Colorado joins California and Virginia in Passing a Comprehensive Privacy Law

Op 7 juli 2021 ondertekende Jared Polis, gouverneur van Colorado, de Colorado Privacy Act ("CPA"), waarmee Colorado na Californië en Virginia de derde staat werd die uitgebreide privacywetgeving invoerde. Op dezelfde dag bracht gouverneur Polis echter een verklaring uit gericht aan de Algemene Vergadering van Colorado, waarin hij beschreef dat er door de "haast om dit wetsvoorstel goed te keuren" een aantal kwesties nog onopgelost zijn gebleven en dat er in het komende wetgevingsjaar in Colorado aanvullende wetgeving nodig zal zijn. In de verklaring drong gouverneur Polis erop aan dat deze aanvullende wetgeving "het juiste evenwicht vindt tussen consumentenbescherming en het niet belemmeren van innovatie en de positie van Colorado als een topstaat om zaken te doen". Bovendien kan de procureur-generaal van Colorado vóór 1 januari 2025 regels vaststellen die de wet of de wijze waarop deze wordt gehandhaafd verder kunnen wijzigen. De wet zal dus waarschijnlijk zowel vóór als na de inwerkingtreding op 1 juli 2023 aanzienlijke wijzigingen ondergaan, waardoor organisaties die onder de wet vallen voor het dilemma komen te staan om nu al aan de naleving te werken of te wachten tot de wijzigingen zijn aangenomen en mogelijk op het laatste moment nog snel aan de naleving te voldoen.

Hoewel de huidige wet veel overeenkomsten vertoont met de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie en vergelijkbaar is met de uitgebreide privacywetgeving die in Californië en Virginia is aangenomen, zijn er enkele belangrijke verschillen. Daarom is naleving van de AVG of de privacywetgeving in Californië of Virginia niet noodzakelijkerwijs voldoende om te voldoen aan de huidige versie van de CPA.

DE CPA: WAT U MOET WETEN

• De CPA is van toepassing op bedrijven die zich bewust richten op consumenten in Colorado en die gegevens van ten minste 100.000 consumenten verzamelen en opslaan of inkomsten genereren uit de verkoop van gegevens van ten minste 25.000 consumenten. Opvallend is dat er geen omzetdrempel is.

• Bepaalde soorten gegevens zijn uitgesloten, waaronder arbeidsverleden, sollicitaties, persoonsgegevens die onder bepaalde federale of staatswetten vallen, zoals GLBA, en gegevens die beschikbaar zijn in openbare registers.

• Consumenten krijgen vijf belangrijke rechten onder de CPA: recht op toegang, recht om zich af te melden, recht op correctie, recht op verwijdering en recht op gegevensoverdraagbaarheid. Ze krijgen ook het recht om in beroep te gaan.

• Bedrijven hebben meerdere nieuwe verplichtingen, waaronder een plicht tot transparantie, een plicht om secundair gebruik te vermijden, een plicht tot gegevensminimalisatie, een zorgplicht met betrekking tot gegevensbeveiliging en een plicht om toestemming te verkrijgen voordat de gevoelige gegevens van een consument worden verwerkt.

• De CPA wordt gehandhaafd door de procureur-generaal en districtsprocureurs. Er is geen particulier recht van vordering.

• De wet treedt in werking op 1 juli 2023.

• De gouverneur van Colorado heeft de wetgevende macht al verzocht om de CPA te wijzigen, wat de verplichtingen en vereisten van de wet aanzienlijk kan veranderen.

WAT MOET JE DOEN OM JE VOOR TE BEREIDEN

Omdat de wetgeving aan verandering onderhevig is, moeten organisaties prioriteit geven aan de volgende activiteiten op basis van de benodigde middelen en de mogelijke herbruikbaarheid onder andere privacyregelingen of andere voordelen voor het bedrijf:

• Voer een gegevensmapping uit.

• Voer een privacy-effectbeoordeling uit.

• Als het bedrijf risicovolle verwerkingen uitvoert, schakel dan een cyberbeveiligingsauditor in.

• Beleid en procedures aanpassen om te voldoen aan de nieuwe wetgeving.

• Beleidsregels herzien en aanpassen of vaststellen om te voldoen aan consumentenrechten.

• Privacyverklaringen indien nodig herzien en aanpassen.

• Controleer en herzie of neem aanvullende bepalingen inzake gegevensverwerking op die aan de voorschriften voldoen.

