Er is op 1 januari 2020 een nieuwe privacywet in de VS van kracht gegaan waar iedereen zich nu moet aan gaan houden. Klinkt bekend? Als je een déjà vu-gevoel hebt, wij moesten ook meteen aan de GDPR (of in Nederland de AVG) denken.

Waar de GDPR een algemene wet was om de privacyrechten van alle inwoners van de Europese Unie te beschermen, gaat deze wet specifiek om de privacyrechten van inwoners van de Amerikaanse staat Californië. Dus sta ons toe je te introduceren aan de California Consumer Protection Act of 2018 (CCPA), een wet die is ontworpen om inwoners van Californië meer controle over hun persoonlijke informatie te geven.

In dit artikel leggen we de volgende dingen uit:

Let erop dat deze uitleg bedoeld is om je te informeren en te helpen. Je moet deze dus niet zien als formeel juridisch advies.

Wat is de CCPA?

De CCPA is een privacywet die op 28 juni 2018 is aangenomen. Een versie van deze wet werd eerder geïntroduceerd als een soort burgerinitiatief (ballot measure) waar tijdens de verkiezingen in november 2017 binnen de staat Californië over gestemd zou worden. Het initiatief kwam van een vastgoedontwikkelaar. De ontwikkelaar bood de wetgevende macht in California een deal dat hij het initiatief (dat vrij heftig was voor bedrijven) zou terugtrekken als een soortgelijke privacywet direct werd aangenomen.

De wetgevers introduceerden en namen na enige aanpassingen hun versie van de CCPA aan binnen zeven dagen. De wet is sindsdien nog een paar keer aangepast en de attorney general van California (min of meer vergelijkbaar met de Minister van Justitie in Nederland) heeft daarna nog enkele keren regelgeving gepubliceerd die de eisen van deze wet moeten verhelderen. Je kunt de volledige tekst van de CCPA zoals deze momenteel geldt hier vinden, en de voorgestelde regelgevingen hier.

Volgens de wetmakers is de CCPA aangenomen omdat:

  1. De groei in technologie de mogelijkheid van Californiërs om hun privacy goed te beschermen heeft beperkt
  2. De Californische wet was niet meegegroeid met het feit dat consumenten steeds meer persoonlijke informatie delen met bedrijven
  3. Ongeautoriseerde publicatie van persoonlijke informatie en daarmee het verlies van privacy een enorme impact kan hebben op mensen
  4. Het Cambridge Analytica schandaal de vraag om controle over privacy en transparantie over de omgang met data heeft vergroot

Als laatste is het duidelijk dat mensen meer privacy en meer controle willen over hun eigen informatie. De CCPA is aangenomen om te voldoen aan die wensen. Net als de GDPR voldoet de CCPA aan deze wens door bepaalde rechten aan consumenten toe te wijzen, in dit geval dus aan inwoners van Californië. Dit zijn de volgende rechten:

  1. Het recht om te weten welke persoonlijke informatie over hen wordt verzameld
  2. Het recht om te weten wanneer hun persoonlijke informatie wordt verkocht of geopenbaard en aan wie
  3. Het recht om nee te zeggen tegen de verkoop van hun persoonlijke informatie
  4. Het recht om de verwijdering van hun persoonlijke informatie te eisen
  5. Het recht op toegang tot hun persoonlijke informatie
  6. Het recht op toegang tot een gelijke serviceverlening tegen een gelijke prijs ook wanneer ze hun privacyrechten gebruiken

Op wie is de CCPA van toepassing?

Het lastige en soms meest verwarrende deel van privacywetten is uitvogelen of ze ook van toepassing zijn op jouw bedrijf. Privacywetten worden gemaakt om de persoonlijke informatie van inwoners of burgers van een bepaalde plek te beschermen, niet de bedrijven.

Dat betekent dat bedrijven buiten California nog steeds aan deze wet moeten voldoen. De CCPA is van toepassing op “bedrijven”, wat wordt gedefinieerd als een for-profit juridische entiteit die zaken doet in California en aan één van de volgende voorwaarden voldoet:

  1. Een jaarlijkse bruto omzet van meer dan $25.000.000
  2. Jaarlijks de persoonlijke informatie van 50.000 of meer Californische consumenten, huishouden of apparaten koopt, ontvangt, verkoopt of deelt voor zakelijke doeleinden, of
  3. Meer dan 50% van hun jaarlijkse omzet haalt uit het verkopen van de persoonlijke informatie van Californische consumenten.

Als je denkt dat de CCPA technisch gezien alleen op grote bedrijven van toepassing is, heb je gedeeltelijk gelijk. Vanwege de erg algemene definitie van het verkopen van persoonlijke informatie gaat een groot deel van het voldoen aan de CCPA zitten in het beheren van verkopers.

Dat betekent dat als jij zaken doet met, of fungeert als verkoper aan grote bedrijven, zij in het contract van jou kunnen eisen dat je voldoet aan de CCPA. Als je dus een klein bedrijf bent dat niet aan bovenstaande voorwaarden voldoet, kan het zijn dat je alsnog moet voldoen aan de regelgeving.

Verder, als je websites ontwerpt voor bedrijven die wél groot zijn en moeten voldoen aan de CCPA, zul je alsnog moeten letten op of je websites voldoen aan deze wet.

Wat zijn de consequenties van het niet voldoen aan de CCPA?

De CCPA wordt over het algemeen uitgevoerd door de California Attorney General. Boetes voor niet voldoen zijn $2.500 per overtreding en $7.500 per opzettelijke overtreding. “Per overtreding” wordt over het algemeen uitgelegd als per persoon wiens privacy-rechten je hebt geschonden.

Als je dus 100 bezoekers hebt uit California en niet aan de vereisten voldoet, kunnen je boetes oplopen tot 100x$2500=$250.000. Dat tikt dus snel aan.

Als je alleen vanwege een contract aan de CCPA hoeft te voldoen, kan het niet voldoen aan de eisen alleen betekenen dat je die klant of zakelijke relatie verliest. Als je een website moet bouwen die aan de CCPA voldoet, is de consequentie van het niet voldoen dat je klant een flinke boete krijgt en dat jij vervolgens aangeklaagd wordt voor de kosten, of dat je slechte reviews krijgt – wat ook erg slecht is voor je bedrijf.

Hoe zorg je dat je WordPress-website voldoet aan de CCPA

Dan nu de grote vraag. Als je een website bij WordPress hebt die aan de CCPA moet voldoen, zullen we je een aantal stappen uitleggen die je moet nemen. Dit zijn onder meer:

Als het klinkt alsof dit allemaal een hoop werk is, dan komt dat omdat het ook zo is. Maar maak je geen zorgen, we zullen je ook enkele van onze favoriete tools en resources aanraden die je hierbij kunnen helpen.

Het inhuren van een privacy-advocaat

Zoals je al wel door zult hebben, kost het een hoop moeite om te voldoen aan de CCPA. De wet- en regelgeving kunnen op z’n zachtst gezegd moeilijk zijn om te interpreteren.

Als je je onzeker voelt over wat je precies moet doen, kun je het beste een advocaat inhuren die gespecialiseerd is in privacywetgeving, aangezien zij je precies kunnen vertellen wat je in jouw specifieke geval moet doen.

Als je niet weet welke advocaat je moet kiezen, kijk dan eens naar de lijst met advocatenfirma’s van de International Association of Privacy Professionals.

Begrijpen welke persoonlijke informatie je verzamelt

De CCPA vereist dat je consumenten vertelt welke categorieën van persoonlijke informatie je verzamelt. Je moet dus je website doornemen en een lijst maken.

Ga al je pagina’s af en bekijk alle formulieren die je gebruikt, dus je contactformulieren, inschrijfpagina’s voor nieuwsbrieven, formulieren om een account te maken, reactieformulieren, afrekenpagina’s, en alle andere formulieren en pagina’s die je gebruikt, inclusief eventuele plugins.

Hieronder laten we als voorbeeld het standaardformulier zien dat je bij WordPress gebruikt om reacties te plaatsen op een artikel. Deze verzamelt namen en e-mails:

Reactieformulier op Kinsta
Reactieformulier op Kinsta

Maak vervolgens ook een lijst met persoonlijke informatie die je uit andere bronnen verzamelt. Denk aan analysesoftware, Hotjar, informatie op een webshop-afrekenpagina of een WordPress registratiepagina, en dergelijke.

Zet vervolgens al deze stukjes persoonlijke informatie die je verzamelt in categorieën zodat consumenten eenvoudig kunnen begrijpen wat voor informatie je over ze verzamelt. Voorbeelden van categorieën van persoonlijke informatie zijn bijvoorbeeld:

  1. Identificerende informatie
  2. Financiële informatie
  3. Commerciële informatie
  4. Biometrische informatie
  5. Informatie over activiteiten op internet en
  6. informatie over hun geolocatie

Begrijpen uit welke bronnen je deze persoonlijke informatie verzamelt

De CCPA vereist dat je bekend maakt uit welke bronnen je persoonlijke informatie verzamelt. Voorbeelden van bronnen zijn:

  1. Direct van de consument zelf
  2. Vragenlijsten
  3. Tracking pixels
  4. Het bijhouden van activiteiten door het gebruik van cookies en
  5. Data resellers

Begrijpen of je persoonlijke informatie bekend maakt aan derden

De CCPA vereist dat je publiceert of je persoonlijke informatie aan derden bekend maakt. Wanneer je aan de meeste mensen vraagt of ze data delen, is het antwoord een ietwat gepikeerd “nee”.

Maar denk er eens goed over na wat voor integraties je allemaal met je website gebruikt.

Gaan je inschrijvingen voor nieuwsbrieven direct naar een e-mailmarketingtool zoals MailChimp?

Gaan inschrijvingen direct naar een klantrelatie managementtool zoals HubSpot?

Krijgt je web-ontwikkelaar direct een alert wanneer er een formulier verzonden wordt?

Indien je ergens “ja” antwoordt, ben je data aan het delen met derden, en moet je dat dus bekend maken.

Het maken van een “Verkoop mijn persoonlijke informatie niet”-pagina

Als je de persoonlijke informatie van Californische consumenten verkoopt, ben je verplicht om een webpagina te hebben met de titel “Verkoop mijn persoonlijke informatie niet” of “Verkoop mijn info niet”. Deze pagina moet de volgende informatie bevatten:

  1. Een omschrijving van het recht van een consument om zich uit te schrijven van de verkoop van hun persoonlijke informatie
  2. Een webform waarmee een consument hun verzoek voor de opt-out kan versturen
  3. Instructies voor andere methoden waarmee een consument hun verzoek kunnen versturen
  4. Een link naar je privacybeleid
  5. Eventueel vereist bewijs wanneer een consument een geautoriseerd tussenpersoon wil aanwijzen die een verzoek voor hun kan indienen

Hieronder zie je een voorbeeld van de voettekst van een website die een link naar de “Verkoop mijn persoonlijke informatie niet”-pagina bevat.

Voorbeeld van een "Verkoop mijn persoonlijke informatie niet"-pagina
Voorbeeld van een “Verkoop mijn persoonlijke informatie niet”-pagina

Het maken van een privacymelding

De CCPA vereist dat je Californische consumenten met een privacy-melding geeft wanneer je hun persoonlijke informatie verzamelt.

Let op dat de CCPA dus niet vereist dat je toestemming krijgt van de consument om hun informatie te verzamelen, wat nogal een verschil is met de vereisten van de GDPR/AVG.

Een privacymelding is een soort mini-privacy beleid: het geeft een korte samenvatting van welke persoonlijke informatie wordt verzameld, waarvoor het wordt gebruikt en eventuele andere zaken.

De melding moet ontworpen zijn dat het makkelijk te lezen is en dat de gemiddelde lezer het kan begrijpen. De melding moet:

  1. Gewone en duidelijke taal bevatten en technisch of juridisch jargon mijden
  2. Een format gebruiken dat aandacht van consumenten naar de melding trekt en waardoor de melding goed leesbaar is, ook op kleinere schermen
  3. Beschikbaar zijn in dezelfde informatie als waarin je contracten, disclaimers, reclame of andere informatie aanbiedt
  4. Toegankelijk zijn voor consumenten met beperkingen

Je privacy-melding moet de volgende informatie bevatten:

  1. Een lijst met categorieën van persoonlijke informatie die je verzamelt over je consumenten. Elke genoemde categorie moet de consument een nuttig idee geven van de persoonlijke informatie die verzameld wordt
  2. Voor elke categorie moet ook het zakelijke doel worden genoemd
  3. Als je persoonlijke informatie verkoopt, een link met de titel “”Verkoop mijn persoonlijke informatie niet” of “Verkoop mijn info niet”. Deze link moet direct naar een webpagina gaan waar consumenten hun recht kunnen uitoefenen om ‘nee’ te zeggen tegen de verkoop van hun persoonlijke informatie

Als je geen privacy-melding wilt maken, kun je mensen ook simpelweg een link naar je privacybeleid bieden op het moment dat je de informatie verzamelt. Hieronder is een voorbeeld van een privacy-melding specifiek voor Californië.

Privacy-melding specifiek voor Californië
Privacy-melding specifiek voor Californië

Het maken van een privacybeleid

De CCPA vereist dat je een privacybeleid hebt. Het doel van dat beleid is dat de consument een volledige omschrijving krijgt over hoe jij hun persoonlijke informatie verzamelt, gebruikt, publiceert en verkoopt, en de privacy-rechten die de consumenten volgens de CCPA hebben.

Het privacy beleid heeft dezelfde eisen qua leesbaarheid, toegankelijkheid en format als de privacymelding.

Maar het privacybeleid moet ook beschikbaar zijn in een format dat het makkelijk maakt om uit te printen. Het privacy beleid moet op je website te vinden zijn via een duidelijke link met het woord “privacy” erin, op de homepagina van je website.

Je privacybeleid moet de volgende informatie bevatten:

  1. Een omschrijving van de rechten van Californische consumenten volgens de CCPA
  2. Eén of meer methoden waarmee gebruikers een verzoek kunnen indienen om gebruik te maken van hun rechten. Als je persoonlijke informatie verkoopt, een link naar je pagina “Verkoop mijn persoonlijke informatie niet” of “Verkoop mijn info niet” waar de consument “nee” kan zeggen tegen de verkoop van hun persoonlijke informatie.
  3. Een lijst met categorieën persoonlijke informatie die je in de laatste 12 maanden hebt verzameld
  4. Een lijst met bronnen waarvan je persoonlijke informatie verzamelt
  5. Het zakelijke doel waarvoor je de persoonlijke informatie gebruikt
  6. Een lijst met categorieën persoonlijke informatie die je in de afgelopen 12 maanden hebt verkocht en een lijst met categorieën van derden aan wie je die persoonlijke info hebt verkocht. Als je geen persoonlijke informatie hebt verkocht moet je dat ook melden.
  7. Een lijst met categorieën persoonlijke informatie die je in de afgelopen 12 maanden hebt gepubliceerd en een lijst met categorieën van derden aan wie je die persoonlijke info hebt geopenbaard. Als je geen persoonlijke informatie hebt gepubliceerd moet je dat ook melden.
  8. Hoe een consument een geautoriseerde tussenpersoon kan aanwijzen die een verzoek vóór hen kan maken;
  9. Een contact waar een consument eventuele vragen kan stellen of zorgen kan delen
  10. 10.De datum waarop het privacybeleid voor het laatst is bijgewerkt
  11. 11.Als je de persoonlijke informatie van 4.000.000 Californische consumenten per jaar verkoopt moet je nog meer zaken publiceren

Tools en resources die je kunnen helpen aan de CCPA te voldoen

Zoveel eisen en regels kunnen angstaanjagend lijken. Gelukkig zijn er een hoop handige tools die je helpen je website en bedrijf aan de vereisten te laten voldoen:

Termageddon

termageddon
Termageddon

Termageddon: Software as a Service die privacybeleid maakt specifiek voor jouw bedrijf. We updaten het privacybeleid van je klanten automatisch wanneer de wet wijzigt, zodat je altijd aan de vereisten blijft voldoen.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: de CCPA vereist sommige bedrijven om een gratis telefoonnummer te hebben als één van de manieren waarop consumenten hun rechten kunnen uitoefenen. CCPA Toll-Free regelt dat voor je.

CCPA Readiness Assessment van Orrick

CCPA Readiness Assessment
CCPA Readiness Assessment

CCPA Readiness Assessment van Orrick: deze tool helpt je na te gaan of je al voldoet aan de CCPA door je eenvoudige ja/nee vragen te stellen. Je kunt deze tool dus vooral als checklist gebruiken.

CCPA Opt-Out door CookiePro

CCPA Opt-Out WordPress plugin
CCPA Opt-Out WordPress plugin

CCPA Opt-Out: deze plugin helpt je om een “Niet verkopen” knop aan je website toe te voegen.

IAPP

IAPP
IAPP

IAPP: De International Association of Privacy Professionals is de grootste groep privacy-experts ter wereld. Bekijk hun website voor een steeds grotere verzameling met privacy-nieuws, resources en verkopers.

Kinsta en CCPA

Kinsta hecht veel waarde aan data-privacy en dataveiligheid, en we kunnen dus vrolijk bevestigen dat we geen persoonlijke informatie over Californische consumenten verkopen aan derden. Kijk vooral naar ons privacybeleid en naar Sectie 15 van onze Algemene Voorwaarden voor meer informatie.

Samenvatting

Alhoewel de CCPA niet zo breed van toepassing is als de GDPR/AVG, is het nog steeds een serieuze wet waar je voorzichtig mee moet zijn.

De CCPA is het eerste privacy-schaap over de dam binnen de Verenigde Staten, en andere staten zijn nu aan het volgen. Aan het einde van 2019 hadden al negen staten hun eigen privacy-wetten voorgesteld.

Deze wetten noemen allemaal de CCPA ter inspiratie of zijn in feite kopieën ervan. Het is dus duidelijk dat de CCPA de weg heeft vrijgemaakt voor meer privacy-regelgeving en dat de vereisten voor online privacy niet snel zullen verdwijnen.

Nu is het jouw beurt: wat denk jij van de CCPA? En voldoet jouw website aan de CCPA? Laat het ons weten in de reacties!

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.