Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

De Delaware Personal Data Privacy Act ontsleuteld

Startpagina Woordenlijst De Wet bescherming persoonsgegevens Delaware ontsluiten

In een tijdperk waarin de bescherming van persoonlijke gegevens, namelijk persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie (PII/PHI), van het grootste belang is geworden, markeert de introductie van de Delaware Personal Data Privacy Act (DPDPA) het nieuwste hoofdstuk in de Amerikaanse wetgeving rond gegevensprivacy. Als de zevende uitgebreide staatsprivacywet die in 2023 is aangenomen (op dit moment is er geen nationale privacywet in de VS), schrijft de DPDPA bepaalde zakelijke praktijken voor, zoals privacykennisgevingen, gegevensbescherming en toestemmingsvereisten. Dit artikel biedt een diepgaande analyse van de bepalingen van de DPDPA.

De Wet bescherming persoonsgegevens Delaware ontsluiten

Overzicht van de Delaware Personal Data Privacy Act

De Delaware Personal Data Privacy Act (DPDPA) sluit zich aan bij de groeiende lijst van Amerikaanse staatswetten voor gegevensbescherming en biedt consumenten uitgebreide rechten op het gebied van gegevensbescherming. De DPDPA is van toepassing op entiteiten die zaken doen in Delaware of goederen of diensten aanbieden aan inwoners van Delaware. Bedrijven moeten voldoen als ze aan één van de volgende twee criteria voldoen:

  1. Ze hebben de persoonlijke gegevens van meer dan 35.000 consumenten beheerd of verwerkt, of
  2. Ze hebben persoonlijke gegevens van meer dan 10.000 consumenten verwerkt en meer dan 20% van hun omzet gehaald uit de verkoop van persoonlijke gegevens.

In tegenstelling tot andere staatsprivacywetten verleent de DPDPA geen universele uitzonderingen voor entiteiten die onder de Health Insurance Portability and Accountability Act (HIPAA) vallen, noch biedt het een brede uitzondering voor non-profitorganisaties. De DPDPA biedt echter wel een uitzondering op entiteitsniveau voor bedrijven die onder de Gramm-Leach-Bliley Act (GLBA) vallen, vermoedelijk om dubbel werk en overregulering te voorkomen.

Net als de privacywetten van Colorado, Connecticut en Oregon schrijft de DPDPA een opt-in-proces voor bij het verwerken van gevoelige gegevens, erkent het opt-out-voorkeurssignalen en verplicht het een opt-out-mogelijkheid voor profilering op basis van uitsluitend geautomatiseerde beslissingen die juridische of vergelijkbare belangrijke gevolgen voor consumenten kunnen hebben.

Definitie van gevoelige gegevens onder de DPDPA

Volgens de DPDPA verwijst “gevoelige gegevens” naar specifieke soorten informatie, waaronder:

  • De raciale of etnische afkomst van een individu
  • Hun religieuze overtuigingen
  • Hun mentale of fysieke gezondheidscondities, inclusief of ze zwanger zijn of niet
  • Details over hun seksleven
  • Hun seksuele geaardheid
  • Hun status als transgender of non-binair
  • Burgerschaps- of immigratiestatus
  • Eventuele genetische of biometrische gegevens die ze mogelijk hebben
  • Alle gegevens met betrekking tot kinderen
  • Precieze geolocatiegegevens

Het is belangrijk op te merken dat de DPDPA vereist dat bedrijven geldige toestemming verkrijgen van een inwoner van de staat (of een ouder/voogd in het geval van gegevens van een kind) voordat gevoelige gegevens worden verwerkt.

Deze brede definitie van gevoelige gegevens weerspiegelt een verschuiving in andere staatsprivacywetten, met nieuwe elementen zoals gegevens over transgender- of non-binaire status en genetische gegevens. Bovendien is de DPDPA een van de weinige staatswetten die expliciet de zwangerschapsstatus als onderdeel van gevoelige gegevens aanmerkt, waardoor de definitie tot de meest uitgebreide onder de staatswetten behoort.

Wie zijn consumenten, controllers en verwerkers onder de Delaware Personal Data Privacy Act?

Onder de DPDPA worden consumenten gedefinieerd als inwoners van Delaware. Controllers zijn bedrijven die bepalen waarom en hoe persoonlijke gegevens worden verwerkt, en verwerkers zijn entiteiten die persoonlijke gegevens verwerken namens een controller.

De DPDPA wijst tal van essentiële verplichtingen toe aan gegevenscontrollers. Zo moeten controllers:

  • Het verzamelen van persoonlijke gegevens beperken tot wat relevant, substantieel en gerechtvaardigd noodzakelijk is voor het doel van de verwerking
  • Voorkomen dat persoonlijke gegevens worden gebruikt voor doeleinden die niet redelijkerwijs noodzakelijk of verenigbaar zijn met de bekendgemaakte doeleinden waarvoor de gegevens worden verwerkt
  • Passende beveiligingsmaatregelen opzetten, implementeren en handhaven om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gegevens te beschermen
  • Geen gevoelige gegevens van een consument verwerken zonder eerst toestemming van de consument te verkrijgen
  • Afzien van het verwerken van persoonlijke gegevens op een manier die in strijd is met staats- of federale wetten van Delaware die onwettige discriminatie verbieden
  • Een effectieve manier bieden voor een consument om toestemming in te trekken en de verwerking van gegevens binnen 15 dagen na ontvangst van zo’n verzoek te stoppen
  • Afzien van het verwerken van persoonlijke gegevens van een consument voor gerichte reclame of het verkopen van persoonlijke gegevens zonder toestemming van de consument, met name wanneer de consument tussen de 13 en 18 jaar oud is
  • Geen nadelige gevolgen verbinden aan het uitoefenen van consumentenrechten door een consument

Compliance and Certification Table

Kiteworks heeft een lange lijst van behaalde compliance- en certificeringsprestaties.

Rechten zoals vastgelegd in de Delaware Personal Data Privacy Act

De Delaware Personal Data Privacy Act biedt niet alleen een brede definitie van gevoelige gegevens ter bescherming van de privacy van inwoners van Delaware, maar verleent ook diverse rechten aan consumenten uit Delaware. Deze rechten omvatten:

Inwoners van Delaware hebben het recht om toegang te vragen tot hun persoonlijke gegevens

Volgens de DPDPA hebben inwoners van Delaware het recht om toegang te vragen tot hun persoonlijke gegevens en het recht om te weten of een bedrijf deze verzamelt en gebruikt, tenzij dit de handelsgeheimen van het bedrijf zou onthullen. Dit recht stelt individuen in staat controle te houden over hun persoonlijke informatie. Het vereist dat bedrijven, indien gevraagd, de verzamelde persoonlijke gegevens, het gebruik ervan en eventuele verstrekking aan derden bekendmaken. Bedrijven zijn echter niet verplicht dergelijke informatie te verstrekken als dit handelsgeheimen zou onthullen die hun concurrentiepositie negatief beïnvloeden. Dit recht zorgt voor een balans tussen bedrijfsgeheimen en individuele privacyrechten.

Inwoners van Delaware hebben het recht om te verzoeken dat fouten of inconsistenties in hun persoonlijke gegevens worden gecorrigeerd

De DPDPA geeft individuen het recht op snelle correctie van onjuistheden in de persoonlijke gegevens die over hen worden bewaard. Dit recht is essentieel om te waarborgen dat gegevens niet op een misleidende of schadelijke manier worden gebruikt. Het uitgangspunt is dat elke onjuiste of onjuiste weergave van gegevens ernstige gevolgen kan hebben, en deze bepaling stelt individuen in staat om te zorgen dat hun gegevens accuraat zijn.

Inwoners van Delaware hebben het recht om te vragen dat alle persoonlijke informatie die het bedrijf over hen heeft verzameld, wordt verwijderd

Dit wordt ook wel “het recht om vergeten te worden” genoemd en heeft betrekking op persoonlijke gegevens van inwoners van Delaware die niet langer nodig zijn voor het doel waarvoor ze zijn verzameld. Het stelt inwoners van Delaware in staat te verzoeken dat alle gegevens die over hen worden bewaard, worden verwijderd, ter bescherming tegen mogelijk misbruik of ongeoorloofde toegang.

Inwoners van Delaware hebben het recht om een kopie te ontvangen van de persoonlijke gegevens die het bedrijf heeft verwerkt in een bruikbaar en overdraagbaar formaat

Deze bepaling van de Delaware Personal Data Privacy Act zorgt ervoor dat individuen een kopie van hun persoonlijke gegevens kunnen ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat. Dit stelt hen in staat eenvoudig van dienstverlener te wisselen en bevordert de concurrentie.