Toepasselijkheid en vrijstellingen van CPA

De CPA zoals deze momenteel van kracht is, is van toepassing op elk bedrijf (een 'controller') dat 'zaken doet in Colorado of commerciële producten of diensten produceert of levert die opzettelijk gericht zijn op inwoners van Colorado' en aan een of beide van de volgende drempels voldoet:

De verwerkingsverantwoordelijke verwerkt of beheert persoonsgegevens van ten minste 100.000 consumenten in Colorado per jaar. Hoewel dit hoger is dan de drempel in Californië onder de CCPA, is het dezelfde drempel als in de nieuwe CPRA van Californië en de CDPA van Virginia.
De verwerkingsverantwoordelijke verwerkt of beheert persoonsgegevens van ten minste 25.000 consumenten in Colorado per jaar en haalt inkomsten uit of ontvangt korting op de prijs van goederen of diensten uit de verkoop van persoonsgegevens. In tegenstelling tot de CCPA en de Virginia CDPA kent de CPA geen procentuele drempel, en elke inkomsten of korting uit de verkoop van persoonsgegevens kan voldoende zijn, zelfs als deze minimaal is. Als deze drempel na eventuele wijzigingen blijft bestaan, zal de toepasselijkheid ervan waarschijnlijk een veelbesproken onderwerp worden in rechtszaken zodra de wet van kracht wordt.

In tegenstelling tot de Californische CPRA, maar net als de Virginia CDPA, kent ook de huidige CPA geen enkele vorm van omzetdrempel, waardoor bedrijven met hoge inkomstenstromen maar relatief minimale verwerking van persoonsgegevens niet alleen vanwege hun omzet onder de CPA vallen.

De huidige CPA is alleen van toepassing op informatie over consumenten, die worden gedefinieerd als inwoners van Colorado die uitsluitend in een individuele of huishoudelijke context handelen. De wet is niet van toepassing op informatie over personen die handelen in een commerciële of arbeidscontext (waaronder als sollicitant of als begunstigde van een andere persoon die in de arbeidscontext handelt). Daarentegen zullen zowel arbeids- als business-to-business-informatie onder de CPRA van Californië vallen zodra de tijdelijke uitsluitingen voor dit soort gegevens op 1 januari 2023 aflopen, tenzij de tijdelijke uitsluitingen worden verlengd of er een andere wet wordt aangenomen die deze informatie dekt.

De wet is van toepassing op de verwerking van "persoonsgegevens" door een verwerkingsverantwoordelijke, die in de wet worden gedefinieerd als "informatie die gekoppeld is aan of redelijkerwijs kan worden gekoppeld aan een geïdentificeerde of identificeerbare persoon". De definitie sluit echter expliciet geanonimiseerde informatie of openbaar beschikbare informatie uit. "Openbaar beschikbare informatie" is een iets bredere uitsluiting dan in wetten zoals de CPRA, en omvat niet alleen informatie die rechtmatig beschikbaar is gesteld uit overheidsdocumenten, maar ook informatie waarvan de verwerkingsverantwoordelijke redelijkerwijs mag aannemen dat de consument deze rechtmatig beschikbaar heeft gesteld aan het grote publiek. Dit omvat waarschijnlijk ook informatie die op sociale media is geplaatst, maar het is onduidelijk of informatie die op sociale media voor een beperkt publiek is geplaatst, als openbaar beschikbaar wordt beschouwd.

Bepaalde soorten entiteiten en bepaalde soorten categorieën zijn vrijgesteld van de vereisten van de CPA. Entiteiten die onder de Gramm-Leach-Bliley Act (GLBA) vallen, zijn vrijgesteld van de CPA. Hoewel de wet entiteiten die onder de HIPAA vallen niet volledig vrijstelt, worden wel verschillende andere soorten persoonsgegevens vrijgesteld die onder andere wet- en regelgeving vallen, waaronder gezondheidsgerelateerde informatie die onder de HIPAA als beschermde gezondheidsinformatie wordt beschouwd, bepaalde klinische onderzoeksgegevens en bepaalde informatie die onder de Fair Credit Reporting Act (FCRA), de Children's Online Privacy Protection Act (COPPA), de Family Educational Rights and Privacy Act (FERPA) en de Driver's Privacy Protection Act (DPPA).

