De California Consumer Privacy Act (CCPA) is van kracht vanaf vandaag, 1 januari 2020

De nieuwe wet zal ongetwijfeld gevolgen hebben voor de meeste website-eigenaren en -exploitanten, zoals eerder gebeurde met de Europese AVG. Toch is de CCPA in veel opzichten niet zo streng als de AVGen meer expliciet gericht op bedrijven die persoonlijke gegevens van consumenten verkopen.

Allereerst zijn de effecten van de wet beperkt tot inwoners van Californië. Dit betekent echter niet dat bedrijven buiten Californië zich niet aan de wet hoeven te houden als ze zaken doen met klanten uit deze staat. Aangezien inwoners van Californië toegang hebben tot elke website, ongeacht waar deze wordt beheerd, betekent dit in feite dat alle website-eigenaren, in de VS en in het buitenland, stappen moeten ondernemen in de richting van CCPA-compliance.

We hebben dit eerder gezien met de AVG-wet in Europa, die was gericht op alle bedrijven die omgaan met de persoonlijke informatie van EU-burgers. Op het moment dat de AVG van kracht werd, voldeden website-eigenaren in de VS en elders ofwel aan de AVG voor al hun klanten, ofwel besloten ze eenvoudig de toegang tot hun websites te blokkeren als het bezoek werd uitgevoerd vanaf een IP-adres in de Europese Unie.

Als u een website heeft in een van de andere Amerikaanse staten, kunt u hier voor een vergelijkbare keuze staan. Als u het zich kunt veroorloven om uw klanten die in Californië wonen buiten te laten, is er de mogelijkheid om bezoeken van Californische IP's te blokkeren. Het is echter waarschijnlijk dat in de toekomst wetgeving inzake gegevensprivacy ook op de agenda van wetgevers zal staan. Het is niet onvoorspelbaar dat in de toekomst meer, zo niet alle staten soortgelijke wetgeving zullen aannemen. Dus in plaats van potentiële klanten geleidelijk te blokkeren, is het misschien verstandiger om nu te voldoen, ongeacht waar uw bedrijf zich bevindt.

Ten tweede zijn de effecten van de wet, in tegenstelling tot de AVG, enigszins beperkt. CCPA heeft alleen betrekking op de volgende bedrijven:

• die met een bruto-inkomsten van ten minste $ 25 miljoen
• degenen die persoonlijke informatie hebben over ten minste 50.000 inwoners van Californië/huishoudens /apparaten per jaar
• ten minste 50% van hun jaarlijkse omzetwordt gegenereerd door de verkoop van persoonlijke gegevens van Californiërs

Als uw website persoonlijke informatie verzamelt, maar niet onder een van de bovenstaande categorieën valt, bent u vrij om zaken te doen zoals gewoonlijk. Deze waarschuwingen zijn een duidelijk teken dat de wet niet is ontworpen met eigenaren van kleine bedrijven in gedachten, maar eerder is gericht op bedrijven die profiteren van de verkoop van grote hoeveelheden persoonlijke informatie. Zorg er echter voor dat u het aantal unieke bezoekers uit Californië op uw website controleert. Als dat aantal binnen een jaar de 50.000 overschrijdt, moet u rekening houden met CCPA-compliance.

Er is geen groot verschil met wat we al eerder in AVG-gerelateerde onderwerpenhebben besproken, aangezien de betrokken persoonlijke gegevens vrijwel hetzelfde zijn: namen, e-mailadressen, locatie, biometrische gegevensenz. De wet definieert dit als alle informatie die "identificeert, betrekking heeft op, beschrijft, in verband kan worden gebracht met, of redelijkerwijs in verband kan worden gebracht, direct of indirect, met een bepaalde consument of huishouden". Houd er rekening mee dat openbaar beschikbare informatie, evenals geanonimiseerdeof geaggregeerde consumenteninformatie, onder CCPA niet als persoonlijke informatie wordt beschouwd.

U kunt nog steeds persoonlijke informatie verzamelen en zelfs verkopen, maar u moet het gebruikers gemakkelijk maken om zich voor dit proces af te melden. De wet zegt expliciet dat, als een bedrijf de persoonlijke informatie van de gebruikers verkoopt, het een duidelijke link op hun homepage moet plaatsen, getiteld "Do Not Sell My Personal Information". Het is ook illegaal om verschillende diensten of functies aan te bieden op basis van de keuze om u aan of af te melden. Alle klanten moeten nog steeds profiteren van dezelfde diensten.

Net als bij de AVG moet u klanten het recht op gegevenstoegang verlenen, hun persoonlijke gegevens verwijderenen om openbaarmaking vragen van alle categorieën persoonlijke gegevensdie worden verzameld en verkocht (als dat het geval is). Dit zal jaarlijks gebeuren. Op verzoek moet u de persoonsgegevens van de afgelopen 12 maanden voorafgaand aan het verzoekverstrekken. Ook mag de klant dergelijke claims maximaal twee keer per jaarindienen.

Zorg er ook voor dat u het volgende opneemt in uw privacybeleid:

• alle categorieën informatie die u verzamelt en verwerkt
• waarvoor worden deze informatiecategorieën gebruikt?
• hoe de informatie wordt verzameld
• wat is de procedure om toegang tot, wijziging, verplaatsing of verwijdering van persoonlijke gegevens te vragen
• hoe de identiteit van de persoon die een verzoek indient wordt geverifieerd
• als er persoonsgegevens worden verkocht, dan moet dit hier worden beschreven
• hoe u zich kunt afmelden voor de verkoop van hun gegevens

Niet per se, maar de kans is groot dat als je stappen hebt ondernomen om te voldoen aan de AVG, je ook CCPA-compatibel bent. Alle bovenstaande voorwaarden zijn ook terug te vinden in de AVG, met uitzondering van expliciete regels voor de verkoop van persoonsgegevens.

Het grootste risico waarmee website-eigenaren worden geconfronteerd, is dat van een datalek. Volgens de wet is het bedrijf verantwoordelijk voor het voorkomen van ongeoorloofde toegang tot en diefstal van gegevens van consumenten. Als dit zou gebeuren, heeft elke gebruiker van wie gegevens zijn gelekt het recht om een schadeclaim in te dienen voor een bedrag tussen $ 100 en $ 750. Een groot datalek, waarbij de gegevens van duizenden gebruikers worden gestolen, kan een bedrijf mogelijk tot faillissement leiden. Vermenigvuldig 1000 x $ 750 en je krijgt een schatting van de impact.

Voordat er echter een civiele procedure wordt gestart, hebben bedrijven 30 dagen de tijd om "de geconstateerde overtreding te verhelpen", als dat mogelijk is.

Aangezien niet-geïdentificeerde gegevens, evenals geaggregeerde gegevens, niet onder de regels van CCPA vallen, zijn de meeste analysetools waarschijnlijk standaard compatibel. U moet er echter voor zorgen dat u de gegevensverwerkingsovereenkomst en het privacybeleid van dergelijke derden leest, om er zeker van te zijn dat u over alle informatie beschikt over het gebruik van persoonlijke gegevens. Als onderdeel van de inspanningen om te voldoen aan de AVG, is Visitor Analytics ook CCPA-compatibel geworden. Ons bedrijf houdt zich niet bezig met het verkopen of delen van gegevens met anderen. De gegevens die we verzamelen kunnen niet worden gekoppeld aan de identiteit van een persoon, huishouden of apparaat.

Als u meer informatie nodig heeft over de nieuwe privacywet, kunt u de volledige tekst van 1.81.5 lezen. California Consumer Privacy Acthier. Als u meer wilt weten over hoe Visitor Analytics voldoet aan de privacywetgeving, lees dan ons Privacybeleiden onze Gegevensverwerkingsovereenkomst.