar er zijn wel federale wetten die specifieke gebieden regelen, zoals gezondheidsgegevens(HIPAA) en gegevens over kinderen(COPPA). Een federale privacywet is in de maak: de American Data Privacy and Protection Act(ADPPA).

Momenteel hebben zes staten privacywetten. Californië is daar één van, de andere zijn Colorado, Connecticut, Nevada, Utah en Virginia. De interactie tussen de ADPPA en de plaatselijke privacywetgeving is een twistpunt in de politieke onderhandelingen over het voorstel. Sommige staten met privacywetgeving willen niet dat de ADPPA hun eigen wetgeving terzijde schuift, omdat zij bang zijn dat dit de privacyrechten van hun burgers zou verzwakken. Tegelijkertijd dringen sommige voorstanders van de wet erop aan dat de ADPPA boven de lokale wetten komt te staan om juridische fragmentatie in de VS te voorkomen.

Is de CCPA een "GDPR light"?

De CCPA is in sommige opzichten geïnspireerd door de GDPR en wordt soms een "GDPR light" genoemd. De twee verordeningen lijken in sommige opzichten op elkaar:

  • beide hebben in sommige omstandigheden extraterritoriale werking. Dit betekent dat bedrijven buiten Californië mogelijk moeten voldoen aan de CCPA, en dat bedrijven buiten de EU mogelijk moeten voldoen aan de GDPR.
  • sommige privacyrechten zijn vergelijkbaar onder de twee verordeningen, zoals het recht op informatie en het recht om gegevens te wissen. Beide wetten beogen personen meer controle over hun gegevens te geven
  • beide bieden speciale bescherming voor gevoelige informatie, hoewel de definities van gevoelige informatie verschillen
  • de GDPR wordt voornamelijk gehandhaafd door de gegevensbeschermingsautoriteiten in elke EU-lidstaat. Vanaf juni 2023 zal ook de CCPA worden gehandhaafd door een gegevensbeschermingsautoriteit (de CPPA) samen met de procureur-generaal van Californië.
  • Niet-naleving kan duur zijn. GDPR-boetes kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van een bedrijf, terwijl civielrechtelijke sancties onder de CCPA kunnen oplopen tot maximaal 7.500 dollar per individuele overtreding. Voor bedrijven die grote hoeveelheden persoonsgegevens verwerken, kunnen de bedragen snel oplopen!

Er zijn ook belangrijke verschillen:

  • de GDPR is breder van opzet en van toepassing op een groot aantal andere voor de verwerking verantwoordelijken dan bedrijven. Aan de andere kant is de CCPA een wet ter bescherming van de consument en vooral gericht op bedrijven.
  • de GDPR is een langere, complexere wet. Zij omvat meer regels en een uitgebreid systeem van beginselen
  • de GDPR is over het algemeen strenger. De regeling voor de verwerking van gevoelige gegevens is bijvoorbeeld restrictiever.
  • de GDPR beschermt de gegevensrechten van alle mensen in de Europese Unie en de Europese Economische Ruimte, ook van niet-EU-burgers. De CCPA daarentegen is alleen van toepassing op de gegevens van inwoners van Californië.

Hoe regelen de CPPA en de GDPR cookies?

De CCPA regelt cookies niet specifiek, maar cookies van derden vallen onder de regels voor het delen van gegevens. Volgens de wet moeten bedrijven gebruikers informeren en hun een methode bieden om zich af te melden.

Dit is een geval waarin de EU-privacywetgeving strenger is: volgens de GDPR en de ePrivacy-richtlijn moeten beheerders toestemming vragen via een opt-in-systeem voor niet-essentiële cookies (de accept-knop op cookiebanners). En in tegenstelling tot de CCPA maakt de EU-wetgeving geen onderscheid tussen eerste en derde cookies.

Hoe regelen de CCPA en GDPR de doorgifte van gegevens?

De CCPA regelt geen gegevensoverdrachten en stelt geen grenzen aan gegevensoverdrachten buiten Californië of de VS.

Dit is een ander belangrijk verschil met de GDPR. De GDPR omvat een ingewikkeld systeem van regels voor gegevensoverdrachten om ervoor te zorgen dat persoonsgegevens alleen veilig kunnen worden overgedragen.

