Als uw website gebruikers bedient in zowel de Europese Unie als Californië, bent u waarschijnlijk onderworpen aan twee van ‘s werelds meest invloedrijke privacyreguleringen: de Algemene Verordening Gegevensbescherming (AVG) en de California Consumer Privacy Act (CCPA), zoals gewijzigd door de California Privacy Rights Act (CPRA). Hoewel beide wetten persoonlijke gegevens beogen te beschermen, verschillen ze fundamenteel in benadering, reikwijdte en handhaving. Het begrijpen van deze verschillen is niet optioneel — het is essentieel voor het opbouwen van een nalevingsstrategie die aan beide kaders voldoet zonder onnodige duplicatie of hiaten. Dit artikel biedt een bijzonder perspectief voor Nederlandse bedrijven, waar de Autoriteit Persoonsgegevens (AP) de AVG handhaaft.
Filosofische grondslagen: opt-in vs opt-out
Het meest fundamentele verschil tussen de AVG en de CCPA ligt in hun standaard toestemmingsmodel.
De AVG werkt op basis van opt-in. Op grond van artikel 6 van de AVG vereist de verwerking van persoonsgegevens een rechtsgrondslag vóór enige verzameling. Voor veel soorten verwerking — met name marketing, profilering en analytics — moet uitdrukkelijke toestemming van de betrokkene worden verkregen vóór de gegevensverzameling. Dit betekent dat wanneer een Europese gebruiker uw website voor het eerst bezoekt, u geen niet-essentiële cookies kunt plaatsen, geen trackingpixels kunt activeren of gedragsgegevens kunt verzamelen totdat de gebruiker uitdrukkelijk instemt. In Nederland heeft de AP bijzonder strenge richtsnoeren over cookies en toestemming uitgevaardigd, in lijn met de Telecommunicatiewet.
De CCPA werkt op basis van opt-out. Bedrijven mogen persoonlijke informatie verzamelen en gebruiken zonder voorafgaande toestemming (met bepaalde uitzonderingen voor minderjarigen onder 16). In plaats daarvan geeft de CCPA consumenten het recht om achteraf bezwaar te maken tegen de verkoop of het delen van hun persoonlijke informatie. Het bedrijf moet een link “Verkoop of deel mijn persoonlijke informatie niet” bieden, maar mag standaard gegevens verwerken totdat de consument dat recht uitoefent.
Dit onderscheid heeft ingrijpende praktische gevolgen. Een AVG-conforme website die alle tracking blokkeert tot toestemming wordt gegeven, voldoet ook aan de minder restrictieve CCPA-vereisten. Maar een CCPA-conforme website die gebruikers standaard trackt en op opt-out vertrouwt, schendt de AVG als deze Europese gebruikers bedient zonder voorafgaande toestemming.
Reikwijdte en toepasselijkheid
Wie is beschermd
AVG: Iedere “betrokkene” die zich in de Europese Unie bevindt, ongeacht nationaliteit of verblijfplaats. Een Amerikaanse toerist die een website bezoekt tijdens een bezoek aan Amsterdam is beschermd door de AVG tijdens dat bezoek. De verordening beschermt individuen (natuurlijke personen), niet bedrijven.
CCPA: Californische “consumenten”, gedefinieerd als natuurlijke personen die inwoner van Californië zijn. De bescherming volgt de verblijfplaats van de persoon, niet de fysieke locatie. Een inwoner van Californië die een website bezoekt tijdens vakantie in Tokio is nog steeds beschermd door de CCPA.
Welke bedrijven moeten voldoen
AVG: Iedere organisatie, waar ook ter wereld, die persoonsgegevens verwerkt van personen in de EU, mits de organisatie goederen of diensten aanbiedt aan EU-ingezetenen of hun gedrag monitort (artikel 3). Er is geen omzetdrempel, geen minimum gegevensvolume. Een eenpersoonsblog die e-mailadressen verzamelt van EU-bezoekers moet voldoen. De AP heeft dit bevestigd in meerdere besluiten.
CCPA: Commerciële bedrijven die zaken doen in Californië en voldoen aan ten minste een van drie drempels: jaarlijkse bruto-omzet boven $25 miljoen; koop, verkoop of delen van persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of 50% of meer van de jaaromzet halen uit de verkoop of het delen van persoonlijke informatie. Non-profitorganisaties en overheidsinstanties zijn vrijgesteld.
Definitie van persoonsgegevens
AVG: “Persoonsgegevens” zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4, lid 1). Dit omvat namen, e-mailadressen, IP-adressen, cookie-identifiers, locatiegegevens, online-identifiers en zelfs gepseudonimiseerde gegevens als heridentificatie mogelijk is.
CCPA: “Persoonlijke informatie” wordt in sommige opzichten breder gedefinieerd en omvat informatie die “een bepaalde consument of huishouden identificeert, betrekking heeft op, beschrijft, redelijkerwijs kan worden geassocieerd met, of redelijkerwijs direct of indirect kan worden gekoppeld aan”. De toevoeging van “huishouden” breidt de dekking uit voorbij het individu. Publiekelijk beschikbare informatie is echter expliciet uitgesloten van de CCPA-definitie, terwijl de AVG geen dergelijke uitsluiting maakt.
Rechten van consumenten/betrokkenen
Beide wetten verlenen individuen rechten met betrekking tot hun persoonsgegevens, maar de details verschillen:
| Recht | AVG | CCPA/CPRA |
|---|---|---|
| Recht op inzage/kennis | Artikel 15: recht op bevestiging en kopie van alle persoonsgegevens | Sectie 1798.100: recht op kennis van categorieën en specifieke verzamelde gegevens in de afgelopen 12 maanden |
| Recht op verwijdering | Artikel 17: recht op wissing (“recht om vergeten te worden”) met brede uitzonderingen | Sectie 1798.105: recht op verwijdering met gespecificeerde uitzonderingen |
| Recht op overdraagbaarheid | Artikel 20: recht op ontvangst van gegevens in machineleesbaar formaat | Geen equivalent in de CCPA |
| Recht op rectificatie | Artikel 16: recht op rectificatie | Sectie 1798.106 (toegevoegd door CPRA): recht op correctie van onjuiste informatie |
| Recht op bezwaar tegen verkoop | Niet direct van toepassing (toestemmingsmodel) | Sectie 1798.120: recht om bezwaar te maken tegen verkoop en delen |
| Recht op beperking gevoelige gegevens | Artikel 9: bijzondere categorieën vereisen uitdrukkelijke toestemming | Sectie 1798.121 (CPRA): recht om gebruik van gevoelige persoonlijke informatie te beperken |
| Recht op non-discriminatie | Impliciet in algemene beginselen | Sectie 1798.125: expliciet verbod op discriminatie van consumenten die hun rechten uitoefenen |
| Reactietermijn | 1 maand (verlengbaar tot 3) | 45 dagen (verlengbaar tot 90) |
Weet u niet welke regelgeving op uw website van toepassing is? De gratis compliance-scanner van WebLegal analyseert uw website en identificeert welke juridische documenten en privacyvereisten u moet aanpakken.
Rechtsgrondslagen voor verwerking
Hier divergeren de twee kaders het scherpst.
AVG: Artikel 6 vereist een van zes rechtsgrondslagen voor elke verwerkingsactiviteit: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, algemeen belang of gerechtvaardigd belang. De keuze van rechtsgrondslag moet worden gedocumenteerd en aan betrokkenen worden meegedeeld. Voor bijzondere categorieën van gegevens (artikel 9) moet een aanvullende voorwaarde worden vervuld, doorgaans uitdrukkelijke toestemming. De AP heeft uitgebreide richtsnoeren gepubliceerd over de keuze van de juiste rechtsgrondslag, aangevuld door de UAVG.
CCPA: Er bestaat geen concept van “rechtsgrondslag” in de CCPA. Bedrijven mogen persoonlijke informatie verzamelen en verwerken voor elk bekendgemaakt zakelijk doel. De wet reguleert informatieverstrekking en opt-outrechten in plaats van een bevestigende rechtvaardiging voor elke verwerkingsactiviteit te vereisen.
Handhaving en sancties
AVG-handhaving
Handhaving geschiedt door gegevensbeschermingsautoriteiten in elke EU-lidstaat. In Nederland is de Autoriteit Persoonsgegevens (AP) bijzonder actief. Maximale sancties op grond van artikel 83 zijn:
- Tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor lichtere overtredingen
- Tot 20 miljoen euro of 4% van de wereldwijde jaaromzet voor ernstige overtredingen
De AP heeft in recente jaren aanzienlijke boetes opgelegd, met name voor tracking cookies en onrechtmatige gegevensverwerking. De autoriteiten kunnen ook verwerkingsverboden, gegevensoverdrachtverboden en specifieke corrigerende maatregelen opleggen.
CCPA-handhaving
Handhaving wordt gedeeld tussen de procureur-generaal van Californië en de CPPA:
- Tot $2.500 per onopzettelijke overtreding
- Tot $7.500 per opzettelijke overtreding of overtreding waarbij minderjarigen betrokken zijn
- Privaat vorderingsrecht bij datalekken: $100 tot $750 per consument per incident
Gegevensoverdrachten
AVG: Overdrachten van persoonsgegevens buiten de EU/EER zijn beperkt door hoofdstuk V van de AVG. Overdrachten vereisen een adequaatheidsbesluit, standaardcontractbepalingen (SCC’s), bindende bedrijfsvoorschriften of een ander goedgekeurd overdrachtsmechanisme.
CCPA: Er zijn geen beperkingen op internationale gegevensoverdrachten onder de CCPA. De wet reguleert hoe gegevens worden verzameld, gebruikt, verkocht en gedeeld, maar beperkt niet waar ze geografisch worden opgeslagen of verwerkt.
Praktische nalevingsstrategie voor bedrijven in twee jurisdicties
Als uw website zowel EU- als Californische gebruikers bedient, hier een praktische benadering voor Nederlandse bedrijven:
1. Begin met AVG-naleving. De AVG-vereisten zijn over het algemeen strenger. Een AVG-conform privacybeleid, toestemmingsmechanisme en gegevensverwerkingspraktijken zullen de meeste CCPA-vereisten vervullen. Volg de richtsnoeren van de AP en de vereisten van de Telecommunicatiewet.
2. Voeg CCPA-specifieke elementen toe. Voeg de informatieverstrekking en mechanismen toe die de CCPA vereist en de AVG niet: de link “Verkoop of deel mijn persoonlijke informatie niet”, het 12-categorieën informatiekader, de opt-out voor gevoelige persoonlijke informatie en de jaarlijkse update met datumstempel.
3. Implementeer geolocatie-gebaseerde toestemming. Gebruik een toestemmingsbeheerplatform dat de locatie van de gebruiker detecteert en het juiste toestemmingsmodel toepast: opt-in voor EU-bezoekers, opt-outrechten voor Californische bezoekers. De gratis cookiebanner van WebLegal beheert AVG-toestemming en kan dienen als basis voor uw multi-jurisdictie aanpak.
4. Houd afzonderlijke registers bij. De AVG vereist registers van verwerkingsactiviteiten (artikel 30). De CCPA vereist documentatie van consumentenverzoeken en reacties. Onderhoud beide. In Nederland controleert de AP regelmatig het bijhouden van verwerkingsregisters.
5. Beoordeel leverancierscontracten. Zorg ervoor dat uw contracten met verwerkers (AVG) en dienstverleners (CCPA) aan de vereisten van beide kaders voldoen. De terminologie verschilt, maar de onderliggende verplichting — controleren hoe derden de gegevens van uw gebruikers verwerken — is dezelfde.
Conclusie
De AVG en CCPA vertegenwoordigen twee verschillende benaderingen van privacyregulering: Europese uitgebreide toestemming versus Californische gerichte transparantie. Geen van beide subsumeert de ander. Een bedrijf dat gebruikers in beide jurisdicties bedient, heeft een nalevingsstrategie nodig die zowel de toestemmingsvereisten van de AVG, het rechtsgrondslagenkader en de beperkingen op gegevensoverdrachten adresseert, naast de specifieke informatiecategorieën van de CCPA, opt-outmechanismen en sanctiestructuur per overtreding.
De kosten van dubbele niet-naleving zijn aanzienlijk. De kosten van het opbouwen van een uniforme privacystrategie die aan beide kaders voldoet zijn beheersbaar — en veel lager dan het handhavingsrisico van het verkeerd doen. Voor Nederlandse bedrijven die door de AP worden gecontroleerd en aan de CCPA zijn blootgesteld, is de prioriteit om beide kaders nu aan te pakken in plaats van reactief na een handhavingsactie.