Inwoners van Delaware hebben de mogelijkheid, met enkele beperkingen, om bepaalde vormen van gebruik van hun persoonlijke gegevens te weigeren, zoals gerichte reclame en gegevensverkoop

De DPDPA stelt inwoners van Delaware in staat om in bepaalde gevallen bezwaar te maken tegen het gebruik van hun persoonlijke gegevens voor doeleinden zoals gerichte reclame en gegevensverkoop. Deze bepaling geeft inwoners van Delaware de mogelijkheid om in specifieke situaties toestemming te geven of te weigeren en helpt ongewenst gebruik van persoonlijke gegevens te voorkomen. Dit recht onderstreept het belang dat de DPDPA hecht aan toestemming, transparantie en individuele controle over persoonlijke gegevens.

Wat is de DPDPA Privacy Notice?

Volgens de DPDPA zijn bedrijven verplicht om consumenten een uitgebreide Privacy Notice te verstrekken. De Privacy Notice is bedoeld om transparantie te waarborgen en te voldoen aan de wettelijke verplichtingen van de DPDPA. De Privacy Notice moet gemakkelijk toegankelijk, begrijpelijk en betekenisvol zijn om effectief de volgende informatie te communiceren:

  • De soorten persoonlijke gegevens die het bedrijf verwerkt of beheert
  • De specifieke doeleinden waarvoor deze persoonlijke gegevens worden verwerkt
  • Duidelijke instructies over hoe consumenten hun rechten met betrekking tot hun persoonlijke gegevens kunnen uitoefenen
  • De categorieën persoonlijke gegevens die het bedrijf deelt met derde partijen
  • Informatie over de derde partijen met wie het bedrijf persoonlijke gegevens deelt
  • Contactgegevens van het bedrijf, waaronder een e-mailadres of andere online methoden waarmee consumenten contact kunnen opnemen

Deze informatie stroomlijnt het proces van gegevensverwerking en verzekert consumenten uit Delaware dat hun gegevens worden beheerd in overeenstemming met de DPDPA.

Hoe wordt de Delaware Personal Data Privacy Act gehandhaafd?

De DPDPA, die op 1 januari 2025 in werking treedt, wordt gehandhaafd door het Delaware Department of Justice. Dit departement heeft het mandaat om toezicht te houden op de toepassing van de wet, mogelijke overtredingen te onderzoeken en waar nodig vervolging in te stellen.

De DPDPA bevat een unieke hersteltermijn van 60 dagen voor bedrijven die de privacywet overtreden en biedt hen de mogelijkheid om eventuele inbreuken op te lossen. Deze bepaling vervalt echter op 31 december 2025 en daarna wordt de hersteltermijn facultatief.

Het Delaware Department of Justice kan overtredingen van de DPDPA aanmerken als oneerlijke handelspraktijken, waarbij elke overtreding een maximale boete van $10.000 kan opleveren.

Kiteworks helpt bedrijven om te voldoen aan de DPDPA

Het Kiteworks Private Content Network helpt bedrijven te voldoen aan de Delaware Personal Data Privacy Act. Kiteworks biedt een veilig platform voor het beheren en delen van gevoelige informatie zoals persoonlijke gegevens, een essentiële vereiste onder de DPDPA. Kiteworks levert grondige beveiligingsmaatregelen om persoonlijke informatie van consumenten te beschermen, waaronder multi-factor authentication, granulaire beleidscontroles, rolgebaseerde machtigingen, integraties met beveiligingsinfrastructuur en end-to-end encryptie.

Kiteworks consolideert communicatiekanalen van derden zoals e-mail, bestandsoverdracht en file sharing op één platform, beschermd door een zelfstandige en vooraf geconfigureerde hardened virtual appliance.

Elk bestand met PII van een consument wordt gevolgd zodra het een organisatie binnenkomt, erdoorheen beweegt of deze verlaat. Het bijhouden van alle bestandsactiviteiten, namelijk wie wat naar wie en wanneer heeft verzonden, stelt bedrijven in staat om afwijkend gedrag te signaleren, forensische analyses uit te voeren, te voldoen aan legal hold-verzoeken en te voldoen aan diverse privacywetten en -normen.

Wil je meer weten over het Kiteworks Private Content Network en hoe jouw bedrijf kan voldoen aan de Delaware Personal Data Privacy Act? Plan dan vandaag nog een demo op maat.

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks