Skip to main content

California Consumer Privacy Act (CCPA)

TL; DR

Op 1 januari 2020 is de California Consumer Privacy Act (CCPA) in werking getreden. Het is een belangrijke wetgeving die erop gericht is de persoonsgegevens van Californiërs te beschermen en hen meer controle over deze gegevens te geven. In sommige opzichten is het de Amerikaanse versie van de General Data Protection Regulation (GDPR). En net als de AVG gaan de effecten ervan ver buiten de eigen grenzen, waarbij de toepasbaarheid niet wordt bepaald door het grondgebied.

Wat is CCPA?

De California Consumer Privacy Act (CCPA), die in 2018 van kracht is geworden en van kracht is op 1 januari 2020, geeft consumenten in Californië aanvullende rechten en bescherming over hoe bedrijven hun persoonlijke informatie kunnen gebruiken. De CCPA legt bedrijven veel verplichtingen op, vergelijkbaar met die van de Algemene Verordening Gegevensbescherming (AVG) die is aangenomen door de Europese Unie (EU). De CCPA is echter iets milderen richt zich meer op de mogelijke verkoop van persoonsgegevens.

Op basis van wetgeving die in de zomer van 2018 is ingevoerd, geeft de nieuwe privacywet van Californië consumenten het recht om een bedrijf te vragen details vrij te geven over de persoonlijke informatie die het over de consument verzamelt.

Consumentenrechten in Californië

In het bijzonder het wetsontwerp nr. 3752 van de California Assembly heeft de volgende privacyrechten voor consumenten:

  • Het recht van Californiërs om te weten welke persoonsgegevens over hen worden verzameld.
  • Het recht van Californiërs om te weten of hun persoonlijke informatie wordt verkocht of bekendgemaakt en aan wie.
  • Het recht van Californiërs om nee te zeggen tegen de verkoop van persoonlijke gegevens.
  • Het recht van Californiërs op toegang tot hun persoonsgegevens.
  • Het recht van Californiërs op gelijke prijzen en diensten, zelfs als ze hun privacyrechten uitoefenen.

Wie wordt getroffen?

De CCPA is van toepassing op elk bedrijf dat zich bezighoudt met de persoonlijke gegevens van burgers van Californië, ongeacht waar ze opereren. Dit is vooral belangrijk voor websites waartoe Californiërs toegang hebben en waar ze onbedoeld hun persoonlijke gegevens op achterlaten (bijv. IP, locatie, enz.).

CCPA wordt echter als soepeler beschouwd omdat het alleen wordt toegepast op specifieke bedrijven en meestal kleine bedrijven uitsluit. De doelwitten zijn bedrijven:

  • die een bruto jaaromzet hebben van meer dan $ 25 miljoen;
  • die persoonlijke informatie van 50.000 of meer consumenten of huishoudens koopt, verzamelt of verkoopt;
  • die meer dan de helft van hun jaarlijkse inkomsten verdienen met de verkoop van persoonlijke informatie van consumenten.

Organisaties moeten redelijke beveiligingsprocedures en -praktijken implementeren en handhaven voor de bescherming van consumentengegevens.