Californië keurt de California Age-Appropriate Design Code Act goed

Op 15 september 2022 heeft Gavin Newsom, gouverneur van Californië, de California Age-Appropriate Design Code Act (CAADCA) AB 2273 ondertekend, die op 1 juli 2024 van kracht wordt en bedoeld is om het welzijn, de gegevens en de privacy van kinderen die online platforms gebruiken te beschermen. Bedrijven die onder de California Privacy Rights Act van 2020 (CPRA) vallen, moeten de vereisten van de CAADCA nauwkeurig bestuderen om te bepalen welke maatregelen voor gegevensbescherming moeten worden bijgewerkt, aangezien de nieuwe wet een uitbreiding is van bestaande wetten ter bescherming van minderjarigen, zoals de California's Parent's Accountability and Child Protection Act en de Children's Online Privacy Protection Act (COPPA) onder de federale wetgeving. De wet heeft geen terugwerkende kracht, maar bedrijven moeten wel een effectbeoordeling van hun diensten uitvoeren voordat de wet van kracht wordt. Hoewel veel bedrijven onverwacht onder de werkingssfeer van de CAADCA kunnen vallen, zijn sociale-mediabedrijven en gamingbedrijven, samen met bedrijven die al onder de COPPA vallen, de grootste organisaties die waarschijnlijk door de wet zullen worden beïnvloed.

Toepasselijkheid

CPRA Onderwerp Bedrijf

De CAADCA "bevordert de doelstellingen en intenties van de [CPRA]" en is daarom alleen van toepassing op bedrijven die onder de CPRA vallen. De CAADCA is met name van toepassing op bedrijven die "een online dienst, product of functie aanbieden die waarschijnlijk door kinderen" jonger dan 18 jaar wordt gebruikt. Alle niet-gedefinieerde termen worden gedefinieerd overeenkomstig de CPRA, en onder de CPRA wordt een onder de wet vallend bedrijf gedefinieerd als een "winstgevende entiteit die zaken doet in Californië, persoonlijke informatie van inwoners van Californië verzamelt en aan specifieke drempelcriteria voldoet".¹

"Waarschijnlijk toegankelijk voor kinderen."

Om dit doel te bereiken, creëert de CAADCA nieuwe wettelijke verplichtingen met betrekking tot online producten en diensten die "waarschijnlijk door kinderen" onder de 18 jaar worden gebruikt. Een online dienst, product of functie wordt "waarschijnlijk door kinderen gebruikt" op basis van bepaalde indicatoren, waaronder:

• Het is "gericht op kinderen", zoals gedefinieerd door COPPA.
• Er is vastgesteld dat een aanzienlijk aantal kinderen er regelmatig toegang toe heeft (op basis van competent en betrouwbaar bewijs met betrekking tot de samenstelling van het publiek).
• Het bevat advertenties die op kinderen zijn gericht.
• Het is in wezen vergelijkbaar met of hetzelfde als een online dienst, product of functie die regelmatig door een aanzienlijk aantal kinderen wordt gebruikt.
• Het bevat ontwerpelementen waarvan bekend is dat ze interessant zijn voor kinderen (waaronder, maar niet beperkt tot, spelletjes, tekenfilms, muziek en beroemdheden die kinderen aanspreken).
• Op basis van intern onderzoek van het bedrijf is vastgesteld dat een aanzienlijk deel van het publiek van de online dienst, het product of de functie uit kinderen bestaat.

Hoewel de CAADCA verwijst naar COPPA, hanteert de CAADCA een veel bredere norm. Met name definieert de CAADCA het begrip 'kind' ruimer dan COPPA. Terwijl COPPA 'kind' definieert als een persoon jonger dan 13 jaar, definieert de CAADCA 'kind' als een consument jonger dan 18 jaar. Bovendien legt de CAADCA een aantal eisen op aan bedrijven die onder de wet vallen, die niet zijn opgenomen in COPPA.

Vereisten die door de CAADCA aan gedekte bedrijven worden opgelegd

Naast andere verplichtingen vereist de CAADCA dat de betrokken bedrijven alle volgende maatregelen nemen:

• Opstellen van een gegevensbeschermingseffectbeoordeling. Bedrijven die momenteel online producten en diensten aanbieden die "waarschijnlijk door kinderen worden gebruikt", moeten vóór 1 juli 2024 een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Na 1 juli 2024 moeten de betrokken bedrijven een DPIA uitvoeren voordat nieuwe functies of online producten en diensten die waarschijnlijk door kinderen worden gebruikt, aan het publiek kunnen worden aangeboden. De DPIA moet het doel van de online dienst, het product of de functie identificeren, aangeven hoe het persoonlijke gegevens van kinderen gebruikt en de risico's van materiële schade voor kinderen als gevolg van het gegevensbeheer van het bedrijf beschrijven. De DPIA moet om de twee jaar worden herzien en op schriftelijk verzoek binnen vijf werkdagen aan de procureur-generaal van Californië worden verstrekt.
• Stel standaard privacy in. Een bedrijf dat onder de CAADCA valt, moet alle standaard privacyinstellingen voor kinderen zo configureren dat een hoog niveau van privacy wordt geboden, tenzij het bedrijf een dwingende reden kan aantonen waarom een andere instelling in het belang van kinderen is.
• Schatting en aanpassing van producten op basis van leeftijd. Onder de CAADCA moeten bedrijven de leeftijd van kindgebruikers schatten met een redelijke mate van zekerheid die past bij de risico's die voortvloeien uit de gegevensbeheerpraktijken van het bedrijf, of de privacy- en gegevensbescherming die aan kinderen wordt geboden, toepassen op alle consumenten.
• Zorg voor een duidelijk privacybeleid en duidelijke voorwaarden. De CAADCA verplicht bedrijven om privacyinformatie, servicevoorwaarden, beleidsregels en communitynormen op een beknopte manier en in duidelijke taal te verstrekken, afgestemd op de leeftijd van de kinderen die waarschijnlijk gebruik zullen maken van de online dienst, het product of de functie.
• Rechten uitoefenen toestaan. Bedrijven moeten opvallende, toegankelijke en responsieve hulpmiddelen bieden om kinderen, ouders of voogden te helpen hun privacyrechten uit te oefenen en hun bezorgdheden te melden.
• Geef duidelijk aan wanneer er sprake is van tracking. Als de online dienst, het product of de functie de ouders, voogd, andere consumenten of het bedrijf zelf in staat stelt om de online activiteiten van het kind te volgen of de locatie van het kind te traceren, moet er een duidelijk signaal aan het kind worden gegeven wanneer het kind wordt gevolgd of getraceerd.

Beperkingen voor een gedekt bedrijf

De CAADCA beperkt ook bedrijven die online diensten, producten of functies aanbieden die waarschijnlijk door kinderen worden gebruikt, in het nemen van de volgende maatregelen:

• Het gebruik van persoonlijke informatie van een kind "op een manier waarvan het bedrijf weet of reden heeft om te weten dat dit ernstig schadelijk is voor de lichamelijke gezondheid, geestelijke gezondheid of het welzijn van een kind".
• Maak geen profiel aan van een kind, tenzij dit noodzakelijk is om de online dienst of functie te kunnen leveren of het bedrijf een dwingende reden kan aantonen dat het maken van het profiel in het belang van het kind is.
• Het verzamelen, verkopen of openbaar maken van nauwkeurige geolocatiegegevens, tenzij dit strikt noodzakelijk is.
• Donkere patronen gebruiken om kinderen aan te moedigen persoonlijke informatie te verstrekken
• Meer informatie bewaren dan nodig is of verzamelde informatie gebruiken voor andere doeleinden dan het schatten van de leeftijd

Mogelijke sancties

Hoewel de CAADCA geen particulier recht van vordering creëert, staat de CAADCA de procureur-generaal toe om elk bedrijf dat deze wet overtreedt te onderwerpen aan een civielrechtelijke boete, waaronder:

• Tot $ 2.500 per getroffen kind voor nalatige overtredingen, en
• Tot $ 7.500 per getroffen kind voor opzettelijke overtredingen van de wet.

Voor bedrijven die in aanzienlijke mate aan de voorschriften voldoen, zal de procureur-generaal echter voorafgaand aan het instellen van een procedure een schriftelijke kennisgeving aan het bedrijf sturen en het bedrijf 90 dagen vanaf die kennisgeving de tijd geven om eventuele overtredingen te herstellen.

Volgende stappen voor bedrijven in Californië

De CAADCA legt bedrijven die onder deze wet vallen aanzienlijke nieuwe verplichtingen en beperkingen op met betrekking tot informatie over kinderen. Hoewel de CAADCA bedrijven tot 1 juli 2024 de tijd geeft om aan de wet te voldoen, moeten bedrijven in Californië

• Bepaal of hun online producten en diensten waarschijnlijk door kinderen zullen worden gebruikt. Hiervoor kan marktonderzoek nodig zijn naar hun huidige of toekomstige gebruikers van hun producten volgens de bovenstaande criteria.
• Bereid een DPIA voor en voer deze uit. Voor veel bedrijven kan dit een gegevensmapping vereisen om inzicht te krijgen in wat zij doen met gegevens over kinderen jonger dan 18 jaar. Bedrijven moeten ook het doel evalueren en documenteren van elke online dienst, elk online product of elke online functie die waarschijnlijk door kinderen wordt gebruikt, evenals de risico's die gepaard gaan met de verwerking van gegevens over kinderen.
• Bekijk hun beleid en procedures zorgvuldig en begin met het plannen van de nodige wijzigingen om naleving te garanderen. Bedrijven die onder de wet vallen, zullen waarschijnlijk de standaardprivacyinstellingen moeten aanpassen om standaard een hoog niveau van privacy te bieden en de producten moeten afstemmen op de leeftijdsgroepen die in de CAADCA zijn gedefinieerd. Bedrijven moeten er ook voor zorgen dat ze zich niet bezighouden met een van de hierboven genoemde verboden activiteiten en moeten vooral letten op onbedoelde dark patterns.
• Privacybeleid en voorwaarden bijwerken. Bedrijven moeten de bewoordingen in hun privacybeleid en voorwaarden aanpassen op basis van de leeftijdsgroepen die waarschijnlijk gebruik zullen maken van hun online dienst, product of functie.
• Implementeer nieuwe volgsignalen. De CAADCA vereist dat het bedrijf kinderen een duidelijk signaal geeft wanneer ze worden gevolgd.
• Leef de consumentenrechten na. Bedrijven moeten ervoor zorgen dat kinderen en hun ouders of voogden op een gemakkelijke manier hun privacyrechten kunnen uitoefenen of hun bezorgdheden kunnen melden.

Voor meer informatie over CAADCA of voor hulp bij het voorbereiden van de naleving van CAADCA kunt u contact opnemen met een van de auteurs of een partner of senior adviseur vanhet Cybersecurity and Data Privacy-team van Foley.