De afgelopen maanden heeft Californië verschillende nieuwe wetten op het gebied van privacy en gegevensbescherming aangenomen die gevolgen hebben voor exploitanten van websites, online diensten en mobiele applicaties in het hele land, waaronder een wet die een 'internetwisser' voor minderjarigen instelt en wijzigingen in de meldingsplicht bij datalekken. Het laatste wetsvoorstel, dat de California Online Privacy Protection Act ("CalOPPA") wijzigt, geeft websitebeheerders tot 1 januari 2014 de tijd om hun privacybeleid aan te passen en bekend te maken hoe zij omgaan met "Do Not Track"-mechanismen in webbrowsers. Bent u klaar voor deze nieuwe "Do Not Track"-vereisten?
Wat houdt de nieuwe wet in?
Onder CalOPPA waren websitebeheerders al verplicht om onder andere op een opvallende manier een privacybeleid te publiceren waarin wordt beschreven welke categorieën persoonlijk identificeerbare informatie de website- of mobiele applicatiebeheerder verzamelt en met wie deze informatie wordt gedeeld. Zoals gewijzigd door Assembly Bill 370, zijn website- en mobiele applicatiebeheerders nu verplicht om aan gebruikers bekend te maken hoe de site reageert op zogenaamde "Do Not Track"-mechanismen, die doorgaans kleine stukjes code zijn – vergelijkbaar met cookies – die aan websites of mobiele applicaties aangeven dat de gebruiker niet wil dat de websitebeheerder zijn of haar bezoek aan de site volgt, onder meer via analysetools, advertentienetwerken en andere soorten gegevensverzameling en trackingpraktijken.
Zijn de vereisten op mij van toepassing?
De wet is van toepassing op alle bedrijven die trackinginformatie verzamelen van inwoners van Californië, en is dus ook van toepassing op bedrijven die zaken doen in Californië en inwoners van Californië volgen, zelfs als het bedrijf geen fysieke aanwezigheid heeft in Californië.
Moet ik de voorkeuren van een gebruiker om niet te volgen respecteren?
Opvallend is dat Californië niet heeft bepaald dat exploitanten van websites en mobiele applicaties het gebruik van "Do Not Track"-mechanismen door gebruikers moeten respecteren, maar alleen dat de gebruiker moet worden geïnformeerd over hoe de website op een dergelijk mechanisme zal reageren.
Hoe kan ik hieraan voldoen?
Een websitebeheerder kan aan de nieuwe vereiste voldoen door "een duidelijke en opvallende hyperlink in het privacybeleid van de beheerder op te nemen naar een online locatie met een beschrijving, inclusief de effecten, van elk programma of protocol dat de beheerder volgt en dat consumenten die keuze [om niet te worden gevolgd] biedt". Het zelfreguleringsprogramma voor online gedragsgerichte reclame van de Digital Advertising Alliance is een veelgebruikt zelfreguleringsprogramma dat bedrijven helpt consumenten de mogelijkheid te bieden zich af te melden voor gerichte reclame op basis van het volgen van hun webactiviteiten.
Opmerking: De deadline voor naleving is 1 januari 2014.
Zijn er sancties als ik mijn privacybeleid niet bijwerk?
Het niet naleven van de nieuwe vereisten kan leiden tot boetes van $ 2.500 per overtreding. Met betrekking tot mobiele applicaties heeft de procureur-generaal van Californië aangegeven dat elke download van een mobiele applicatie die niet voldoet aan de nieuwe vereisten een overtreding vormt en aanleiding kan geven tot een boete.
Best practices voor naleving
Als onderdeel van het bijwerken van hun privacybeleid om te voldoen aan de nieuwe Do Not Track-vereisten van CalOPPA, moeten website-eigenaren en -beheerders de volgende best practices toepassen:
- Identificeer de trackingmechanismen die op zijn websites en online diensten worden gebruikt, met inbegrip van (a) de specifieke soorten persoonlijke informatie die door het trackingmechanisme worden verzameld en (b) of gebruikers de mogelijkheid hebben om te bepalen of en hoe de mechanismen worden gebruikt en of de exploitant de keuze van de gebruiker zal respecteren. De lijst moet zowel de trackingmechanismen bevatten die door de exploitant zelf worden gebruikt, als alle trackingmechanismen die door derden worden geplaatst, met inbegrip van adverteerders en analysediensten.
- In het geval van trackingmechanismen die door derden worden gebruikt, moet de exploitant nagaan of het mechanisme persoonlijke informatie over gebruikers verzamelt. Zelfs als de mechanismen geen persoonlijke informatie verzamelen, kan de exploitant het mechanisme in zijn privacybeleid vermelden voor het geval de derde exploitant de trackinggegevens combineert met persoonlijke informatie over gebruikers die hij uit een andere bron heeft verzameld.
- Identificeer alle andere mechanismen die persoonlijke informatie van gebruikers verzamelen, inclusief plug-ins voor sociale media. Hoewel de wijzigingen in CalOPPA niet noodzakelijkerwijs gericht zijn op dit soort mechanismen voor gegevensverzameling, moeten exploitanten overwegen om deze in hun privacybeleid aan gebruikers bekend te maken.
- Neem de hierboven genoemde informatie op in de privacyverklaring van de website, inclusief de informatie die wordt verzameld van gebruikers in het kader van het bijhouden van websiteactiviteiten, en hoe de gebruiker zich kan afmelden voor het verzamelen van die informatie en/of het ontvangen van gerichte advertenties op basis van de trackinginformatie.
Een volledige kopie van Assembly Bill 370 is hier beschikbaar.