Consumentenrechten

De CPA biedt consumenten in Colorado de volgende rechten met betrekking tot hun persoonsgegevens:

Recht op toegang. Consumenten hebben het recht om te bevestigen of een bedrijf hun persoonsgegevens verwerkt en om toegang te krijgen tot hun persoonsgegevens.
Recht om zich af te melden. Consumenten hebben het recht om zich af te melden voor de verwerking van hun persoonsgegevens voor gerichte reclame, de verkoop van persoonsgegevens of profilering ter ondersteuning van beslissingen die juridische of vergelijkbare gevolgen voor hen hebben.
Recht op correctie. Consumenten hebben het recht om onjuistheden in hun persoonsgegevens te corrigeren. Er moet echter rekening worden gehouden met de aard en het doel van de verwerking van de persoonsgegevens van de consument.
Recht op verwijdering. Consumenten hebben het recht om persoonlijke gegevens over zichzelf te verwijderen.
Recht op gegevensoverdraagbaarheid. Consumenten hebben het recht om hun persoonsgegevens tweemaal per jaar in een draagbaar formaat te verkrijgen. Deze gegevens moeten in een gemakkelijk bruikbaar formaat worden verstrekt, zodat de consument de gegevens zonder belemmeringen aan een andere entiteit kan doorgeven, voor zover dit technisch haalbaar is.
Recht op beroep. Bedrijven moeten binnen 45 dagen na ontvangst reageren op verzoeken van consumenten op grond van de CPA. Deze termijn kan met nog eens 45 dagen worden verlengd als de consument binnen de oorspronkelijke termijn van 45 dagen op de hoogte wordt gesteld en de verlenging redelijkerwijs noodzakelijk is. Als het bedrijf besluit geen gevolg te geven aan het verzoek van de consument, moet het de consument informeren over de manier waarop hij tegen het besluit in beroep kan gaan. De beroepsprocedure moet "duidelijk zichtbaar" en gemakkelijk te gebruiken zijn voor de consument.

Verwerkingsverantwoordelijken zijn verplicht om binnen 45 dagen na het verzoek te reageren, maar deze termijn kan onder bepaalde omstandigheden met nog eens 45 dagen worden verlengd. Verwerkingsverantwoordelijken zijn verplicht om de gevraagde informatie maximaal één keer per jaar kosteloos te verstrekken, maar kunnen kosten in rekening brengen voor aanvullende verzoeken binnen een periode van 12 maanden. Consumenten kunnen deze rechten uitoefenen door verzoeken in te dienen zoals beschreven in de privacyverklaring. Hoewel verwerkingsverantwoordelijken van consumenten niet kunnen eisen dat zij een nieuw account aanmaken om deze rechten uit te oefenen, kunnen zij wel eisen dat de consument zijn bestaande account gebruikt.

Zakelijke verplichtingen

Naast het feit dat consumenten hun rechten kunnen uitoefenen, legt de CPA ook meerdere nieuwe positieve verplichtingen op aan verwerkingsverantwoordelijken.

