Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Oregon Consumer Privacy Act: Een diepgaand overzicht van de nieuwe privacywet van de staat Oregon

Startpagina Woordenlijst Oregon Consumer Privacy Act: Een diepgaand overzicht van de nieuwe privacywet van de staat Oregon

Wet bescherming persoonsgegevens blijft een urgent aandachtspunt en staten in de Verenigde Staten nemen maatregelen om de persoonlijk identificeerbare informatie (PII) van hun inwoners te beschermen. Oregon is de nieuwste staat die zich aansluit bij een groeiende lijst van staten met uitgebreide wetgeving op het gebied van gegevensbescherming. De Oregon Consumer Privacy Act (OCPA) treedt op 1 juli 2024 in werking. Hiermee wordt Oregon de 11e staat die uitgebreide consumentenwetgeving voor gegevensbescherming invoert en de zesde staat die dit doet in 2023. Opvallend is dat Oregon de eerste door Democraten geleide staat is die in 2023 een consumentenwet voor gegevensbescherming aanneemt, wat de groeiende bipartisane bezorgdheid over het beschermen van privacyrechten van individuen onderstreept.

Dit artikel gaat dieper in op de belangrijkste bepalingen van de OCPA en vergelijkt deze met soortgelijke wetten in andere staten.

Oregon Consumer Privacy Act: Een diepgaand overzicht van de nieuwe privacywet van de staat Oregon

De krachtigste staatswet op gegevensbescherming tot nu toe?

De introductie van al deze nieuwe privacywetten op staatsniveau weerspiegelt een bredere trend van toenemende nadruk op consumentenprivacy en -bescherming. Deze regelgeving is bedoeld om individuen meer controle te geven over hun persoonlijke informatie en legt bedrijven verplichtingen op om gegevens op verantwoorde wijze te behandelen.

Volgens het Kiteworks 2023 Sensitive Content Communications Privacy and Compliance Report heeft een meerderheid van de Amerikaanse respondenten (53%) al een formeel proces opgezet om te voldoen aan de nieuwe privacyregelgeving op staatsniveau, terwijl 36% actief werkt aan de ontwikkeling ervan. Deze bevindingen tonen aan dat bedrijven het belang inzien van het naleven van het veranderende privacylandschap en stappen ondernemen om te voldoen aan de vereiste die door deze nieuwe regelgeving wordt opgelegd.

De OCPA is geïnspireerd op de Connecticut Data Privacy Act en de Colorado Privacy Act, maar bevat unieke bepalingen die de wet onderscheiden van andere staatswetten.

Hoewel het lastig is om te bepalen wat de “sterkste” privacywet op staatsniveau is, kan de wetgeving van Oregon worden beschouwd als behorend tot dezelfde hogere categorie als Colorado en Connecticut. Dit betekent dat zij op diverse punten een meer consumentvriendelijke wet hebben geïmplementeerd dan andere staten.

Wie wordt beschermd onder de Oregon Consumer Privacy Act?

De Oregon Consumer Privacy Act is van toepassing op een breed scala aan bedrijven die actief zijn in Oregon of producten of diensten aanbieden aan inwoners van Oregon. De toepasbaarheid van de OCPA is gebaseerd op specifieke criteria die in de wet zijn vastgelegd.

De OCPA geldt bijvoorbeeld voor personen die zaken doen in Oregon of producten of diensten leveren aan inwoners van Oregon. Het is van toepassing op entiteiten die gedurende een kalenderjaar de persoonlijke gegevens van een bepaald aantal consumenten beheren of verwerken. De drempel voor toepasbaarheid is als volgt gedefinieerd:

  1. Drempel persoonlijke gegevens: De OCPA is van toepassing op personen die de persoonlijke gegevens van 100.000 of meer consumenten beheren of verwerken, met uitzondering van persoonlijke gegevens die uitsluitend worden beheerd of verwerkt voor het voltooien van een betalingstransactie.
  2. Omzetdrempel: Alternatief geldt de OCPA voor personen die de persoonlijke gegevens van 25.000 of meer consumenten beheren of verwerken, terwijl zij 25% of meer van hun jaarlijkse bruto-omzet halen uit de verkoop van persoonlijke gegevens.

Om deze drempels in perspectief te plaatsen: Oregon heeft een bevolking van ongeveer 4,24 miljoen mensen. Met de drempel van 100.000 persoonlijke gegevens omvat dit ongeveer 2,35% van de bevolking van de staat.

Het is ook belangrijk op te merken dat de term “consument” in de OCPA verwijst naar natuurlijke personen die in Oregon wonen en op enige wijze met bedrijven in contact staan, anders dan in een commerciële of arbeidscontext. Dit betekent dat werknemersgegevens en business-to-business gegevens over het algemeen buiten de reikwijdte van de OCPA vallen.

Uitzonderingen en reikwijdte van de OCPA

De OCPA voorziet ook in uitzonderingen voor bepaalde soorten gegevens en organisaties. Persoonlijke gegevens die onder de Gramm-Leach-Bliley Act (GLBA) vallen, zijn bijvoorbeeld uitgezonderd van de bepalingen van de OCPA. De OCPA bevat geen specifieke uitzondering voor entiteiten die onder HIPAA vallen, maar wel voor gegevens die onder HIPAA vallen.

De OCPA biedt ook geen algemene uitzondering voor non-profitorganisaties, maar bevat wel specifieke uitzonderingen voor bepaalde non-profitactiviteiten. Zo is de OCPA niet van toepassing op non-profitorganisaties die zijn opgericht om verzekeringsfraude op te sporen en te voorkomen. Ook geldt de wet niet voor niet-commerciële activiteiten van non-profitorganisaties die programma’s aanbieden aan radio- of televisienetwerken.

Door duidelijke drempels te stellen en de toepasbaarheid te definiëren, zorgt de OCPA ervoor dat bedrijven die actief zijn in Oregon of inwoners van Oregon bedienen, onder de privacyverplichtingen van de wet vallen. Dit helpt de privacyrechten van consumenten te beschermen en biedt bedrijven een kader om persoonlijke gegevens op verantwoorde en transparante wijze te beheren.

Inzicht in de definitie van persoonlijke gegevens volgens de OCPA

Onder de OCPA is de definitie van “persoonlijke gegevens” breed en omvat deze diverse soorten informatie, waaronder gegevens, afgeleide gegevens of unieke identificatoren die redelijkerwijs te herleiden zijn tot een consument of een apparaat dat één of meer consumenten in een huishouden identificeert.

De definitie van persoonlijke gegevens in de OCPA is bewust ruim opgezet om rekening te houden met de veranderende aard van gegevensverzameling en de mogelijke privacygevolgen daarvan. Er wordt erkend dat persoonlijke gegevens verder gaan dan traditionele identificatoren zoals namen en adressen, en ook gegevens omvatten die, wanneer ze worden gecombineerd of geanalyseerd, informatie over een individu kunnen onthullen.

Het is belangrijk op te merken dat de OCPA expliciet geanonimiseerde gegevens uitsluit van de definitie van persoonlijke gegevens. “Geanonimiseerde gegevens” verwijst naar informatie die zodanig is verwerkt of aangepast dat deze niet langer direct of indirect kan worden gebruikt om een individu te identificeren. Met deze uitsluiting wordt erkend dat gegevens die effectief zijn geanonimiseerd en niet opnieuw kunnen worden geïdentificeerd, niet onder de reikwijdte van persoonlijke gegevens volgens de OCPA vallen.

Overwegingen voor naleving door betrokken entiteiten

Betrokken entiteiten, oftewel bedrijven die onder de vereiste van de OCPA vallen, moeten hun procedures voor gegevensverzameling en -verwerking zorgvuldig beoordelen om te voldoen aan de definitie van persoonlijke gegevens. Zij dienen te evalueren welke soorten gegevens zij verzamelen, zowel rechtstreeks van consumenten als via andere bronnen, en bepalen of deze informatie voldoet aan de criteria uit de OCPA-definitie.

Bovendien dienen betrokken entiteiten ook hun openbaar toegankelijke verklaringen, zoals privacybeleid en kennisgevingen, te evalueren om ervoor te zorgen dat deze een nauwkeurige weergave geven van de soorten persoonlijke gegevens die zij verzamelen en verwerken. Transparantie en heldere communicatie met consumenten over gegevensverzamelingspraktijken zijn essentieel onder de OCPA. Organisaties moeten individuen een volledig inzicht bieden in welke persoonlijke gegevens zij verzamelen en hoe deze worden gebruikt.

Belangrijkste consumentenrechten onder de OCPA

De Oregon Consumer Privacy Act (OCPA) geeft consumenten in Oregon diverse rechten met betrekking tot hun persoonlijke gegevens. Deze rechten zorgen ervoor dat individuen controle hebben over hun informatie en weloverwogen beslissingen kunnen nemen over het verzamelen en gebruiken ervan. Hieronder de belangrijkste consumentenrechten volgens de OCPA.

Recht op inzage

Consumenten in Oregon hebben het recht om bevestiging te vragen en te verkrijgen van gegevensbeheerders over de verwerking van hun persoonlijke gegevens. Zij kunnen ook een kopie opvragen van hun verwerkte persoonlijke gegevens om te begrijpen hoe hun informatie wordt gebruikt.

Recht op correctie

De OCPA biedt inwoners van Oregon ook het recht op correctie. Als individuen onnauwkeurigheden of fouten ontdekken in hun persoonlijke gegevens die door gegevensbeheerders worden bewaard, hebben zij het recht om correctie of rectificatie van die informatie te verzoeken. Dit stelt individuen in staat om ervoor te zorgen dat hun gegevens accuraat en up-to-date zijn, wat de integriteit en betrouwbaarheid van gegevens bevordert.

Recht op verwijdering

Een ander belangrijk consumentenrecht onder de OCPA is het recht op verwijdering. Consumenten kunnen verzoeken om hun persoonlijke gegevens uit de administratie van gegevensbeheerders te laten verwijderen. Dit recht stelt individuen in staat hun informatie te laten wissen wanneer deze niet langer nodig is voor het doel waarvoor deze is verzameld, of wanneer zij hun toestemming voor verwerking intrekken. Het geeft individuen controle over hun gegevens en de mogelijkheid om de bewaartermijn naar eigen voorkeur te beheren.

Recht om bezwaar te maken

De OCPA erkent en respecteert het recht van consumenten om keuzes te maken met betrekking tot hun persoonlijke gegevens. Het geeft individuen het recht om bezwaar te maken tegen bepaalde activiteiten met betrekking tot hun informatie. Dit omvat de mogelijkheid om bezwaar te maken tegen gerichte reclame, waarbij persoonlijke gegevens door adverteerders worden gebruikt om gepersonaliseerde advertenties te sturen. Daarnaast kunnen consumenten bezwaar maken tegen de verkoop van hun persoonlijke gegevens, waardoor wordt voorkomen dat deze zonder hun toestemming aan derden worden overgedragen of verkocht. Dit recht stelt individuen in staat hun privacy te beschermen en te bepalen hoe hun gegevens worden gebruikt.

Recht op dataportabiliteit

Onder de OCPA genieten consumenten het recht op dataportabiliteit. Dit betekent dat individuen het recht hebben hun persoonlijke gegevens te ontvangen in een draagbaar en bruikbaar formaat. Hierdoor kunnen zij hun informatie eenvoudig overdragen tussen verschillende diensten of platforms, wat de mobiliteit en flexibiliteit van consumenten vergroot en het mogelijk maakt om naadloos van aanbieder te wisselen of hun gegevens voor persoonlijke doeleinden te gebruiken.

Universele opt-outmechanismen voor consumentencontrole

Een opvallende vereiste die door de OCPA wordt geïntroduceerd, is de erkenning van universele opt-outmechanismen door gegevensbeheerders vanaf 1 januari 2026. Dit betekent dat bedrijven universele mechanismen moeten respecteren waarmee consumenten kunnen aangeven dat zij niet willen dat hun persoonlijke gegevens worden verkocht of gedeeld via meerdere platforms of diensten. Deze bepaling is bedoeld om consumenten een consistente en gestroomlijnde manier te bieden om hun voorkeuren voor opt-out uit te oefenen.

Deze consumentenrechten onder de OCPA zijn bedoeld om transparantie, controle en verantwoordelijkheid te waarborgen bij de omgang met persoonlijke gegevens. Door individuen het recht te geven op inzage, correctie, verwijdering, bezwaar en dataportabiliteit, stelt de OCPA consumenten in staat een actieve rol te spelen in het beheren van hun privacy en het beschermen van hun persoonlijke informatie.

Verantwoordelijkheden en plichten van beheerders onder de OCPA

Beheerders die onder de OCPA vallen, hebben diverse verplichtingen om de bescherming en verantwoorde omgang met persoonlijke gegevens van inwoners van Oregon te waarborgen. Deze verplichtingen omvatten:

  1. Privacyverklaring: Beheerders moeten een privacyverklaring verstrekken die specifieke inhoud bevat zoals vereist door de OCPA. De verklaring moet consumenten informeren over de doeleinden van gegevensverwerking en de categorieën van derden met wie de beheerder persoonlijke gegevens deelt.
  2. Beperking van verwerking: Beheerders moeten de verwerking van persoonlijke gegevens beperken tot wat redelijkerwijs noodzakelijk en relevant is voor de opgegeven doeleinden.
  3. Consumentenrechten op privacy: Beheerders moeten een veilige en betrouwbare manier bieden waarmee consumenten hun privacyrechten onder de OCPA kunnen uitoefenen.
  4. Toestemming voor gevoelige gegevens: Beheerders moeten toestemming van de consument verkrijgen voordat gevoelige gegevens worden verwerkt. Gevoelige gegevens omvatten doorgaans informatie zoals gezondheidsgegevens, ras of etnische afkomst, religieuze overtuigingen of biometrische informatie.
  5. Verwerkersovereenkomsten: Beheerders moeten contracten afsluiten met hun verwerkers. In deze contracten worden de verantwoordelijkheden en verplichtingen van de verwerkers vastgelegd bij het verwerken van persoonlijke gegevens namens de beheerder.
  6. Data Protection Assessments: Beheerders moeten data protection assessments uitvoeren en documenteren voor specifieke verwerkingsactiviteiten die een verhoogd risico op schade voor consumenten met zich meebrengen.

Door deze verplichtingen op beheerders te leggen, beoogt de OCPA consumentenprivacy te waarborgen, transparantie te vergroten en verantwoord gegevensbeheer te bevorderen. Naleving van deze vereiste stelt beheerders in staat vertrouwen op te bouwen bij consumenten en hun toewijding aan de bescherming van persoonlijke gegevens volgens de wet te tonen.

Compliance and Certification Table

Kiteworks beschikt over een lange lijst van behaalde certificeringen en nalevingen.

De rol van Data Protection Assessments onder de OCPA

De OCPA, in lijn met andere staatswetten op het gebied van gegevensbescherming, verplicht gegevensbeheerders om data protection assessments uit te voeren voor bepaalde verwerkingsactiviteiten die een verhoogd risico vormen voor de privacy van consumenten. Deze assessments dienen als mechanisme om potentiële risico’s bij het verwerken van persoonlijke gegevens te evalueren en te beperken. De belangrijkste aspecten van data protection assessments onder de OCPA zijn:

  1. Assessmentvereiste: Gegevensbeheerders zijn verplicht data protection assessments uit te voeren voor verwerkingsactiviteiten die gevoelige persoonlijke gegevens of persoonlijke gegevens voor gerichte reclame, verkoop of profilering omvatten. De assessments zijn bedoeld om eventuele voorzienbare risico’s voor de privacy van consumenten te identificeren en aan te pakken die voortvloeien uit deze specifieke verwerkingsactiviteiten.
  2. Verhoogd risico: De verplichting tot data protection assessments richt zich op activiteiten die een verhoogd risico vormen voor de privacy van individuen. Dit omvat het verwerken van gevoelige persoonlijke gegevens, die doorgaans informatie bevatten die, indien verkeerd behandeld, kan leiden tot schade of discriminatie van het individu. Daarnaast zijn assessments vereist voor verwerkingsactiviteiten waarbij persoonlijke gegevens worden gebruikt voor gerichte reclame, verkoop of profilering, wat mogelijk invloed heeft op de rechten en belangen van individuen.
  3. Bewaartermijn: Gegevensbeheerders zijn verplicht de resultaten van de data protection assessments minimaal vijf jaar te bewaren. Deze bewaartermijn zorgt ervoor dat de assessments kunnen worden geraadpleegd indien nodig, bijvoorbeeld voor nalevingsverificatie of bij vragen van toezichthouders.

Door het uitvoeren van data protection assessments stimuleert de OCPA gegevensbeheerders om de privacygevolgen van hun verwerkingsactiviteiten te beoordelen en passende maatregelen te nemen om de persoonlijke gegevens van consumenten te beschermen. Deze assessments bevorderen proactief risicobeheer, waardoor organisaties potentiële privacyrisico’s kunnen identificeren en beperken voordat deze leiden tot nadelige gevolgen voor individuen.

Het is van cruciaal belang dat gegevensbeheerders voldoen aan de vereiste van de OCPA voor data protection assessments door grondige assessments uit te voeren, de bevindingen te documenteren en passende beschermingsmaatregelen te implementeren op basis van de uitkomsten. Zo kunnen organisaties hun inzet voor consumentenprivacy aantonen en zich scharen achter de principes van verantwoord gegevensbeheer en beste practices op het gebied van privacy.

Handhaving van privacyrechten: OCPA-handhavingsmaatregelen en rechtsmiddelen

De OCPA stelt een handhavingskader en rechtsmiddelen vast voor overtredingen van de wet. De handhavingsbevoegdheid ligt bij de procureur-generaal van Oregon, die verantwoordelijk is voor het naleven van de bepalingen van de OCPA. Hieronder de belangrijkste elementen met betrekking tot handhaving en rechtsmiddelen onder de OCPA:

  1. Handhavingsbevoegdheid: De procureur-generaal van Oregon heeft de bevoegdheid om de OCPA te handhaven en op te treden tegen overtreders. Deze bevoegdheid stelt de procureur-generaal in staat om mogelijke overtredingen te onderzoeken, naleving van de wet af te dwingen en degenen die niet aan de vereiste van de OCPA voldoen ter verantwoording te roepen.
  2. Civielrechtelijke boetes: De OCPA geeft de procureur-generaal de mogelijkheid om civielrechtelijke boetes op te leggen aan entiteiten die de wet overtreden. Deze boetes kunnen oplopen tot maximaal $7.500 per overtreding, wat een sterke afschrikking vormt voor niet-naleving en het belang van het naleven van de privacyverplichtingen onder de OCPA onderstreept.
  3. Injunctieve en billijke rechtsmiddelen: Naast civielrechtelijke boetes kan de procureur-generaal een gerechtelijk bevel of andere billijke rechtsmiddelen eisen tegen overtreders. Dit stelt de procureur-generaal in staat om juridische stappen te ondernemen om voortdurende overtredingen te stoppen, naleving af te dwingen of passende rechtsmiddelen te bieden aan getroffen individuen.
  4. Recht op herstel: De OCPA bevat een bepaling voor het recht op herstel, waarmee entiteiten de mogelijkheid krijgen om overtredingen binnen een bepaalde termijn te corrigeren. Tot 1 januari 2026 hebben entiteiten die de OCPA overtreden de kans om de niet-naleving te herstellen en alsnog aan de wet te voldoen.
  5. Geen individueel recht op actie: In tegenstelling tot sommige andere privacywetten geeft de OCPA consumenten geen individueel recht om te procederen bij overtredingen. Dit betekent dat individuen niet rechtstreeks juridische stappen kunnen ondernemen tegen entiteiten wegens vermeende overtredingen van de OCPA. Handhavingsacties en rechtsmiddelen worden primair afgehandeld door het kantoor van de procureur-generaal van Oregon.

Door de handhavingsbevoegdheid toe te kennen aan de procureur-generaal van Oregon, zorgt de OCPA ervoor dat overtredingen van de wet adequaat worden aangepakt en dat entiteiten consequenties ondervinden bij niet-naleving. De beschikbaarheid van civielrechtelijke boetes, injunctieve en billijke rechtsmiddelen biedt een scala aan handhavingsinstrumenten om naleving van de privacyverplichtingen van de OCPA te bevorderen. Het ontbreken van een individueel recht op actie benadrukt de rol van het kantoor van de procureur-generaal bij het handhaven van de bepalingen van de OCPA en het beschermen van de privacyrechten van consumenten.

Kiteworks helpt organisaties te voldoen aan de OCPA

Het Kiteworks Private Content Network (PCN) helpt organisaties om aan te tonen dat zij voldoen aan de OCPA. Kiteworks verenigt alle communicatiekanalen voor content—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en meer—op één platform, zodat organisaties het privégegevens van consumenten kunnen volgen, beheren en beveiligen.

Het Kiteworks Private Content Network wordt beschermd door een hardened virtual appliance, die is ontworpen met een ingebouwde netwerkfirewall en webapplicatiefirewall. Het waarborgt zero-trust, least-privilege toegang en minimaliseert het aanvalsoppervlak.

Het Kiteworks PCN biedt robuuste bescherming tegen datalekken en malwarebedreigingen dankzij de integratiemogelijkheden met preventie van gegevensverlies en advanced threat protection oplossingen. De DLP-integraties van Kiteworks voorkomen dat PII het bedrijf verlaat. Bestanden worden in realtime gescand op gevoelige gegevens en toegepaste beleidsregels voorkomen ongeautoriseerde toegang of overdracht van PII. Evenzo helpen de ATP-integraties van Kiteworks organisaties om te voorkomen dat malware het bedrijf binnendringt en PII in gevaar brengt. Elk inkomend bestand wordt gescand op kwaadaardige code en geïnfecteerde bestanden worden verwijderd en in quarantaine geplaatst voor verdere inspectie.

Elk bestand wordt versleuteld tijdens verzending en opslag om een extra beschermingslaag te bieden tegen ongeautoriseerde toegang. Geautomatiseerde end-to-end encryptie zorgt ervoor dat zelfs als gegevens worden onderschept, deze veilig en onleesbaar blijven. Daarnaast gebruikt Kiteworks digital rights management om de toegang tot PII te beheren. Organisaties gebruiken Kiteworks om toegangsrechten te definiëren en af te dwingen op basis van functierollen, zodat alleen geautoriseerd intern personeel gevoelige informatie kan inzien of verwerken.

Alle bestandsactiviteiten worden gevolgd, geregistreerd en opgenomen in een uitgebreide audit log, inclusief wie een bestand heeft geraadpleegd, gewijzigd, gedownload, geüpload of gedeeld. Deze audit log stelt organisaties niet alleen in staat om gebruikersactiviteiten te monitoren, maar faciliteert ook naleving van diverse regelgeving op het gebied van gegevensbescherming. De integratie van de audit log van Kiteworks met security information and event management (SIEM) oplossingen maakt gecentraliseerde monitoring en analyse mogelijk, waardoor organisaties kunnen aantonen dat zij voldoen aan regelgeving zoals de OCPA, de General Data Protection Regulation (GDPR), de Health Insurance Portability and Accountability Act (HIPAA) en vele andere.

Bovendien biedt Kiteworks organisaties beveiligde webformulieren, die essentieel zijn voor het voldoen aan toestemmingsvereisten onder de OCPA. Deze tools stellen organisaties in staat om betrouwbare opt-inmechanismen en toestemmingsprocedures op te zetten, zodat wordt voldaan aan de OCPA en andere regelgeving op het gebied van gegevensbescherming. Hierdoor kunnen bedrijven het geven van toestemming voor het verwerken van persoonlijke informatie effectief beheren en volgen, met behoud van transparantie en verantwoordelijkheid.

Met Kiteworks als betrouwbare oplossing kunnen bedrijven effectief omgaan met de complexiteit van de Oregon Consumer Privacy Act, zodat zij compliant blijven en tegelijkertijd gegevensbescherming en beveiliging prioriteit geven.

Wil je meer weten over hoe het Kiteworks Private Content Network organisaties helpt om te voldoen aan de OCPA en andere privacyregelgeving? Plan dan vandaag nog een op maat gemaakte demo in.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks