New Jersey Passes Comprehensive Privacy Law to Lead the 2024 Wave of State Privacy Laws

Op 16 januari 2024 ondertekende Phil Murphy, gouverneur van New Jersey, Senaatswet (SB) 332, waarmee de wet op de privacy van consumentengegevens van New Jersey, de New Jersey Data Privacy Act (NJDPA), werd vastgesteld. Deze wet treedt op 15 januari 2025 in werking. Met deze wetgeving is New Jersey de eerste staat die in 2024 uitgebreide privacywetgeving invoert, en sluit het zich aan bij 13 andere staten met soortgelijke wetten. Nu de wetgeving op federaal niveau voorlopig is vastgelopen, symboliseert de NJDPA een groeiende nationale focus op het versterken van de bescherming van persoonlijke gegevens van consumenten op staatsniveau.

Hoewel de NJDPA veel overeenkomsten vertoont met andere uitgebreide privacywetten van staten, zoals de California Privacy Rights Act (CPRA), Colorado Privacy Act (CPA) en Virginia Consumer Data Protection Act (CDPA), zijn er ook belangrijke verschillen. Daarom is naleving van bestaande wetten inzake de privacy van consumentengegevens mogelijk niet voldoende om aan de vereisten van de NJDPA te voldoen, en moeten bedrijven ervoor zorgen dat ze voldoen aan de specifieke vereisten en benaderingen van elke staat.

Toepasselijkheid en vrijstellingen

Criteria voor toepasselijkheid

De NJDPA is van toepassing op elk bedrijf (verwerkingsverantwoordelijke) dat "zaken doet in New Jersey of producten of diensten produceert die gericht zijn op inwoners van New Jersey" en dat gedurende een kalenderjaar aan een van de volgende drempels voldoet:

Beheert of verwerkt de persoonsgegevens van 100.000 of meer consumenten in New Jersey (met uitzondering van gegevens die uitsluitend worden beheerd of verwerkt met het oog op het voltooien van een betalingstransactie), of
Beheert of verwerkt de persoonsgegevens van 25.000 of meer consumenten in New Jersey en genereert inkomsten of ontvangt korting op de prijs van goederen of diensten uit de verkoop van persoonsgegevens.

Opvallend is dat, net als de CPA van Colorado, de NJDPA geen omzetdrempel vaststelt voor het percentage van de omzet dat een bedrijf uit de verkoop van gegevens moet halen. De meeste andere huidige privacywetten van de staat zijn over het algemeen alleen van toepassing als het bedrijf tussen 25% en 50% van zijn jaarlijkse inkomsten uit de verkoop van persoonsgegevens haalt. Bovendien houdt de toepasselijkheid onder de NJDPA geen enkele vorm van inkomstenlimiet in, wat betekent dat bedrijven die slechts in beperkte mate persoonsgegevens verwerken, mogelijk niet onder de wet vallen, zelfs als ze hoge inkomsten hebben.

Persoonlijke gegevens

De NJDPA is van toepassing op de verwerking van "persoonsgegevens" door een bedrijf of "verwerkingsverantwoordelijken", gedefinieerd als "informatie die gekoppeld is of redelijkerwijs gekoppeld kan worden aan een geïdentificeerde of identificeerbare persoon". Persoonsgegevens sluiten expliciet geanonimiseerde gegevens en openbaar beschikbare gegevens uit.

Consumentengegevens versus commerciële gegevens

Belangrijk is dat de NJDPA een duidelijk onderscheid maakt tussen consumentengegevens en arbeids- of commerciële gegevens. De NJDPA is alleen van toepassing op informatie over "consumenten", die worden gedefinieerd als inwoners van New Jersey die alleen in een individuele of huishoudelijke context handelen. De NJDPA is dus, net als de meeste privacywetten van andere staten, met uitzondering van de CPRA van Californië, niet van toepassing op informatie over personen die in een commerciële of werkgerelateerde context handelen, bijvoorbeeld als sollicitant of als begunstigde van een andere persoon die in een werkgerelateerde context handelt.

Vrijstellingen

De NJDPA bevat veel inmiddels gangbare uitzonderingen, waaronder overheidsinstanties en gegevens die worden gereguleerd door de Health Insurance Portability and Accountability Act (HIPAA), de Gramm-Leach-Bliley Act (GLBA) en de Fair Credit Reporting Act (FCRA). De NJDPA bevat echter geen uitzondering voor entiteiten die onder de HIPAA vallen of voor gegevens die worden verwerkt door non-profitorganisaties of instellingen voor hoger onderwijs (of onderwijsgegevens die onder de FERPA vallen).

Bovendien sluit de definitie van persoonsgegevens in de NJDPA, zoals hierboven vermeld, expliciet geanonimiseerde en openbaar beschikbare gegevens uit. De benadering van geanonimiseerde gegevens in de NJDPA is vergelijkbaar met die van de Virginia CDPA, waarbij de verwerkingsverantwoordelijke zich "publiekelijk moet verbinden" om de gegevens geanonimiseerd te houden en alle ontvangers van de gegevens contractueel moet verplichten om zich hieraan te houden. Als zodanig moeten bedrijven die onder de NJDPA vallen, mogelijk contracten met betrekking tot het delen van geanonimiseerde gegevens herzien en aanpassen. De definitie van "openbaar beschikbare informatie" in de NJDPA is ook breder dan in wetten zoals de CPRA, en omvat niet alleen informatie die rechtmatig beschikbaar is gesteld uit overheidsdocumenten, maar ook informatie waarvan de verwerkingsverantwoordelijke redelijkerwijs mag aannemen dat deze door de consument rechtmatig beschikbaar is gesteld aan het grote publiek.

Zakelijke verplichtingen

De NJDPA legt verschillende verplichtingen op aan verwerkers van persoonsgegevens. Deze verplichtingen zijn bedoeld om ervoor te zorgen dat bedrijven op een verantwoordelijke en transparante manier omgaan met persoonsgegevens.

Transparantie

Net als bij andere wetten inzake de bescherming van persoonsgegevens van consumenten, moeten verwerkingsverantwoordelijken consumenten een privacyverklaring verstrekken die redelijk toegankelijk, duidelijk en begrijpelijk is. De privacyverklaring moet de volgende informatie bevatten:

– Categorieën van verwerkte persoonsgegevens.

– Doeleinden voor de verwerking van persoonsgegevens.

– Categorieën van derden aan wie gegevens worden verstrekt.

– Hoe consumenten hun wettelijke rechten kunnen uitoefenen (zie Consumentenrechten hieronder).

– Methoden om consumenten op de hoogte te brengen van belangrijke wijzigingen in de privacyverklaring.

– Een actieve elektronische contactmethode voor vragen.

Als een verwerkingsverantwoordelijke persoonsgegevens aan derden verkoopt of persoonsgegevens verwerkt voor gerichte reclame of profilering, moet de privacyverklaring duidelijk en opvallend melding maken van dergelijke verkoop of verwerking. Ook moet worden uitgelegd hoe een consument zich kan afmelden voor dergelijke verkoop of verwerking. Het is verwerkingsverantwoordelijken verboden om consumenten te discrimineren omdat zij zich hebben afgemeld voor verwerking met het oog op verkoop, gerichte reclame of profilering.

Universeel opt-outmechanisme

Zes maanden na de inwerkingtreding van de NJDPA moet elke verwerkingsverantwoordelijke die persoonsgegevens verwerkt voor gerichte reclame, de verkoop van persoonsgegevens of profilering, consumenten de mogelijkheid bieden om zich via een door de gebruiker geselecteerd universeel opt-outmechanisme af te melden voor een dergelijke verwerking. Californië en Colorado hebben het gebruik van het General Privacy Control (GPC)-browsersignaal voor dit doel al goedgekeurd.

Toestemming verkrijgen voor bepaalde verwerkingen

Verwerkingsverantwoordelijken moeten uitdrukkelijke toestemming (via een opt-in) verkrijgen voordat zij gevoelige gegevens verwerken. Dit omvat financiële informatie (waaronder het rekeningnummer van een consument, de inloggegevens voor een rekening, financiële rekeningen of creditcard- of debetkaartnummers, in combinatie met eventuele vereiste beveiligingscodes, toegangscodes of wachtwoorden die toegang tot de financiële rekening van een consument mogelijk maken); informatie die ras of etnische afkomst, religieuze overtuigingen, mentale of fysieke gezondheidstoestand, behandeling of diagnose onthult; seksleven of seksuele geaardheid; burgerschap of immigratiestatus; status als transgender of non-binair; genetische of biometrische gegevens die kunnen worden verwerkt om een persoon op unieke wijze te identificeren; of nauwkeurige geolocatiegegevens.

Verwerkingsverantwoordelijken moeten ook toestemming verkrijgen voordat zij persoonsgegevens verwerken van (i) minderjarigen jonger dan 13 jaar (en moeten de gegevens verwerken in overeenstemming met de federale Children's Online Privacy Protection Act (COPPA)); en (ii) minderjarigen van 13 tot 16 jaar voor gerichte reclame, de verkoop van de persoonsgegevens van de consument of profilering ter ondersteuning van beslissingen die juridische of vergelijkbare belangrijke gevolgen hebben voor een consument.

Beoordeling van gegevensbescherming

De NJDPA (vergelijkbaar met de Colorado CPA) verbiedt verwerkingsverantwoordelijken om gegevens te verwerken die een "verhoogd risico op schade" voor consumenten inhouden zonder eerst een gegevensbeschermingsbeoordeling uit te voeren en te documenteren. De term "verhoogd risico op schade" wordt gedefinieerd als:

Verwerking van persoonsgegevens voor profilering of gerichte reclame
De "verkoop" van persoonsgegevens
Verwerking van "gevoelige gegevens"
Verwerking van persoonsgegevens voor profilering indien deze profilering een redelijkerwijs te verwachten risico inhoudt van:
- Oneerlijke of misleidende behandeling van consumenten, of onwettige ongelijke gevolgen voor consumenten
- Financiële of fysieke schade voor consumenten
- Een fysieke of andere inbreuk op de eenzaamheid of afzondering, of de privézaken of -aangelegenheden van consumenten, indien de inbreuk voor een redelijk persoon beledigend zou zijn.
- Andere aanzienlijke schade voor consumenten.

