Uitgebreide gids voor de Indiana Consumer Data Protection Act
De Indiana Consumer Data Protection Act (ook wel “Indiana CDPA” of “de Wet” genoemd) is een uitgebreide, op staatsniveau vastgestelde wetgeving voor gegevensprivacy die consumenten die in de staat Indiana wonen meer controle wil geven over hun persoonlijke informatie. De Wet wordt de zevende staat die een uitgebreide privacywet in de Verenigde Staten aanneemt. De Indiana CDPA is geïnspireerd door en beïnvloed door diverse andere privacywetten, waaronder de California Consumer Privacy Act (CCPA), Virginia Consumer Data Protection Act (VCDPA) en Colorado Privacy Act (CPA). De Wet treedt in werking op 1 januari 2026.
De Wet introduceert nieuwe rechten voor consumenten om toegang te krijgen tot, het verwijderen van, of zich af te melden voor de verkoop of het delen van hun persoonlijke informatie. Ook legt het nieuwe verplichtingen op aan bedrijven om consumentengegevens te beschermen, transparantie te bieden over gegevensverzameling en gebruikspraktijken, en gegevensbeveiliging te waarborgen. Dit artikel gaat dieper in op de details van de Indiana CDPA en biedt een uitgebreide gids over wat bedrijven moeten weten om aan de nieuwe wet te voldoen.
Wie valt onder de Indiana Consumer Data Protection Act?
De Indiana CDPA is van toepassing op bedrijven die aan bepaalde drempels voldoen, namelijk bedrijven die:
- De persoonlijke gegevens van minimaal 25.000 inwoners van Indiana beheren of verwerken; of
- Meer dan 50% van hun bruto-omzet halen uit de verkoop van persoonlijke gegevens van inwoners van Indiana en de persoonlijke gegevens van minimaal 5.000 inwoners van Indiana beheren of verwerken.
De Indiana CDPA is niet van toepassing op bepaalde organisaties, waaronder staats- of lokale overheidsinstanties, bepaalde financiële instellingen die onder de Gramm-Leach-Bliley Act (GLBA) vallen, of entiteiten die onder de Health Insurance Portability and Accountability Act (HIPAA) vallen. Daarnaast zijn werknemersgegevens en business-to-business gegevens over het algemeen uitgezonderd van de vereiste van de Wet.
Wat is persoonlijke data onder de Indiana Consumer Data Protection Act?
Volgens de Indiana CDPA wordt persoonlijke data gedefinieerd als alle informatie die kan worden geassocieerd met, gekoppeld aan, of in staat is te worden gekoppeld aan een individu. Dit kan informatie omvatten zoals namen, adressen, e-mailadressen, burgerservicenummers en meer. De Wet bevat ook speciale bepalingen voor gevoelige gegevens, waaronder gegevens over ras, etniciteit, religie, seksuele geaardheid, biometrische of genetische gegevens en geolocatiegegevens.
Consumentenrechten onder de Indiana Consumer Data Protection Act
Met de ondertekening van de Indiana CDPA genieten inwoners van Indiana nu diverse onvervreemdbare rechten die hun gegevensprivacy beschermen. De consumentenrechten onder de Indiana CDPA omvatten:
Recht op kennis en toegang
Consumenten in Indiana hebben het recht om informatie op te vragen en te verkrijgen over de persoonlijke gegevens die bedrijven verzamelen, gebruiken, delen of verkopen. Bedrijven moeten binnen 45 dagen op dergelijke verzoeken reageren en consumenten voorzien van een rapport met details over de categorieën verzamelde persoonlijke gegevens, de doeleinden van verzameling en met wie de gegevens worden gedeeld of verkocht.
Recht op verwijdering
Consumenten hebben het recht om verwijdering van hun persoonlijke gegevens te verzoeken, met bepaalde uitzonderingen. Bedrijven moeten de gegevens direct verwijderen na ontvangst van een geldig verzoek en, indien van toepassing, derden informeren aan wie de gegevens zijn verstrekt.
Recht om zich af te melden
Consumenten hebben het recht zich af te melden voor de verkoop of het delen van hun persoonlijke gegevens voor gerichte advertenties. Bedrijven moeten een duidelijke en opvallende methode bieden waarmee consumenten zich kunnen afmelden en moeten de keuze van de consument respecteren.
Recht op non-discriminatie
Bedrijven mogen consumenten die hun rechten onder de Indiana CDPA uitoefenen niet discrimineren. Discriminatie kan bestaan uit het weigeren van goederen of diensten, het rekenen van verschillende prijzen of tarieven, het bieden van een ander kwaliteitsniveau, of het suggereren dat een van bovenstaande acties zal plaatsvinden.
Verplichtingen voor bedrijven onder de Indiana Consumer Data Protection Act
De Indiana CDPA legt diverse juridisch bindende verplichtingen op aan bedrijven die persoonlijke informatie van inwoners van Indiana verzamelen, verwerken of delen, waaronder:
Transparantie- en kennisgevingsvereisten
Bedrijven moeten duidelijke en opvallende kennisgevingen aan consumenten verstrekken over hun gegevensverzamelings- en gebruikspraktijken. Deze kennisgevingen moeten een beschrijving bevatten van de rechten van de consument, de categorieën verzamelde persoonlijke gegevens, de doeleinden van verzameling, eventuele derden met wie de gegevens worden gedeeld of verkocht, en instructies voor het indienen van verzoeken met betrekking tot persoonlijke gegevens.
Dataminimalisatie en doellimiet
De Indiana CDPA vereist dat bedrijven alleen de minimale hoeveelheid persoonlijke gegevens verzamelen die nodig is om de doeleinden te vervullen waarvoor de gegevens zijn verzameld. Bedrijven moeten er ook voor zorgen dat het gebruik van persoonlijke gegevens beperkt blijft tot de specifieke doeleinden die aan de consument zijn bekendgemaakt.
Gegevensbeveiliging
Bedrijven zijn verplicht redelijke beveiligingsmaatregelen te implementeren om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang, openbaarmaking of vernietiging. De Wet geeft geen specifieke richtlijnen over wat redelijke beveiligingsmaatregelen zijn, maar bedrijven dienen rekening te houden met industriële beste practices en hun specifieke risicofactoren bij het ontwikkelen en onderhouden van gegevensbeveiligingsprogramma’s.
Data Protection Assessments
Bedrijven moeten beoordelingen van gegevensbescherming uitvoeren voor bepaalde risicovolle gegevensverwerkingsactiviteiten, zoals de verkoop van persoonlijke gegevens, gerichte advertenties of het verwerken van gevoelige gegevens. Deze beoordelingen moeten de risico’s en voordelen van de gegevensverwerkingsactiviteiten evalueren en rekening houden met de potentiële impact op de privacy van de consument.
Contractuele vereisten met dienstverleners
Bedrijven die persoonlijke gegevens delen met dienstverleners moeten contracten aangaan die bepaalde bepalingen bevatten, zoals de verplichting van de dienstverlener om te voldoen aan de Indiana CDPA, beperkingen op het gebruik van persoonlijke gegevens voor andere doeleinden dan gespecificeerd in het contract, en vereisten voor de dienstverlener om passende gegevensbeveiligingsmaatregelen te implementeren en te handhaven.
Overeenkomsten en verschillen tussen de Indiana Consumer Data Protection Act en andere staats- en federale wetten
Indiana is een van diverse staten met privacywetten ter bescherming van hun inwoners. Niet verrassend delen verschillende andere staats- en federale privacywetten overeenkomsten met de Indiana Consumer Data Protection Act, waaronder:
California Consumer Privacy Act (CCPA)
De California Consumer Privacy Act (CCPA) is een uitgebreide privacywet die inwoners van Californië vergelijkbare rechten biedt als onder de Indiana CDPA, zoals het recht op toegang, verwijdering en het recht om zich af te melden voor de verkoop van hun persoonlijke informatie. Er zijn echter belangrijke verschillen, zoals de bredere definitie van “verkoop” in de CCPA en de hogere drempels voor toepasselijkheid op bedrijven.
Virginia Consumer Data Protection Act
De Virginia Consumer Data Protection Act (VCDPA) biedt ook vergelijkbare consumentenrechten en -bescherming, maar bevat geen privaat recht van actie en vertrouwt uitsluitend op de handhavingsbevoegdheid van de procureur-generaal van Virginia.
General Data Protection Regulation (GDPR)
De General Data Protection Regulation (GDPR) van de Europese Unie is uitgebreider en strenger dan de Indiana CDPA, met robuustere consumentenrechten, verplichtingen voor bedrijven die persoonlijke informatie verwerken, en strengere sancties bij niet-naleving.
Andere staatsprivacywetten
Diverse andere staten, zoals Colorado, Connecticut en Nevada, hebben privacywetten aangenomen die overeenkomsten vertonen met de Indiana CDPA, maar kunnen verschillen qua reikwijdte, definities en vereisten. Voor een kaart en volledige lijst van staten die een privacywet hebben voorgesteld, aangenomen of ondertekend, en meer informatie over elke wet, klik hier.
Indiana Consumer Data Protection Act compliance strategieën voor bedrijven
Om te voldoen aan de Indiana CDPA moeten bedrijven diverse stappen nemen, waaronder:
| Stap 1 | Beoordeel en actualiseer privacybeleid en kennisgevingen om ervoor te zorgen dat deze gegevensverwerkingsactiviteiten duidelijk en accuraat beschrijven en voldoen aan de vereisten van de Wet. |
| Stap 2 | Implementeer processen om te reageren op verzoeken van consumenten om toegang tot, verwijdering van, of afmelding voor de verkoop of het delen van persoonlijke informatie. |
| Stap 3 | Zorg dat de juiste gegevensbeveiligingsmaatregelen aanwezig zijn om persoonlijke informatie te beschermen tegen ongeautoriseerde toegang, gebruik of openbaarmaking. |
| Stap 4 | Voer regelmatig risicobeoordelingen uit en werk alle gegevensverwerkingsactiviteiten bij indien nodig om geïdentificeerde risico’s te beperken. |
| Stap 5 | Wijs een functionaris voor gegevensprivacy aan, indien vereist, om toezicht te houden op naleving van de Wet en stel een uitgebreid privacyprogramma op dat training voor medewerkers en regelmatige audits en beoordelingen van gegevensverwerkingsactiviteiten omvat. |
Kiteworks beschikt over een lange lijst van behaalde compliance- en certificeringsprestaties.
Veelgestelde vragen over de Indiana CDPA
1. Wat is de Indiana Consumer Data Protection Act en wat is het doel?
De Indiana Consumer Data Protection Act is een uitgebreide privacywet die de persoonlijke informatie van inwoners van Indiana wil beschermen. De Wet is van toepassing op elk bedrijf dat persoonlijke informatie van inwoners van Indiana verzamelt, verwerkt of bewaart, ongeacht waar het bedrijf is gevestigd. De Indiana CDPA heeft als doel inwoners van Indiana meer controle te geven over hun persoonlijke informatie en vereist dat bedrijven maatregelen nemen om te beschermen tegen datalekken en de veiligheid en vertrouwelijkheid van persoonlijke informatie te waarborgen.
2. Welke soorten persoonlijke informatie vallen onder de Indiana Consumer Data Protection Act?
De Indiana CDPA omvat een breed scala aan persoonlijke informatie, waaronder maar niet beperkt tot namen, adressen, telefoonnummers, e-mailadressen, burgerservicenummers, rijbewijsnummers, paspoortnummers, biometrische gegevens, gezondheidsinformatie, financiële informatie en online browse- en zoekgeschiedenis. De Wet dekt ook informatie over interacties van een consument met een bedrijf, zoals aankoopgeschiedenis, klantenserviceverzoeken en marketingvoorkeuren.
3. Wat zijn de belangrijkste vereisten voor bedrijven onder de Indiana Consumer Data Protection Act?
Onder de Indiana CDPA moeten bedrijven uitdrukkelijke toestemming verkrijgen van consumenten voordat zij hun persoonlijke informatie verzamelen, verwerken of openbaar maken. Bedrijven moeten consumenten ook bepaalde rechten bieden met betrekking tot hun persoonlijke informatie, zoals het recht op toegang, verwijdering en correctie van hun persoonlijke informatie. Bedrijven moeten redelijke beveiligingsmaatregelen implementeren om te beschermen tegen datalekken en moeten consumenten en het kantoor van de procureur-generaal van Indiana op de hoogte stellen in het geval van een datalek dat meer dan 500 inwoners van Indiana treft. Daarnaast zijn bedrijven verplicht beoordelingen van gegevensbescherming uit te voeren en beleid voor gegevensbewaring en dataminimalisatie te implementeren.
4. Wat zijn de sancties bij niet-naleving van de Indiana Consumer Data Protection Act?
De Indiana CDPA voorziet in civiele boetes tot $5.000 per overtreding, met een maximale boete van $500.000 per incident. Daarnaast kan het kantoor van de procureur-generaal van Indiana een actie starten om een overtreding van de Wet te stoppen of om schadevergoeding te verkrijgen namens getroffen consumenten. Bedrijven kunnen ook reputatieschade en verlies van consumentenvertrouwen oplopen bij een datalek of schending van de Indiana CDPA.
5. Hoe verhoudt de Indiana Consumer Data Protection Act zich tot andere staatsprivacywetten?
De Indiana CDPA is een van diverse staatsprivacywetten die de afgelopen jaren zijn aangenomen, waaronder de California Consumer Privacy Act (CCPA), de Virginia Consumer Data Protection Act (VCDPA) en de Colorado Privacy Act (CPA). Hoewel er overeenkomsten zijn tussen deze wetten, bevat de Indiana CDPA enkele unieke bepalingen. Zo vereist de Indiana CDPA dat bedrijven beoordelingen van gegevensbescherming uitvoeren, wat niet verplicht is onder de CCPA of VCDPA. Ook vereist de Indiana CDPA dat bedrijven beleid voor gegevensbewaring en dataminimalisatie implementeren, wat niet expliciet vereist is onder de andere staatswetten. Daarnaast zijn de boetes voor niet-naleving van de Indiana CDPA lager dan onder de CCPA of VCDPA, maar hoger dan onder de California Privacy Rights Act (CPRA). Al met al weerspiegelt de Indiana CDPA een groeiende trend richting uitgebreide staatsprivacywetten, en bedrijven zullen hun verplichtingen onder elke toepasselijke wet zorgvuldig moeten overwegen.
Kiteworks helpt bedrijven te voldoen aan de Indiana Consumer Data Protection Act
Het veilig communiceren van gevoelige inhoud is essentieel om te voldoen aan regelgeving zoals de Indiana Consumer Data Protection Act. Om persoonlijk identificeerbare informatie (PII) van inwoners van Indiana effectief te beschermen, moeten bedrijven in de private sector een systeem hebben om digitale communicatie van PII te volgen, te beheren en te beveiligen. In het verleden vertrouwden bedrijven op meerdere tools en benaderingen om de diverse communicatiekanalen te beheren, zoals e-mail, bestandsoverdracht en application programming interfaces (API’s), wat leidde tot een fragmentatie van metadata die het moeilijk maakt om een centraal en geautomatiseerd systeem te onderhouden, beschermen en beheren.
Het Kiteworks Private Content Network stelt organisaties in staat hun gevoelige communicatie met betrekking tot PII te centraliseren, waaronder e-mail, beheerde bestandsoverdracht, bestandsoverdracht, webformulieren en meer. Met Kiteworks kunnen organisaties gevoelige gegevens volgen, beheren en beveiligen die binnen en buiten hun organisatie worden gedeeld en verzonden—dit alles draagt bij aan naleving van de Indiana CDPA.
Kiteworks biedt bedrijven diverse functies om de PII van klanten te beschermen. Zo worden alle gegevens tijdens verzending en in rust versleuteld om maximale beveiliging te waarborgen. Robuuste toegangscontroles beperken wie toegang heeft tot gevoelige PII en rolgebaseerde rechten bepalen wie deze en andere inhoud mag downloaden, bewerken of alleen bekijken. In overeenstemming met het “recht om vergeten te worden” staat Kiteworks het wissen van PII toe wanneer dat nodig is. Met de functie voor wissen op afstand kunnen organisaties gegevens van verloren of gestolen apparaten verwijderen, wat PII extra beschermt. Tot slot gebruikt Kiteworks digital rights management (DRM) om ongeoorloofde verspreiding van gegevens te voorkomen, wat de naleving van de Indiana CDPA versterkt.
Plan vandaag nog een aangepaste demo om meer te weten te komen over het Kiteworks Private Content Network en hoe dit uw organisatie kan helpen te voldoen aan de Indiana CDPA en andere staatsprivacywetten.