De California Consumer Privacy Act (CCPA), vastgelegd in Cal. Civ. Code sections 1798.100 tot en met 1798.199.100, heeft fundamenteel veranderd hoe bedrijven moeten omgaan met de persoonlijke informatie van inwoners van Californië. Zoals gewijzigd door de California Privacy Rights Act (CPRA) in 2023, legt de wet specifieke eisen op voor privacybeleid die veel verder gaan dan waar veel bedrijven aan gewend zijn. Als uw website persoonlijke informatie verzamelt van Californische consumenten, moet uw privacybeleid voldoen aan gedetailleerde wettelijke normen of aanzienlijke handhavingsacties riskeren. Deze gids legt precies uit wat de CCPA vereist en hoe u uw privacybeleid in overeenstemming brengt.
Wie moet voldoen aan de CCPA
De CCPA is niet op elk bedrijf van toepassing. De wet richt zich op commerciële entiteiten die zaken doen in Californië en voldoen aan ten minste een van de drie drempels vastgesteld in Cal. Civ. Code section 1798.140(d):
1. Jaarlijkse bruto-omzet van meer dan 25 miljoen dollar. Deze drempel is van toepassing op de wereldwijde omzet van het bedrijf, niet alleen op inkomsten uit Californische activiteiten. Als uw bedrijf jaarlijks meer dan 25 miljoen dollar genereert uit welke bron dan ook, is de CCPA van toepassing op uw verwerking van gegevens van Californische consumenten.
2. Kopen, verkopen of delen van persoonlijke informatie van 100.000 of meer consumenten of huishoudens. Deze drempel is verhoogd van 50.000 naar 100.000 onder de CPRA-wijzigingen. Aangezien “persoonlijke informatie” onder de CCPA IP-adressen, apparaat-ID’s en browsegeschiedenis omvat, kunnen veel online bedrijven met matig Californisch verkeer dit aantal bereiken zonder het te beseffen.
3. 50% of meer van de jaaromzet halen uit de verkoop of het delen van persoonlijke informatie. Gegevensmakelaars en reclame-afhankelijke bedrijven vallen vaak in deze categorie.
Zelfs als uw bedrijf niet in Californië is gevestigd, moet u voldoen als u een van deze drempels bereikt en persoonlijke informatie verzamelt van inwoners van Californië. Het extraterritoriale bereik van de CCPA betekent dat een e-commercebedrijf in Amsterdam of een SaaS-bedrijf in Rotterdam onderworpen kan zijn aan de Californische privacywetgeving.
Voor Nederlandse bedrijven die ook aan de AVG onderworpen zijn, is het essentieel om de verschillen tussen beide kaders te begrijpen. De Autoriteit Persoonsgegevens (AP) handhaaft de AVG in Nederland, aangevuld door de Uitvoeringswet AVG (UAVG), met vereisten die op verschillende punten afwijken van de CCPA.
Wat uw CCPA-privacybeleid moet vermelden
De CCPA stelt specifieke informatieverplichtingen vast in Cal. Civ. Code sections 1798.100(a) en 1798.130(a). Uw privacybeleid moet de volgende elementen bevatten:
Categorieën van verzamelde persoonlijke informatie. U moet de categorieën persoonlijke informatie vermelden die u in de afgelopen 12 maanden heeft verzameld. De CCPA definieert 12 categorieën onder section 1798.140(v), waaronder identificatoren (naam, e-mail, IP-adres), commerciële informatie (aankoopgeschiedenis), internetactiviteit (browsegeschiedenis, zoekgeschiedenis), geolocatiegegevens en professionele of werkgerelateerde informatie.
Doeleinden van verzameling. Vermeld voor elke categorie persoonlijke informatie het zakelijke doel waarvoor deze is verzameld. Vage verklaringen als “om onze diensten te verbeteren” zijn onvoldoende. U moet specifiek zijn: “om bestellingen te verwerken en leveringen uit te voeren”, “om gerichte reclame te tonen op basis van surfgedrag”, “om beveiligingsincidenten te detecteren”.
Categorieën van derden met wie informatie wordt gedeeld. Als u persoonlijke informatie deelt met derden, vermeld de categorieën ontvangers: reclamenetwerken, analyseleveranciers, betalingsverwerkers, cloudhostingdiensten. Onder de CPRA-wijzigingen moet u ook de categorieën derden vermelden aan wie informatie wordt verkocht of gedeeld voor cross-context gedragsgerichte reclame.
Consumentenrechten en hoe deze uit te oefenen. Uw beleid moet de rechten uitleggen die Californische consumenten hebben onder de CCPA: het recht om te weten, het recht op verwijdering, het recht om bezwaar te maken tegen de verkoop of het delen van persoonlijke informatie, het recht om onjuiste informatie te corrigeren en het recht om het gebruik van gevoelige persoonlijke informatie te beperken. U moet duidelijke instructies geven voor het indienen van verzoeken, met ten minste twee aangewezen methoden (een gratis telefoonnummer en een webadres).
Bewaartermijnen. De CPRA heeft het vereiste toegevoegd om de bewaartermijn voor elke categorie persoonlijke informatie te vermelden, of de criteria die worden gebruikt om bewaartermijnen te bepalen.
Link “Verkoop of deel mijn persoonlijke informatie niet”. Als uw bedrijf persoonlijke informatie verkoopt of deelt, moet u een duidelijk gemarkeerde link op uw homepage plaatsen met de titel “Verkoop of deel mijn persoonlijke informatie niet”. Dit opt-outmechanisme moet functioneel en gemakkelijk te gebruiken zijn. Onder de CPRA geldt dit ook voor cross-context gedragsgerichte reclame, niet alleen voor traditionele gegevensverkoop. Een gratis cookietoestemmingsbanner kan deze opt-outfunctionaliteit bieden naast AVG-toestemmingsbeheer.
Kennisgeving van financiële stimulans. Als u financiële stimulansen aanbiedt (kortingen, loyaliteitsprogramma’s) in ruil voor de verzameling, verkoop of bewaring van persoonlijke informatie, moet uw privacybeleid de materiële voorwaarden van het stimulansprogramma beschrijven en uitleggen hoe consumenten kunnen deelnemen of zich terugtrekken.
Gevoelige persoonlijke informatie onder de CPRA
De CPRA introduceerde het concept “gevoelige persoonlijke informatie”, dat burgerservicenummers, financiële accountgegevens, nauwkeurige geolocatie, ras of etnische afkomst, religieuze overtuigingen, inhoud van post of tekstberichten, genetische gegevens, biometrische informatie, gezondheidsinformatie en seksuele geaardheid omvat.
Als uw bedrijf gevoelige persoonlijke informatie verzamelt, moet uw privacybeleid dit vermelden en consumenten het recht geven het gebruik ervan te beperken tot doeleinden die noodzakelijk zijn voor het leveren van de gevraagde goederen of diensten. U moet ook een aparte link op uw homepage opnemen: “Beperk het gebruik van mijn gevoelige persoonlijke informatie”.
Deze verhoogde bescherming voor gevoelige gegevenscategorieën weerspiegelt vergelijkbare bepalingen in de AVG (Artikel 9) — in Nederland gehandhaafd door de Autoriteit Persoonsgegevens en aangevuld door de UAVG — wat een wereldwijde trend weerspiegelt naar strengere behandeling van persoonlijke informatie met hoog risico.
Veelvoorkomende nalevingsfouten
Veel bedrijven voldoen niet aan de CCPA, niet door opzettelijke nalatigheid maar door misverstand over de wettelijke vereisten. Dit zijn de meest voorkomende fouten:
Een AVG-only privacybeleid gebruiken. Hoewel de AVG en CCPA op sommige gebieden overlappen, zal een privacybeleid dat uitsluitend is ontworpen voor AVG-naleving niet aan de CCPA-vereisten voldoen. De CCPA heeft eigen specifieke informatiecategorieën, een eigen consumentenrechtenkader en eigen opt-outmechanismen die wezenlijk verschillen van het Europees recht. Voor Nederlandse bedrijven die vertrouwd zijn met de AP en de UAVG is het cruciaal om de specifieke CCPA-elementen toe te voegen.
Niet jaarlijks bijwerken. Cal. Civ. Code section 1798.130(a)(5) vereist dat bedrijven hun privacybeleid minstens eenmaal per 12 maanden bijwerken. De datum van de laatste update moet prominent worden weergegeven. Veel bedrijven stellen eenmalig een beleid op en herzien het nooit, waardoor het veroudert naarmate hun gegevenspraktijken evolueren.
Onvolledige categorievermeldingen. Het vermelden van “persoonlijke informatie” als enkele categorie volstaat niet. De CCPA vereist gedetailleerde vermelding over zijn 12 opgesomde categorieën. Bekijk uw werkelijke gegevensstromen, inclusief analysetools, reclamepixels, CRM-integraties en betalingsverwerkers, om ervoor te zorgen dat elke categorie is gedekt.
Geen functioneel opt-outmechanisme. Een link “Niet verkopen” die naar een kapot formulier leidt, een onbewaakt e-mailadres of een algemene contactpagina is een overtreding. De opt-out moet werken, en u moet verzoeken binnen 15 werkdagen verwerken.
Dienstverleners en contractanten negeren. De CCPA onderscheidt “dienstverleners” (die gegevens namens u verwerken onder contract) en “derden” (die gegevens ontvangen voor eigen doeleinden). Uw privacybeleid moet deze relaties nauwkeurig karakteriseren, en uw contracten moeten CCPA-conforme gegevensverwerkingsvoorwaarden bevatten. In Nederland is dit onderscheid parallel aan het AVG-onderscheid tussen verwerkingsverantwoordelijken en verwerkers (artikelen 26 en 28).
CCPA-handhaving en sancties
Het kantoor van de procureur-generaal van Californië handhaaft de CCPA actief sinds juli 2020. Onder Cal. Civ. Code section 1798.155 omvatten de sancties:
- Tot $2.500 per onopzettelijke overtreding. Aangezien elk consumentenrecord een afzonderlijke overtreding kan vormen, lopen boetes snel op. Een datalek dat 10.000 Californische consumenten treft, kan theoretisch resulteren in $25 miljoen aan sancties.
- Tot $7.500 per opzettelijke overtreding. Bewuste overtredingen van de CCPA of overtredingen waarbij persoonlijke informatie van minderjarigen onder 16 betrokken is, leiden tot de hogere sanctie.
- Privaat vorderingsrecht bij datalekken. Onder section 1798.150 kunnen consumenten bedrijven rechtstreeks aanklagen voor datalekken die het gevolg zijn van het nalaten van redelijke beveiligingsmaatregelen. De wettelijke schadevergoeding bedraagt $100 tot $750 per consument per incident, of de werkelijke schade, afhankelijk van welk bedrag hoger is.
De California Privacy Protection Agency (CPPA), opgericht door de CPRA, deelt nu de handhavingsbevoegdheid met de procureur-generaal en vaardigt actief regelgeving uit en voert onderzoeken uit. Lees ons artikel over CCPA-boetes en onze vergelijking CCPA vs AVG voor meer details.
Vier benaderingen voor CCPA-privacybeleid naleving
Een privacyadvocaat inhuren
Kosten: $3.000 tot $8.000 voor een uitgebreid CCPA-privacybeleid en opt-outinfrastructuur. Tijdsbestek: 2 tot 6 weken.
Een gespecialiseerde Californische privacyadvocaat voert een gedetailleerd gegevenskarteringsonderzoek uit, beoordeelt uw leveranciersovereenkomsten en stelt een beleid op dat is afgestemd op uw specifieke gegevenspraktijken. Dit wordt aanbevolen voor bedrijven met complexe gegevensstromen, hoge gegevensvolumes of activiteiten in meerdere Amerikaanse staten met eigen privacywetten. Voor Nederlandse bedrijven is een advocaat die zowel AVG/UAVG als CCPA beheerst ideaal.
Een generiek AI-hulpmiddel gebruiken
Schijnbare kosten: $0. Werkelijke kosten: potentieel aanzienlijk handhavingsrisico.
Generieke AI-chatbots kunnen tekst produceren die op een privacybeleid lijkt maar vaak CCPA-specifieke vereisten missen: de 12 wettelijke categorieën, het opt-outlinkvereiste, de vermeldingen van gevoelige persoonlijke informatie en de vereiste bijwerkfrequentie. Een beleid dat er conform uitziet maar verplichte elementen mist, creëert een vals gevoel van veiligheid.
Een gratis sjabloon kopiëren
Kosten: $0. Risico: hoog.
Gratis CCPA-sjablonen online zijn doorgaans generiek, verouderd (veel dateren van vóór de CPRA-wijzigingen) en niet aangepast aan uw specifieke bedrijf. Ze bevatten zelden adequate opt-outmechanismen of dienstverlenervermeldingen. Het gebruik van een sjabloon zonder aanzienlijke aanpassing zal waarschijnlijk niet aan de CCPA-vereisten voldoen.
Een gespecialiseerde juridische documentgenerator gebruiken
Kosten: € 14,90 tot € 49,90. Tijdsbestek: minder dan 10 minuten.
Een gespecialiseerde juridische documentgenerator stelt specifieke vragen over uw bedrijfsactiviteiten, gegevensverzamelingspraktijken en relaties met derden, en produceert vervolgens een privacybeleid dat aan de CCPA-vereisten voldoet. Deze benadering biedt de beste balans tussen nalevingsnauwkeurigheid, toegankelijkheid en kosteneffectiviteit voor de meerderheid van online bedrijven.
Conclusie
De CCPA legt gedetailleerde en specifieke eisen op aan privacybeleid die verder gaan dan algemene goede praktijken. Als uw bedrijf voldoet aan een van de drie toepasbaarheidsdrempels, moet uw privacybeleid de categorieën verzamelde persoonlijke informatie opsommen, uw doeleinden uitleggen, het delen met derden vermelden, consumentenrechten en de uitoefening ervan beschrijven, en functionele opt-outmechanismen bieden.
Begin met een gratis conformiteitsscan om uw huidige situatie te beoordelen. Voor Nederlandse bedrijven die aan de AVG onderworpen zijn via de AP, voegt de CCPA een extra laag specifieke verplichtingen toe. Met de CPPA die de wet actief handhaaft en sancties die per overtreding oplopen, overschrijden de kosten van niet-naleving ruimschoots de kosten van het in orde brengen van uw privacybeleid. Of u nu een gespecialiseerde advocaat inschakelt voor complexe situaties of een gespecialiseerde generator gebruikt voor eenvoudige nalevingsbehoeften, de belangrijke stap is om nu te handelen. Elke dag zonder een CCPA-conform privacybeleid is een dag van onnodige juridische blootstelling.