Transparantie. Verwerkingsverantwoordelijken moeten consumenten een duidelijke en zinvolle privacyverklaring verstrekken. De verklaring moet redelijk toegankelijk zijn en het volgende bevatten: (a) de categorieën persoonsgegevens die worden verzameld of verwerkt; (b) de doeleinden waarvoor de persoonsgegevens worden verwerkt; (c) een beschrijving van de hierboven beschreven rechten van de consument en hoe een consument deze kan uitoefenen; (d) de categorieën persoonsgegevens die met derden worden gedeeld; en (e) de categorieën derden met wie de persoonsgegevens worden gedeeld.
Gegevensminimalisatie. Verwerkingsverantwoordelijken moeten het verzamelen van persoonsgegevens beperken tot wat relevant en redelijkerwijs noodzakelijk is in verband met het gespecificeerde doel van de gegevensverwerking.
Beperking van het doel. Verwerkingsverantwoordelijken zijn verplicht om duidelijk en opvallend bekend te maken voor welke uitdrukkelijke doeleinden persoonsgegevens worden verzameld en verwerkt. Verwerkingsverantwoordelijken moeten eerst de toestemming van de consument verkrijgen voor het gebruik van persoonsgegevens die niet redelijkerwijs noodzakelijk of verenigbaar zijn met de bekendgemaakte doeleinden.
Zorgplicht. Verwerkingsverantwoordelijken moeten redelijke maatregelen nemen om persoonsgegevens tijdens opslag en gebruik te beveiligen tegen ongeoorloofde verwerving. De maatregelen voor gegevensbeveiliging moeten passend zijn voor de aard van de bedrijfsactiviteiten en de hoeveelheid en het type gegevens dat wordt verwerkt.
Onwettige discriminatie vermijden. Verwerkingsverantwoordelijken mogen geen persoonsgegevens verwerken die in strijd zijn met federale of staatswetten die onwettige discriminatie van consumenten verbieden.
Toestemming voor de verwerking van gevoelige gegevens. Verwerkingsverantwoordelijken moeten toestemming verkrijgen voordat zij gevoelige gegevens van een consument verwerken. Als gevoelige gegevens van een kind worden verwerkt, moet het bedrijf eerst toestemming verkrijgen van de ouder of wettelijke voogd van het kind. Gevoelige gegevens worden gedefinieerd als persoonsgegevens die informatie verschaffen over ras of etnische afkomst, religieuze overtuigingen, een mentale of fysieke gezondheidstoestand of diagnose, het seksleven of de seksuele geaardheid van een persoon, burgerschap of burgerschapsstatus, evenals genetische of biometrische gegevens die kunnen worden verwerkt om een persoon op unieke wijze te identificeren. Gevoelige gegevens omvatten ook persoonsgegevens van een bekend kind.
Verkoop van persoonsgegevens. Verwerkingsverantwoordelijken moeten duidelijk en opvallend bekendmaken dat zij persoonsgegevens verkopen of verwerken voor gerichte reclame, en moeten consumenten de mogelijkheid bieden om zich hiervoor af te melden.
Beoordelingen van gegevensbescherming voor verwerking met een hoog risico. Verwerkingsverantwoordelijken moeten een beoordeling van gegevensbescherming uitvoeren en documenteren als hun verwerkingsactiviteiten een verhoogd risico op schade voor een consument met zich meebrengen. Dergelijke activiteiten omvatten de verwerking van gevoelige gegevens, de verkoop van persoonsgegevens en gerichte reclame of profilering als de profilering bepaalde redelijkerwijs te verwachten risico's met zich meebrengt.
Verwerkers en gegevensverwerkingsovereenkomsten. Verwerkers zijn entiteiten die persoonsgegevens verwerken voor of namens verwerkingsverantwoordelijken. Verwerkers zijn verplicht om de instructies van de verwerkingsverantwoordelijke op te volgen. Bovendien zijn verwerkers ook verplicht om de verwerkingsverantwoordelijke te helpen bij het nakomen van zijn verplichtingen uit hoofde van de CPA, onder meer door passende maatregelen te nemen om te helpen bij het reageren op verzoeken van consumenten, het helpen nakomen van de verplichtingen inzake beveiliging en melding van inbreuken, en het verstrekken van de nodige informatie om gegevensbeschermingsbeoordelingen uit te voeren. Verwerkingsverantwoordelijken en verwerkers moeten een schriftelijke overeenkomst sluiten met voorwaarden die vergelijkbaar zijn met die van de AVG:
- Beschrijft het doel van de verwerking, de duur van de verwerking en de soorten persoonsgegevens die worden verwerkt;
- Vereist dat elke persoon die bij de verwerking betrokken is, onderworpen is aan een geheimhoudingsplicht;
- Vereist dat de verwerker alleen subverwerkers inzet op basis van een soortgelijk contract en dat de verwerker verantwoordelijkheid neemt voor eventuele subverwerkers;
- Beschrijft de toewijzing van verantwoordelijkheid voor veiligheidsmaatregelen;
- Vereist dat de verwerker de persoonsgegevens verwijdert of teruggeeft aan de verwerkingsverantwoordelijke, tenzij bewaring wettelijk verplicht is;
- Vereist dat de verwerker redelijke audits en inspecties door de verwerkingsverantwoordelijke of een externe auditor toestaat en hieraan meewerkt. Met toestemming van de verwerkingsverantwoordelijke kan de verwerker echter een onafhankelijke auditor inschakelen en het beleid en de beveiligingsnormen van de verwerker toetsen aan een passende en aanvaarde controlestandaard of -kader; en
- Vereist dat de verwerker alle informatie beschikbaar stelt die de verwerkingsverantwoordelijke nodig heeft om aan te tonen dat hij aan de voorschriften voldoet.

Handhaving

De CPA stelt expliciet dat er geen particulier recht van vordering bestaat voor consumenten. In plaats daarvan kan de CPA worden gehandhaafd door zowel de procureur-generaal als de officieren van justitie, die een vordering kunnen instellen namens de staat of namens personen die in de staat wonen. Tot 1 januari 2025 is de procureur-generaal verplicht om de organisatie 60 dagen de tijd te geven om een overtreding te herstellen, voordat hij of zij een vordering tegen de organisatie kan instellen. Deze herstelperiode loopt echter af op 1 januari 2025 en na die datum wordt geen herstelperiode meer toegekend.

Boetes

De wet specificeert geen wettelijke boetes. Een overtreding van de CPA wordt echter beschouwd als een misleidende handelspraktijk, die kan worden bestraft met boetes tot $ 2.000 per overtreding (tot $ 500.000) op grond van de Colorado Consumer Protection Act voor acties van de procureur-generaal, en met een minimum van $ 500 voor acties van individuele consumenten. Het is onduidelijk of consumenten in Colorado zullen proberen de Colorado Consumer Protection Act te gebruiken als achterdeur om overtredingen van de CPA aan te vechten, zoals ze in Californië hebben gedaan.

Conclusies

Hoewel de huidige versie van de CPA aanzienlijke verplichtingen oplegt aan organisaties die mogelijk onder de nieuwe wet vallen, zullen organisaties die hebben gewerkt of werken aan naleving van de Californische CCPA of CPRA of de AVG, aanzienlijke overlap zien in die inspanningen en het beleid en de procedures die op grond van die wetten zijn aangenomen. Organisaties die niet onderworpen zijn geweest aan andere soortgelijke privacywetten, zoals die in Californië, Virginia of Europa, zullen echter mogelijk aanzienlijke middelen moeten inzetten om aan de wet te voldoen. Door de onzekerheid rond de wet als gevolg van het verzoek van gouverneur Polis om wijzigingen, kunnen bedrijven nog niet aan de slag om aan de wet te voldoen. Omdat de wet nog kan worden gewijzigd, moeten organisaties prioriteit geven aan de volgende activiteiten, die waarschijnlijk veel tijd in beslag zullen nemen en die kunnen worden hergebruikt in andere privacyregelingen of die algemeen toepasbaar zijn op een volwassen privacyprogramma:

Voer een datamapping uit om inzicht te krijgen in de soorten gegevens die de organisatie opslaat, de doeleinden waarvoor ze worden gebruikt en of alle gegevens nodig zijn.
Voer een privacy-effectbeoordeling uit.
Begin met het inschakelen van onafhankelijke cybersecurity-auditbedrijven voor risicovolle verwerkingen.
Werk het beleid en de procedures bij om te voldoen aan de nieuwe vereisten en verplichtingen van de CPA.
Begin met het ontwikkelen van bedrijfsprocessen zodat consumenten hun nieuwe rechten kunnen uitoefenen.
Zorg ervoor dat de organisatie beschikt over een redelijk toegankelijke, duidelijke en zinvolle privacyverklaring die voldoet aan de vereisten van de CPA.
Bekijk de zakelijke relaties met externe gegevensverwerkers om inzicht te krijgen in de rol van elke partij en mogelijke vereisten.
Stel aanvullingen op het gebied van gegevensprivacy op en neem deze aan met de clausules die vereist zijn onder de CPA voor gebruik bij het aangaan van contracten met derden.

Voor meer informatie over de Colorado Privacy Act en de vereisten daarvan kunt u contact opnemen met een van de hieronder vermelde auteurs of met een van de kernleden van de cybersecuritypraktijk van Foley, zoals de partners of senior adviseurs.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.

[email protected]

San Diego 858.847.6737

Een man in pak en roze stropdas glimlacht naar de camera tegen een wazige binnenachtergrond, wat de professionaliteit van advocaten in Chicago weerspiegelt.

[email protected]

Boston 617.226.3149

Verwante inzichten

Bekijk alle berichten

January 15, 2026 The Path & The Practice

Special Episode: Alexis Robertson and Dan Sharpe talk advice to new Big Law associates

In this special edition of The Path & The Practice, Alexis is joined by Dan Sharpe, DEI Manager at Foley & Lardner, for a conversation focused on advice to new associates. Based on their years of legal practice and their experience working in law firm talent development and DEI, they cover a variety of topics including time entry, meeting deadlines, responsiveness, and office presence.

14 januari 2026 De huidige gezondheidszorgwetgeving

Het AI-voordeel beschermen: waarom octrooien een cruciaal instrument zijn voor groei en risicobeheer voor digitale gezondheidsplatforms

Voor CEO's, algemeen juridisch adviseurs en CTO's is het niet langer de vraag of octrooien belangrijk zijn. De vraag is of het bedrijf een...

13 januari 2026 Foley Standpunten

Recente IRS-richtlijnen over belastingverdragsvoordelen voor buitenlandse omgekeerde hybride entiteiten met betrekking tot filiaalwinsten

De Amerikaanse belastingdienst IRS heeft onlangs een Chief Counsel Advice Memorandum (AM 2025-002) (het CCA) uitgegeven met nuttige richtlijnen over de toepassing van de branch profits tax (BPT) in verband met reverse foreign hybrid (RFH)-entiteiten en Amerikaanse belastingverdragen met andere landen.

Populaire zoekopdrachten

Colorado sluit zich aan bij Californië en Virginia en keurt een uitgebreide privacywet goed