Connecticut heeft zich onlangs aangesloten bij vier andere Amerikaanse staten door een uitgebreide privacywet voor consumenten aan te nemen, de Connecticut Data Privacy Act (CTDPA). De nieuwe wet, ondertekend door gouverneur Ned Lamont op 10 mei 2022, treedt op 1 juli 2023 in werking en geeft organisaties beperkte tijd om te voldoen.

De Connecticut Data Privacy Act (CTDPA)

Wat is de Connecticut Data Privacy Act (CTDPA)

De Connecticut Data Privacy Act (CTDPA) is een uitgebreide privacywet die de persoonlijke gegevens van inwoners van Connecticut beschermt. De wet bevat veel van dezelfde rechten, verplichtingen en uitzonderingen als de bestaande privacywetten voor consumenten in Californië, Colorado, Utah en Virginia. Hoewel sommige onderdelen van de CTDPA deze andere wetten weerspiegelen, zijn er ook enkele opvallende verschillen waarmee organisaties rekening moeten houden in hun nalevingsstrategie.

Deze woordenlijstpagina beschrijft de belangrijkste bepalingen van de Connecticut Data Privacy Act, de impact op het bedrijfsleven en hoe organisaties te allen tijde kunnen zorgen voor naleving van regelgeving.

Wat doet de Connecticut Data Privacy Act?

De Connecticut Data Privacy Act (CTDPA) biedt een uitgebreid kader om de persoonlijke gegevens van inwoners van Connecticut te beschermen. De wet definieert de verantwoordelijkheden van bedrijven die gegevens van inwoners van Connecticut verwerken, verzamelen of opslaan, en geeft rechten aan deze personen. Zo verbiedt de CTDPA bijvoorbeeld de verkoop van informatie afkomstig uit persoonlijke gegevens, met enkele uitzonderingen.

De Connecticut Data Privacy Act (CTDPA) is van toepassing op entiteiten die actief zijn in Connecticut of goederen of diensten aanbieden aan inwoners van Connecticut, die in het voorgaande kalenderjaar persoonlijke gegevens van minstens 100.000 consumenten hebben verwerkt of meer dan 25% van hun bruto-omzet hebben gegenereerd uit de verkoop van persoonlijke gegevens van minstens 25.000 consumenten. De wet geldt niet voor entiteiten die persoonlijke gegevens uitsluitend verwerken voor betalingstransacties. Er is geen drempel voor jaarlijkse omzet opgenomen, wat betekent dat de wet niet van toepassing is op bedrijven met een bepaalde jaarlijkse omzet.

Definitie van kernbegrippen onder de Connecticut Data Privacy Act

De CTDPA introduceert een reeks definities om de reikwijdte van de wet te verduidelijken. Het is belangrijk om deze definities te kennen om de verantwoordelijkheden voor bedrijven en de rechten van inwoners van Connecticut te begrijpen.

  • Consument—elke inwoner van Connecticut, met expliciete uitsluiting van personen die handelen in een commerciële of arbeidscontext.
  • Verwerkingsverantwoordelijke—een persoon of entiteit die verantwoordelijk is voor het verzamelen en verwerken van persoonlijke gegevens.
  • Verwerker—een persoon of entiteit die persoonlijke gegevens verwerkt namens een verwerkingsverantwoordelijke.
  • Derde partij—een persoon of entiteit die geen verwerkingsverantwoordelijke of verwerker is.
  • Persoonlijke gegevens—alle informatie die betrekking heeft op een identificeerbaar individu. De wet sluit echter gedeïdentificeerde gegevens en openbaar beschikbare gegevens uit van de definitie van persoonlijke gegevens.
  • Verkoop van persoonlijke gegevens—de uitwisseling van persoonlijke gegevens voor geld of andere waardevolle tegenprestaties door de verwerkingsverantwoordelijke aan een derde partij; openbare bekendmakingen aan een verwerker of een gelieerde onderneming van de verwerkingsverantwoordelijke tellen echter niet mee.
  • Openbaar beschikbare informatie—informatie die rechtmatig beschikbaar is via overheidsregisters of breed verspreide media, en waarbij de verwerkingsverantwoordelijke redelijkerwijs mag aannemen dat de consument de informatie rechtmatig openbaar heeft gemaakt.
  • Gevoelige gegevens—alle persoonlijke gegevens die informatie onthullen over iemands ras, religieuze overtuiging, gezondheid, seksuele geaardheid, strafrechtelijk verleden of biometrische gegevens.
  • Dark Pattern—elke praktijk die wordt gebruikt om consumenten te verhullen of te misleiden over het verzamelen en verwerken van hun persoonlijke gegevens.

Wat zijn de consumentenrechten onder de Connecticut Data Privacy Act?

De Connecticut Data Privacy Act (CTDPA) geeft consumenten het recht om toegang te krijgen tot en controle te houden over hoe hun gegevens worden gebruikt. Alle consumenten hebben het recht om te bevestigen of hun gegevens worden verwerkt en om een kopie op te vragen van de gegevens die al aan de verwerkingsverantwoordelijke zijn verstrekt. Daarnaast hebben consumenten het recht om hun gegevens te laten verwijderen, zich af te melden voor verwerking voor gerichte advertenties, en om onjuistheden te laten corrigeren of bijwerken. Verzoeken om deze acties moeten binnen 45 dagen worden ingewilligd en mogen niet in rekening worden gebracht, tenzij het het tweede of volgende verzoek van de consument is binnen een periode van 12 maanden.

De CTDPA biedt consumenten ook de mogelijkheid om een gemachtigde aan te wijzen die namens de consument verzoeken kan indienen. De verwerkingsverantwoordelijke moet de identiteit van zowel de consument als de bevoegdheid van de gemachtigde verifiëren voordat het verzoek wordt ingewilligd.

Om de gegevens van consumenten te beschermen, moeten verwerkers zich houden aan de instructies van de verwerkingsverantwoordelijke en passende beveiligingsmaatregelen implementeren. Ze moeten de verwerkingsverantwoordelijke ook ondersteunen bij het nakomen van diens verplichtingen, bij voorkeur vastgelegd in een bindend contract. Dit contract moet de instructies voor gegevensverwerking, het doel en de duur van de verwerking, en de rechten en verplichtingen van beide partijen specificeren. Door consumenten deze rechten te geven en de verplichtingen van verwerkers te verduidelijken, zorgt de CTDPA ervoor dat consumenten controle en toegang hebben tot hun gegevens.

Verplichtingen van verwerkingsverantwoordelijken onder de Connecticut Data Privacy Act

De Connecticut Data Privacy Act (CTDPA) legt de verantwoordelijkheid bij de verwerkingsverantwoordelijke voor het verzamelen van gegevens, volgens algemene principes zoals doellimitering en dataminimalisatie. Verwerkingsverantwoordelijken moeten ook toestemming verkrijgen voor secundair gebruik van de gegevens en voor elke verstrekking van die gegevens aan derden. Om ervoor te zorgen dat de consument op de hoogte is van zijn rechten en hoe deze uit te oefenen, moet de verwerkingsverantwoordelijke bepaalde informatie verstrekken, zoals de soorten verzamelde gegevens, het doel van het gebruik, een contactmogelijkheid en een veilige manier voor de consument om zijn rechten uit te oefenen. De verwerkingsverantwoordelijke mag gevoelige gegevens niet verwerken zonder toestemming van de consument en moet een mechanisme bieden waarmee de consument zijn toestemming kan intrekken.

Verwerkingsverantwoordelijken moeten een gegevensbeschermingsevaluatie uitvoeren en documenteren voor verwerkingsactiviteiten die een verhoogd risico op schade voor de consument inhouden, zoals gerichte advertenties of de verkoop van persoonlijke gegevens. Als dergelijke evaluaties al zijn uitgevoerd en vergelijkbaar zijn qua reikwijdte en effect met de vereisten van de CTDPA, kunnen deze worden gebruikt om aan de verplichting te voldoen. De CTDPA is bedoeld om consumenten te beschermen en het bewustzijn van hun rechten te vergroten, waardoor een veilige en betrouwbare omgeving voor gegevensverwerking ontstaat.

Hoe wordt de CTDPA gehandhaafd?

De CTDPA wordt gehandhaafd door de procureur-generaal van Connecticut. De procureur-generaal kan elk vermoeden van een overtreding van de CTDPA onderzoeken en indien nodig civielrechtelijke stappen ondernemen om de naleving af te dwingen. Daarnaast kan de procureur-generaal schadevergoeding eisen namens consumenten.

Wat zijn de sancties bij niet-naleving van de CTDPA?

Entiteiten of personen die de CTDPA overtreden, kunnen civielrechtelijke boetes tot $5.000 per overtreding krijgen, overeenkomstig de Connecticut Unfair Trade Practices Act. Naast civielrechtelijke boetes kan de procureur-generaal ook een verbod, schadevergoeding of afdracht van winsten eisen.

Gevoelige communicatie-inhoud en de CTDPA

De Connecticut Data Privacy Act is een belangrijke wet die een uitgebreid kader biedt ter bescherming van de persoonlijke gegevens van inwoners van Connecticut. De wet legt verplichtingen op aan bedrijven die gegevens van inwoners van Connecticut verwerken, verzamelen en opslaan, en geeft rechten aan deze consumenten. Door inzicht te hebben in de definities, rechten, verplichtingen en sancties van de Connecticut Data Privacy Act, kunnen bedrijven beter zorgen voor naleving van de wet en de privacy van inwoners van Connecticut beschermen.

Om aan de CTDPA te voldoen, moeten bedrijven stappen ondernemen om de digitale communicatie van persoonlijk identificeerbare informatie (PII) van inwoners van Connecticut goed te volgen, te controleren en te beveiligen. Traditionele benaderingen waarbij communicatiekanalen worden gescheiden, zoals e-mail, bestandsoverdracht, webformulieren en bestandsoverdrachten, leiden tot gescheiden metadata waardoor het lastig is om centraal toezicht te houden en risico’s met betrekking tot PII te beheren.

Gelukkig biedt Kiteworks een innovatieve oplossing om bedrijven hierbij te ondersteunen. Door digitale communicatie te consolideren in een Private Content Network stelt Kiteworks organisaties in staat om te voldoen aan de CTDPA, terwijl PII die binnen, naar en uit de organisatie wordt gedeeld, wordt verenigd, gevolgd, gecontroleerd en beveiligd. Hierdoor kan Kiteworks een krachtig hulpmiddel zijn voor bedrijven in Connecticut die willen voldoen aan de Connecticut Data Privacy Act (CTDPA).

Bekijk een korte video waarin wordt uitgelegd hoe Kiteworks Private Content Networks mogelijk maakt. Of plan direct een op maat gemaakte demo om het Kiteworks-platform in actie te zien.


Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks