Bijgewerkte CCPA-verordeningen goedgekeurd door het Californische bureau voor bestuursrecht

Het California Office of Administrative Law heeft zijn stempel van goedkeuring gegeven aan de bijgewerkte CCPA-regels die in juli 2025 zijn goedgekeurd door de California Privacy Protection Agency, en de herziene regels zullen nu worden gepubliceerd in de California Code of Regulations (CCR). De herziene regels omvatten nieuwe regels voor Automated Decision-Making Technology (ADMT), die meer omvat dan alleen het gebruik van kunstmatige intelligentie, risicobeoordelingen en cyberbeveiligingsaudits, samen met updates en verduidelijkingen van de bestaande regels op gebieden zoals privacyverklaringen, overeenkomsten met serviceproviders en andere wettelijke vereisten. De herziene regels bevatten ook nieuwe regels die alleen gericht zijn op verzekeringsmaatschappijen. 

Wijzigingen in de bestaande regelgeving worden van kracht op 1 januari 2026. Bepaalde nieuwe vereisten met betrekking tot ADMT, risicobeoordelingen en cyberbeveiligingsaudits hebben echter latere ingangsdata:

• De ingangsdata voor cyberbeveiligingsaudits zijn afhankelijk van de jaarlijkse omzet van een bedrijf, met nalevingsdata van 1 april 2028 voor bedrijven met een omzet van meer dan $100 miljoen, 1 april 2027 voor bedrijven met een omzet tussen $50 miljoen en $100 miljoen, en 1 april 2030 voor bedrijven met een omzet van minder dan $50 miljoen. 
• Bedrijven die volgens de herziene voorschriften een risicobeoordeling moeten uitvoeren, moeten op 1 januari 2026 met de naleving beginnen, maar hoeven pas op 1 april 2028 een verklaring in te dienen dat de risicobeoordeling is voltooid en een samenvatting van de bevindingen te geven. 
• Bedrijven die ADMT-technologie gebruiken om belangrijke beslissingen te nemen, hoeven pas op 1 januari 2027 aan de nieuwe ADMT-voorschriften te voldoen. 

Impact op bedrijven

Bedrijven moeten eraan worden herinnerd dat niet alle nieuwe voorschriften op hen van toepassing zullen zijn. Er zijn bepaalde drempels voor elk van de nieuwe ADMT-, risicobeoordelings- en cyberbeveiligingsauditregels om van toepassing te zijn. De ADMT-voorschriften zijn bijvoorbeeld alleen van toepassing als de ADMT (die, nogmaals, meer omvat dan alleen het gebruik van kunstmatige intelligentie en van toepassing kan zijn op andere, meer traditionele technologie) wordt gebruikt voor "belangrijke beslissingen" zoals gedefinieerd in de voorschriften. Bedrijven moeten nagaan welke van de nieuwe regels op hen van toepassing zijn (en op hen van toepassing kunnen zijn vanaf de toepasselijke ingangsdata) en indien nodig plannen maken voor naleving. 

Hoewel sommige ingangsdata nog meer dan 4 jaar op zich kunnen laten wachten (voor relatief kleine bedrijven die onder de cyberbeveiligingsauditvereisten vallen), kunnen sommige van de nieuwe voorschriften wat planning en middelen vergen die baat zouden hebben bij een vroege start. Aan de andere kant hebben relatief grote bedrijven (met een jaaromzet van meer dan $100 miljoen) waarschijnlijk een aanzienlijke informatietechnologie-infrastructuur, en de korte periode (minder dan 3 jaar) om de cyberbeveiligingsaudits te voltooien zal snel voorbijgaan. Dergelijke bedrijven zullen onmiddellijk middelen moeten inzetten om aan de deadlines te voldoen. 

De California Privacy Protection Agency (CPPA) kondigde vandaag aan dat het California Office of Administrative Law regelgeving heeft goedgekeurd met betrekking tot cyberbeveiligingsaudits, risicobeoordelingen, geautomatiseerde besluitvormingstechnologie (ADMT), verzekeringsmaatschappijen en updates van bestaande CCPA-regelgeving.

Bekijk artikel waarnaar wordt verwezen