California Consumer Privacy Act / California Privacy Rights Act
De CCPA en zijn opvolger CPRA geven inwoners van Californië uitgebreide rechten over hun persoonsgegevens. Deze wetgeving is de strengste privacywet in de Verenigde Staten en heeft invloed op bedrijven wereldwijd die zaken doen met Californische consumenten.
De California Consumer Privacy Act (CCPA) werd in 2018 aangenomen en trad in werking op 1 januari 2020. De wet werd in november 2020 aangevuld door de California Privacy Rights Act (CPRA), die op 1 januari 2023 van kracht werd. Samen vormen ze het meest uitgebreide privacykader in de Verenigde Staten. De wetgeving geeft Californische consumenten het recht om te weten welke persoonsgegevens worden verzameld, om verwijdering te vragen, om de verkoop van hun gegevens te weigeren en om niet gediscrimineerd te worden wanneer ze hun privacyrechten uitoefenen. De CPRA heeft daarnaast de California Privacy Protection Agency (CPPA) opgericht als onafhankelijke toezichthouder.
Bedrijven met een bruto jaaromzet van meer dan 25 miljoen dollar
Organisaties die persoonsgegevens van 100.000 of meer Californische consumenten verwerken
Bedrijven die 50% of meer van hun omzet halen uit de verkoop of het delen van persoonsgegevens
Dochterondernemingen van bedrijven die aan bovenstaande criteria voldoen
Elke entiteit die namens een gedekt bedrijf persoonsgegevens van Californische consumenten verwerkt
Consumenten hebben het recht om te weten welke persoonsgegevens worden verzameld, voor welke doeleinden, en met welke derde partijen deze worden gedeeld. Bedrijven moeten dit transparant communiceren via een privacybeleid.
Consumenten kunnen verzoeken om hun persoonsgegevens te laten verwijderen. Bedrijven moeten aan dit verzoek voldoen, behoudens enkele wettelijke uitzonderingen.
Bedrijven moeten een duidelijke 'Verkoop mijn persoonsgegevens niet'-link aanbieden op hun website. Met de CPRA is dit uitgebreid naar het delen van gegevens voor cross-context behavioral advertising.
Onder de CPRA hebben consumenten het recht om onjuiste persoonsgegevens te laten corrigeren door het bedrijf dat deze gegevens in bezit heeft.
De CPRA introduceert het concept van gevoelige persoonsgegevens en geeft consumenten het recht om het gebruik en de openbaarmaking ervan te beperken.
Bedrijven mogen alleen persoonsgegevens verzamelen die redelijkerwijs noodzakelijk en evenredig zijn voor het beoogde doel waarvoor ze verzameld worden.
De California Attorney General en de CPPA kunnen boetes opleggen tot 2.500 dollar per onopzettelijke overtreding en 7.500 dollar per opzettelijke overtreding of overtreding met betrekking tot minderjarigen. Daarnaast hebben consumenten het recht op schadevergoeding van 100 tot 750 dollar per incident bij datalekken veroorzaakt door onvoldoende beveiligingsmaatregelen.
Cookiefy automatiseert CCPA/CPRA compliance zodat u zich kunt focussen op uw business.
Cookiefy herkent automatisch het Global Privacy Control (GPC)-signaal en respecteert opt-out-voorkeuren van bezoekers, zoals vereist door de CCPA/CPRA.
Eenvoudig een conforme 'Verkoop mijn gegevens niet'-link toevoegen aan uw website die automatisch de juiste acties triggert.
Cookiefy detecteert automatisch of een bezoeker uit Californië komt en toont de juiste CCPA/CPRA-conforme meldingen en opties.
Beheer eenvoudig de toestemming voor het gebruik van gevoelige persoonsgegevens zoals vereist door de CPRA.
Alle opt-out-verzoeken worden veilig geregistreerd en gedocumenteerd als bewijs van naleving bij eventuele audits.
Cookiefy helpt u bij het up-to-date houden van uw privacybeleid zodat het voldoet aan de laatste CCPA/CPRA-vereisten.
Ja, als uw bedrijf voldoet aan de drempelwaarden (omzet boven 25 miljoen dollar, gegevens van meer dan 100.000 Californische consumenten, of meer dan 50% omzet uit gegevensverkoop) en u zaken doet met Californische consumenten, bent u verplicht om te voldoen aan de CCPA/CPRA.
De CPRA is een uitbreiding en versterking van de CCPA. De belangrijkste toevoegingen zijn het recht op correctie, beperkingen op gevoelige gegevens, strengere regels voor geautomatiseerde besluitvorming en de oprichting van een onafhankelijke privacytoezichthouder (CPPA).
GPC is een browserinstelling waarmee gebruikers automatisch een opt-out-signaal sturen naar websites. Onder de CCPA/CPRA zijn bedrijven verplicht om dit signaal te respecteren als een geldig verzoek om gegevensverkoop of -deling te stoppen.
De AVG vereist voorafgaande toestemming (opt-in) voor de meeste gegevensverwerking, terwijl de CCPA werkt met een opt-out-model. De AVG geldt voor alle organisaties die EU-gegevens verwerken, terwijl de CCPA drempelwaarden hanteert. Beide wetten geven consumenten echter sterke rechten over hun persoonsgegevens.