Contracten met verwerkers

Net als bij andere wetten inzake de bescherming van persoonsgegevens van consumenten, moeten verwerkingsverantwoordelijken contracten met bepaalde voorwaarden sluiten met verwerkers die voldoen aan de verplichtingen van de NJDPA.

Consumentenrechten

Net als andere wetten inzake de bescherming van persoonsgegevens van consumenten, geeft de NJDPA consumenten het recht om te controleren of een bedrijf hun persoonsgegevens verwerkt en om toegang te krijgen tot hun persoonsgegevens, onjuistheden in hun persoonsgegevens te corrigeren, persoonsgegevens te laten verwijderen en hun persoonsgegevens twee keer per jaar in een overdraagbaar formaat te verkrijgen. Consumenten hebben het recht om zich af te melden voor de verwerking van hun persoonsgegevens voor (a) gerichte reclame, (b) de verkoop van persoonsgegevens, of (c) profilering ter ondersteuning van beslissingen die juridische of vergelijkbare belangrijke gevolgen voor hen hebben.

Verwerkingsverantwoordelijken zijn verplicht om binnen 45 dagen na ontvangst van een verzoek inzake consumentenrechten te reageren, met een extra verlenging van 45 dagen onder bepaalde omstandigheden. Verwerkingsverantwoordelijken zijn ook verplicht om te reageren en de gevraagde informatie maximaal één keer per jaar kosteloos te verstrekken, maar mogen kosten in rekening brengen voor aanvullende verzoeken binnen een periode van 12 maanden.

Handhaving

De NJDPA voorziet niet in een particulier vorderingsrecht voor consumenten. In plaats daarvan zal de NJDPA, net als veel andere staatswetten inzake de bescherming van persoonsgegevens van consumenten, uitsluitend worden gehandhaafd door de procureur-generaal van New Jersey. Gedurende de eerste 18 maanden na de inwerkingtreding van de wet krijgen verwerkingsverantwoordelijken een termijn van 30 dagen om eventuele overtredingen te herstellen. Als de verwerkingsverantwoordelijke er niet in slaagt om een overtreding binnen die termijn te herstellen, kan de procureur-generaal handhavingsmaatregelen nemen.

De afdeling Consumentenzaken kan voorschriften vaststellen om de NJDPA ten uitvoer te leggen.

Boetes

De NJDPA specificeert geen wettelijke boetes. Een overtreding van de NJDPA vormt echter een overtreding van de New Jersey Consumer Fraud Act, wat kan leiden tot boetes van maximaal 10.000 dollar voor de eerste overtreding en maximaal 20.000 dollar voor volgende overtredingen.

Gevolgen voor bedrijven

De NJDPA is de eerste van vele wetten die naar verwachting in 2024 zullen worden toegevoegd aan het groeiende lappendeken van sectorspecifieke en staatsspecifieke privacywetten. Daarom is het van cruciaal belang dat organisaties die mogelijk onder de nieuwe wetten vallen, proactieve maatregelen nemen om ervoor te zorgen dat ze aan de naleving werken. Voor organisaties die al voldoen aan of momenteel werken aan naleving van reeds van kracht zijnde wetten inzake de privacy van consumentengegevens, zoals de CPRA van Californië, de CPA van Colorado of de CDPA van Virginia, zal er waarschijnlijk een aanzienlijke overlap zijn tussen die inspanningen en het beleid en de procedures die overeenkomstig die wetten zijn aangenomen. Organisaties die niet onderworpen zijn geweest aan andere soortgelijke privacywetten, zullen echter waarschijnlijk aanzienlijke middelen moeten inzetten om naleving te garanderen. Daarom moeten organisaties prioriteit geven aan de volgende activiteiten om naleving te garanderen en de nalevingslast in de toekomst te verlichten:

Voer een gegevensmapping uit om inzicht te krijgen in de soorten gegevens die de organisatie verwerkt en bewaart, de doeleinden waarvoor de gegevens worden gebruikt en of alle gegevens nodig zijn.
Voer een privacy-effectbeoordeling uit.
Begin met het inschakelen van onafhankelijke cyberbeveiligingsauditors voor de verwerking van "verhoogd risico op schade".
Werk het beleid en de procedures bij om te voldoen aan de nieuwe vereisten en verplichtingen van de NJDPA.
Begin met het ontwikkelen van bedrijfsprocessen zodat consumenten hun nieuwe rechten kunnen uitoefenen.
Zorg ervoor dat de organisatie beschikt over een redelijk toegankelijke, duidelijke en zinvolle privacyverklaring die voldoet aan de vereisten van de NJDPA.
Bekijk de zakelijke relaties met externe gegevensverwerkers om inzicht te krijgen in de rol van elke partij en mogelijke vereisten.

Voor meer informatie over de New Jersey Data Privacy Act en de vereisten daarvan, of voor hulp bij naleving, kunt u contact opnemen met een van de auteurs of een van de partners of senior adviseurs van Foley's afdeling Cybersecurity en gegevensprivacy.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.