Over het algemeen kan een bedrijf alleen gegevens overdragen op basis van een van de verschillende nalevingsmechanismen. De meest voorkomende zijn standaard contractuele clausules (SCC's) die in een contract met de ontvanger van de gegevens moeten worden geïmplementeerd en hem vertellen wat hij wel en niet met de gegevens mag doen.

De Europese Commissie kan een land ook "groen licht" geven als veilige bestemming voor gegevens door middel van een besluit dat "adequaatheid" wordt genoemd. Voor de VS waren er twee van dergelijke besluiten, maar beide werden door het Hof van Justitie van de EU nietig verklaard in het Schrems I en II arrest wegens bezorgdheid over het toezicht van de VS op buitenlandse gegevens.

De Amerikaanse controle bemoeilijkt ook de doorgifte van gegevens op basis van SCC's, omdat deze clausules weinig kunnen doen om Europese gegevens te beschermen. Het Schrems II-arrest verduidelijkte dat bedrijven die gegevens naar de VS sturen, de SCC's moeten aanvullen met extra waarborgen, wat in de praktijk zeer moeilijk is. Dit probleem is de kern van de juridische problemen van Google Analytics bij gegevensoverdracht en is de reden dat verschillende Europese privacyautoriteiten zich hebben uitgesproken tegen het gebruik van Google Analytics (we hebben hier uitgebreid over geschreven op onze blog).

Een nieuw adequaatheidsbesluit voor de VS komt eraan, maar zal zeker worden aangevochten in het Hof van Justitie. De VS hebben enkele wijzigingen in hun bewakingssysteem doorgevoerd, maar het is moeilijk te zeggen of het Hof daarmee tevreden zal zijn. Met andere woorden, Schrems III ligt in het verschiet en het is niet te zeggen hoe het zal aflopen.

Hoe werkt toestemming in de CCPA en de GDPR?

Voor het grootste deel vereist de CCPA geen voorafgaande toestemming om consumentengegevens te verwerken: de wet draait meestal om een opt-out systeem. In bepaalde situaties is echter voorafgaande toestemming nodig.

Geldige toestemming is altijd opt-in onder de GDPR. Maar toestemming is slechts een van de verschillende rechtsgronden voor de verwerking van persoonsgegevens. Dit betekent dat in sommige scenario's gegevens rechtmatig kunnen worden verwerkt zonder toestemming. In een notendop: toestemming is niet altijd vereist, maar wanneer dat wel het geval is, moet het opt-in toestemming zijn.

We hebben hierover een blog geschreven als je benieuwd bent naar de andere rechtsgronden onder de GDPR.

Conclusies

De GDPR en de CCPA zijn beide belangrijke privacywetten. Beide hebben een extraterritoriale werking, dus bedrijven moeten zich ermee vertrouwd maken of vertrouwen op een professional om de naleving ervan te garanderen. De GDPR is wat complexer, en we doen ons best om in deze blog enkele basisprincipes aan te pakken en ze verteerbaar te maken.

Opmerkelijk is dat zowel de GDPR als de CCPA alleen van toepassing zijn op persoonsgegevens. Vanuit het oogpunt van naleving is het niet verwerken van persoonsgegevens een wondermiddel voor beide wetten - en voor de privacywetgeving in het algemeen. Dat is niet altijd mogelijk, want er zijn dingen die je gewoon niet kunt doen zonder persoonsgegevens.

Gelukkig laten steeds meer privacyvriendelijke oplossingen zien dat je wel zonder persoonsgegevens kunt. Simple Analytics is bijvoorbeeld een privacyvriendelijk alternatief voor Google Analytics dat voldoet aan de GDPR en je toch de website-inzichten geeft die je nodig hebt.

Clouddiensten uit de VS liggen de laatste tijd onder vuur omdat ze niet voldoen aan de GDPR. Daarom zoeken bedrijven die waarde hechten aan privacy en die willen voldoen aan de GDPR, naar alternatieve oplossingen. Als u geïnteresseerd bent, moet u de website "European Alternatives" bekijken. Het geeft je een breed idee van welke alternatieven er bestaan in verschillende categorieën zoals web analytics, email provider, hosting provider, etc.

Wij hebben Simple Analytics gemaakt omdat wij geloven in een onafhankelijk internet dat vriendelijk is voor websitebezoekers. Dus minder cookies en minder tracking. Als dit resoneert met je, voel je dan vrij om Simple Analytics eens te proberen.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode