California Moves Towards GDPR-like Privacy Protections in the California Consumer Privacy Act of 2018

CCPA in een oogopslag

De nieuwe wet geeft consumenten ruime rechten op toegang tot en controle over hun persoonlijke gegevens en legt technische, kennisgevings- en financiële verplichtingen op aan betrokken bedrijven.
De CCPA is aangenomen om de privacy van consumenten in Californië te beschermen en heeft een aantal vergelijkbare kenmerken met de Algemene Verordening Gegevensbescherming (AVG) van de EU, waaronder een nieuwe en zeer brede definitie van wat onder beschermde persoonlijke informatie valt. Betrokken bedrijven zijn commerciële entiteiten die actief zijn in Californië en voldoen aan bepaalde vereisten op het gebied van omzet of gegevensverzameling.
De CCPA treedt in werking op 1 januari 2020 en is van toepassing op persoonlijke gegevens die vóór en na de ingangsdatum zijn verzameld.
Bedrijven zullen hun activiteiten, beleid en procedures moeten aanpassen om te voldoen aan het recht van inwoners van Californië op informatie over en controle over hun persoonlijke gegevens.
Gezien de vereiste voor de procureur-generaal van Californië om uitvoeringsvoorschriften op te stellen en de sterke en openlijke tegenstand van technologiebedrijven tegen de CCPA, zullen de definitieve nalevingsvereisten tussen nu en 1 januari 2020 waarschijnlijk nog aanzienlijk veranderen.

Op 28 juni 2018 keurde Californië AB 375 goed, de California Consumer Privacy Act van 2018 (CCPA), die op 1 januari 2020 van kracht wordt. De CCPA, die slechts een week eerder werd geïntroduceerd in een poging om een veel strenger privacygericht referendum te verslaan, is een ingrijpende nieuwe privacywet die unaniem door de wetgevende macht werd aangenomen, met nog maar enkele minuten te gaan om het referendum van de stemming in november terug te trekken. De CCPA biedt Californische consumenten aanzienlijk uitgebreidere rechten met betrekking tot het verzamelen en gebruiken van hun persoonlijke gegevens door bedrijven.

Toepasselijkheid op bedrijven

Nieuwe gegevenstypen opgenomen als persoonlijke informatie

De CCPA definieert persoonlijke informatie in brede zin, zodat ook soorten informatie worden gedekt die in de Verenigde Staten traditioneel niet als persoonlijke informatie worden beschouwd, waaronder:

IP-adressen
e-mailadressen
gegevens over aankoop- of consumptiegeschiedenis of -neigingen
browsegeschiedenis en zoekgeschiedenis

geolocatiegegevens
audio-, visuele of thermische informatie
professionele of arbeidsinformatie
onderwijsinformatie

De CCPA hanteert een veel bredere definitie van persoonlijke informatie dan doorgaans wordt gebruikt in privacywetgeving in de Verenigde Staten, inclusief de definitie in de eigen wetgeving van Californië inzake melding van datalekken. Persoonlijke informatie volgens de CCPA omvat "informatie die een bepaalde consument of huishouden identificeert, betrekking heeft op, beschrijft, kan worden geassocieerd met of redelijkerwijs direct of indirect kan worden gekoppeld aan". Met deze brede definitie komen de soorten informatie die onder de CCPA worden beschermd veel dichter in de buurt van die in de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.

De wet is van toepassing op commerciële entiteiten die actief zijn in Californië en een rol spelen bij het bepalen van de middelen en doeleinden van de verwerking van persoonsgegevens en die: (a) een jaarlijkse bruto-omzet hebben van meer dan $ 25.000.000; (b) jaarlijks de persoonsgegevens van 50.000 of meer inwoners, huishoudens of apparaten in Californië verwerken; of (c) ten minste de helft van hun bruto-inkomsten halen uit de verkoop van persoonsgegevens. De toepasselijkheid van de CCPA is dus gebaseerd op de bedrijfsstructuur, de totale inkomsten en de bron van inkomsten, en de hoeveelheid persoonsgegevens die door een bedrijf wordt verwerkt – ongeacht de feitelijke locatie ervan. De CCPA geeft geen definitie van "huishoudens" en de definitie van "apparaten" is niet beperkt tot apparaten die eigendom zijn van inwoners van Californië. Bijgevolg kan de wet gevolgen hebben voor bedrijven die slechts losse banden met Californië hebben.

Ondanks de ogenschijnlijk brede toepasselijkheid van de CCPA, sluit deze wet specifiek persoonlijke informatie uit die onder andere federale en staatswetten valt, zoals: gezondheidsinformatie die wordt beschermd door de California Confidentiality of Medical Information Act (CMIA) of HIPAA; de verkoop van informatie van of aan een consumentenrapportagebureau, indien de informatie wordt gebruikt als onderdeel van een consumentenrapport en in overeenstemming is met de Fair Credit Reporting Act (FCRA); en alleen voor zover de CCPA in strijd is met informatie die wordt verzameld, verwerkt, verkocht of openbaar gemaakt overeenkomstig de Gramm-Leach-Bliley Act (GLBA) of de Driver's Privacy Protection Act (DPPA).

Vereisten van de CCPA

Zoals de wet nu is aangenomen, vergroot deze de rechten van consumenten op toegang tot en controle over hoe hun persoonlijke gegevens worden verzameld, gebruikt, verkocht en openbaar gemaakt aanzienlijk. Ervan uitgaande dat de wet niet wordt herzien, biedt de CCPA consumenten het volgende:

Recht op persoonlijke informatie verzameld door bedrijven – Consumenten hebben het recht (onder voorbehoud van identiteitscontrole) om een overzicht te krijgen van de persoonlijke informatie die een bedrijf over hen verzamelt, evenals informatie over de bronnen en de zakelijke of commerciële doeleinden van die persoonlijke informatie.
Recht op verwijdering van persoonlijke gegevens – Consumenten kunnen (onder voorbehoud van identiteitscontrole en beperkte uitzonderingen) van een bedrijf en zijn dienstverleners verlangen dat zij alle persoonlijke gegevens die het bedrijf over de consument heeft, verwijderen zodra deze gegevens niet langer nodig zijn.
Recht op opt-out – Consumenten hebben het recht om zich af te melden voor elke toekomstige verkoop van hun persoonlijke gegevens via ten minste een link 'Verkoop mijn persoonlijke gegevens niet' op de startpagina van een bedrijf.
Opt-invereiste voor minderjarigen – Het is bedrijven verboden om de persoonlijke gegevens te verkopen van consumenten waarvan zij daadwerkelijk weten dat zij jonger zijn dan 16 jaar en voor wie zij geen passende opt-in-toestemming hebben.
Verbiedt afstand doen van rechten en vergelding door bedrijven – Afstand doen van consumentenrechten en rechtsmiddelen onder de CCPA is niet afdwingbaar en bedrijven mogen consumenten niet discrimineren omdat zij hun rechten onder de CCPA uitoefenen, bijvoorbeeld door goederen of diensten aan de consument te weigeren of door andere prijzen of tarieven voor goederen en diensten in rekening te brengen of voor te stellen.
Verhoogde transparantie – Bedrijven zullen aanzienlijk transparanter moeten zijn over het verzamelen en gebruiken van persoonlijke gegevens en moeten consumenten (in hun privacybeleid) informeren over hun nieuwe rechten onder de CCPA.

Handhaving

Voordat de wet van kracht wordt, vereist de CCPA dat de procureur-generaal uitvoeringsvoorschriften vaststelt, waaronder het vaststellen van uitzonderingen, procedures, regels en andere voorschriften die nodig zijn om naleving van de doelstellingen van de CCPA te waarborgen. Technologiebedrijven hebben zich sterk verzet tegen de CCPA en zullen naar verwachting actie ondernemen om de uitvoeringsvoorschriften te beïnvloeden. De nalevingsvereisten zullen naar verwachting tussen nu en de ingangsdatum nog veranderen, waardoor voortdurende monitoring gerechtvaardigd is.

De procureur-generaal zal toezien op de naleving van de CCPA. Bedrijven die vermeende overtredingen niet binnen 30 dagen herstellen, krijgen een boete van maximaal 7.500 dollar per overtreding.

De CCPA biedt ook een particulier recht van vordering voor consumenten van wie de niet-versleutelde en niet-geredigeerde persoonlijke gegevens (zoals nader gedefinieerd in de Californische wet inzake melding van datalekken) het slachtoffer zijn geworden van diefstal of andere ongeoorloofde openbaarmaking als gevolg van het feit dat een bedrijf heeft nagelaten de persoonlijke gegevens van consumenten op redelijke wijze te beschermen, zoals vereist op grond van de Californische wet inzake melding van datalekken. Onder voorbehoud van bepaalde procedurele vereisten, kunnen consumenten bij elk dergelijk incident de werkelijke schade of maximaal 750 dollar per incident per consument verhalen. Net als bij andere privacywetgeving kunnen vermeende schendingen van de CCPA aanleiding geven tot collectieve rechtszaken.

Overeenkomsten met de AVG

De goedkeuring van de CCPA in Californië maakt deel uit van een groeiende trend naar betere gegevensbescherming voor consumenten. De CCPA volgt op de inwerkingtreding van de AVG op 25 mei 2018, die uitgebreide privacy- en persoonsgegevensbeschermingsrechten biedt aan personen in de Europese Unie. Hoewel de AVG in veel opzichten breder is dan de CCPA, zijn er aanzienlijke overlappingen op het gebied van consumentenrechten en zakelijke verplichtingen. Zo bieden zowel de CCPA als de AVG consumenten het recht om te worden vergeten en het recht op toegang tot hun persoonsgegevens, en eisen ze dat bedrijven transparant zijn over de verwerking van persoonsgegevens. De AVG vereist echter dat consumenten zich aanmelden voor bepaalde vormen van gebruik van hun persoonsgegevens, terwijl de CCPA de opt-outbenadering handhaaft die in de Verenigde Staten algemeen wordt gebruikt. De CCPA mist ook de relatief prescriptieve vereisten voor beveiliging en leveranciersovereenkomsten die in de AVG zijn opgenomen.

Toch zijn er belangrijke overeenkomsten en overlappingen tussen de AVG en de CCPA. Deze overeenkomsten kunnen de naleving van de CCPA vergemakkelijken voor bedrijven die al maatregelen hebben genomen om aan de AVG te voldoen. Bedrijven die onder de AVG vallen, moeten hun omgang met persoonsgegevens herzien om te bepalen of deze voldoet aan de vereisten van de CCPA. Organisaties die al maatregelen hebben genomen om volledig te voldoen aan de AVG voor personen in de Europese Unie, moeten mogelijk veel van de beschermingsmaatregelen uitbreiden naar consumenten in Californië. Organisaties die niet volledig aan de vereisten van de AVG voldeden, kunnen hun planning herzien en prioriteiten stellen om ervoor te zorgen dat ze vóór 1 januari 2020 aan de vereisten van de CCPA voldoen. Organisaties die voorheen mogelijk niet onder de AVG vielen, moeten beoordelen of ze nu onder de CCPA vallen en ruim voor de ingangsdatum beginnen met het plannen van hun naleving.

Impact op bedrijven

Hoewel de CCPA pas in 2020 van kracht wordt, zal het tijd kosten voor de betrokken bedrijven om aan alle bepalingen te voldoen. Bedrijven die onder de CCPA vallen, moeten de volgende maatregelen overwegen ter voorbereiding op de implementatie van de CCPA:

Voer een gegevensinventarisatie uit van de persoonlijke informatie die door het bedrijf wordt verzameld om inzicht te krijgen in de omvang van de verzamelde persoonlijke informatie en hoe deze wordt gebruikt en gedeeld met derden.
Interne beleidsregels en procedures herzien om adequaat te kunnen reageren op verzoeken van consumenten om toegang tot, verwijdering van of informatie over de verkoop of openbaarmaking van hun persoonlijke gegevens.
Volg nauwlettend de richtlijnen van de procureur-generaal van Californië met betrekking tot passende verificatiemaatregelen voor verzoeken van consumenten. De CCPA beschrijft dat een bedrijf de door een consument verstrekte informatie moet koppelen aan informatie die het heeft verzameld, verkocht of openbaar gemaakt over een consument om zijn of haar identiteit te verifiëren, maar geeft de procureur-generaal van Californië de opdracht om publieke reacties te vragen om verdere regelgeving op dit gebied uit te vaardigen.
Begin met het plannen en implementeren van technologische verbeteringen aan hun informatiesystemen die nodig kunnen zijn om verzoeken van consumenten en hun recht om zich af te melden voor de verkoop van persoonlijke gegevens te verwerken.
Controleer en werk het privacybeleid bij om te voldoen aan de openbaarmakingsvereisten van de CCPA wanneer dat nodig is.
Begin met het voorbereiden van trainingsmateriaal en het plannen van trainingen voor alle medewerkers die verantwoordelijk zijn voor het behandelen van vragen over persoonlijke gegevens van consumenten.
Werk contracten met derden en dienstverleners aan wie persoonlijke gegevens van consumenten worden doorgegeven bij, om ervoor te zorgen dat de leverancier op de juiste manier kan reageren op verzoeken van consumenten om gegevens te verwijderen. Overweeg om audits door derden te laten uitvoeren om naleving van de CCPA te waarborgen en laat deze audits uitvoeren door een juridisch adviseur om te ondersteunen dat de resultaten onder het verschoningsrecht vallen.

Vooruitblik

Hoewel de CCPA tijdens een persconferentie direct na de ondertekening door gouverneur Jerry Brown grotendeels werd toegejuicht, heeft de wet ook enige kritiek gekregen. Nicole Ozer, directeur technologie en burgerlijke vrijheden van de ACLU, bekritiseerde dat de CCPA overhaast was opgesteld en dat deze volstrekt tekortschoot in het bieden van de privacybescherming die consumenten eisen en verdienen. Ze merkte verder op dat de wet moet worden herzien om effectieve privacybescherming tegen wijdverbreid misbruik van persoonlijke gegevens, strengere bepalingen voor Californiërs om hun rechten af te dwingen en bescherming tegen vergeldingsmaatregelen door bedrijven tegen Californische consumenten die hun rechten uitoefenen, op te nemen. Aan de andere kant vonden sommige Californische bedrijven de CCPA te restrictief, maar probeerden ze zich er niet tegen te verzetten omdat het concurrerende volksinitiatief, indien aangenomen, aanzienlijk meer beperkingen zou hebben opgelegd aan het gebruik van persoonlijke informatie en in de toekomst moeilijker te wijzigen zou zijn geweest dan de CCPA zoals die door de wetgevers is aangenomen. Als gevolg hiervan zal de CCPA waarschijnlijk worden herzien voordat deze op 1 januari 2020 van kracht wordt. De wet is ook onderworpen aan publieke participatie bij de uitvoering van voorschriften die door de procureur-generaal moeten worden aangenomen, waaronder mogelijk aanvullende categorieën van persoonlijke informatie en specifieke vereisten voor de omgang met het recht van consumenten om zich af te melden. De advocaten van Foley zullen de CCPA en eventuele wijzigingen en uitvoeringsvoorschriften blijven volgen.

Voor vragen of aanvullende informatie over dit onderwerp kunt u contact opnemen met een van de volgende auteurs van juridisch nieuws of andere partners binnen het cybersecurityteam van Foley: