Wat is de California Privacy Rights Act (CPRA)?

In onze huidige, data-gedreven economie zijn regelgeving voor dataprivacy cruciale zakelijke overwegingen geworden die alles kunnen beïnvloeden, van klantvertrouwen tot winstgevendheid. De California Privacy Rights Act (CPRA) vertegenwoordigt een van de meest uitgebreide privacywetten in de Verenigde Staten en beïnvloedt miljoenen bedrijven wereldwijd die Californische consumenten bedienen.

Of u nu een startup bent die klant-e-mails verzamelt of een onderneming die complexe data-ecosystemen beheert, het begrijpen van CPRA-vereisten is niet optioneel—het is essentieel voor juridische naleving, competitief voordeel en consumentenvertrouwen. Deze uitgebreide gids leidt u door alles wat u moet weten over CPRA-naleving, van het begrijpen van kernvereisten tot het implementeren van praktische nalevingsstrategieën. U leert over consumentenrechten, zakelijke verplichtingen, handhavingsmechanismen en concrete stappen om ervoor te zorgen dat uw organisatie voldoet aan de strenge privacy-normen van Californië.

Samenvatting voor leidinggevenden

Hoofdidee: De California Privacy Rights Act (CPRA) is Californië’s uitgebreide dataprivacy wet die in januari 2023 van kracht werd. Het biedt inwoners van Californië uitgebreide rechten over hun persoonlijke informatie, terwijl bedrijven worden verplicht robuuste privacybescherming, transparantiemaatregelen en consumentenverzoekprocessen te implementeren.

Waarom het belangrijk is: CPRA-naleving gaat niet alleen over het vermijden van boetes tot $7.500 per overtreding—het gaat om het opbouwen van consumentenvertrouwen, het verkrijgen van competitief voordeel en het toekomstbestendig maken van uw bedrijf tegen evoluerende privacyregelgeving. Niet-naleving kan resulteren in aanzienlijke financiële boetes, reputatieschade en gemiste zakelijke kansen in de grootste staats-economie van het land.

Wat is de California Privacy Rights Act (CPRA)?

De California Privacy Rights Act (CPRA) is Californië’s uitgebreide dataprivacywet die de persoonlijk identificeerbare informatie (PII) van inwoners van Californië beschermt. De wet trad in januari 2023 in werking en breidde de privacybescherming van Californië aanzienlijk uit. De CPRA zorgt ervoor dat inwoners van Californië robuuste controle hebben over hoe bedrijven hun persoonlijke informatie behandelen, inclusief verbeterde rechten om toegang te krijgen tot, te corrigeren, te verwijderen en het gebruik van hun gegevens te beperken.

De CPRA wordt beschouwd als een van de strengste privacywetten in de Verenigde Staten en biedt Californische consumenten ongekende controle over hun persoonlijke informatie, terwijl bedrijven worden verplicht om uitgebreide privacybescherming en transparantiemaatregelen te implementeren.

CPRA-nalevingsvereisten voor bedrijven

Het begrijpen van CPRA-naleving is essentieel voor elk bedrijf dat persoonlijke informatie van inwoners van Californië verzamelt, verwerkt of deelt. De wet stelt uitgebreide vereisten vast die veel verder gaan dan eenvoudige updates van het privacybeleid.

Wat is CPRA-naleving?

Gemodelleerd naar privacykaders zoals de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, vereist de CPRA dat bedrijven die PII van inwoners van Californië verzamelen, gedetailleerde informatie verstrekken over hun gegevenspraktijken. Om CPRA-naleving te waarborgen, moet een bedrijf zijn privacybeleid en operaties aanpassen om het volgende op te nemen:

• De informatie die een bedrijf verzamelt en verwerkt
• De reden waarom de informatie wordt verzameld en verwerkt
• Methoden die worden gebruikt om persoonlijke informatie te verzamelen en te verwerken
• Hoe consumenten hun rechten kunnen uitoefenen om toegang te krijgen tot, te corrigeren, te verwijderen of hun persoonlijke gegevens over te dragen
• De methode die wordt gebruikt om de identiteit van consumenten die verzoeken indienen te verifiëren
• De verkoop en het delen van gebruikers’ PII en hoe ze zich kunnen afmelden
• Hoe gevoelige persoonlijke informatie wordt gebruikt en openbaar gemaakt, en hoe consumenten dergelijk gebruik kunnen beperken
• Gegevensbewaring en verwijderingspraktijken
• Relaties met derden en gegevensuitwisselingsregelingen

Geografische reikwijdte en toepasselijkheid

De reikwijdte van de CPRA strekt zich ver buiten de grenzen van Californië uit en creëert nalevingsverplichtingen voor bedrijven wereldwijd.

Wereldwijde toepassing van de Californische privacywet

De CPRA is een staatswet van Californië, maar is van toepassing op bedrijven wereldwijd, mits zij PII van inwoners van Californië verwerken. De extraterritoriale reikwijdte van de wet betekent dat elk bedrijf dat Californische consumenten bedient, moet voldoen aan de CPRA-vereisten, ongeacht waar het bedrijf is gevestigd.

Organisaties die aan de CPRA moeten voldoen

De CPRA is van toepassing op alle winstgevende bedrijven die PII van inwoners van Californië verzamelen en beheren en die aan een van de volgende criteria voldoen:

• Bruto jaaromzet van meer dan US$25 miljoen
• 50% of meer van de jaarlijkse omzet komt uit de verkoop of het delen van PII van inwoners van Californië
• Koopt, ontvangt, verkoopt of deelt jaarlijks de PII van 100.000 of meer inwoners van Californië of huishoudens

Organisaties die niet onder de CPRA vallen

De CPRA is niet van toepassing op non-profitorganisaties, kleinere bedrijven die niet aan de omzetdrempels voldoen, en degenen die niet met grote hoeveelheden PII van inwoners van Californië omgaan.

Andere situaties waarin de CPRA niet van toepassing is, zijn onder meer:

Wanneer er geen PII bij betrokken is: De CPRA richt zich voornamelijk op PII. Publiek beschikbare informatie—namelijk informatie die wettelijk beschikbaar is gemaakt uit federale, staats- en lokale overheidsregisters—valt niet onder de CPRA.

Wanneer andere wetten en regelgeving van toepassing zijn:Andere regelgeving met betrekking tot gegevensbescherming reguleert al enkele industrieën. Dergelijke wetten omvatten de Health Insurance Portability and Accountability Act (HIPAA), de Gramm-Leach-Bliley Act (GLBA) en de Fair Credit Reporting Act (FCRA). De CPRA sluit gegevens uit die al onder deze wetten vallen.

Consumentenrechten onder de CPRA

De CPRA stelt zeven fundamentele privacyrechten vast die inwoners van Californië kunnen uitoefenen met betrekking tot hun persoonlijke informatie. Het begrijpen van deze rechten is cruciaal voor het implementeren van conforme bedrijfsprocessen.

De zeven kernprivacyrechten

Inwoners van Californië genieten uitgebreide controle over hun persoonlijke informatie via deze essentiële rechten:

Recht op kennis en toegang

Consumenten kunnen bedrijven verzoeken om openbaar te maken:

• Alle persoonlijke informatie die over de consument is verzameld
• Categorieën van bronnen waaruit de informatie is verzameld
• Het zakelijke doel voor het verzamelen van die informatie
• Eventuele derden met wie de informatie wordt gedeeld of verkocht

Recht op verwijdering

Consumenten kunnen verzoeken om verwijdering van hun persoonlijke informatie, met bepaalde uitzonderingen voor noodzakelijke bedrijfsactiviteiten zoals het voltooien van transacties, het detecteren van beveiligingsincidenten of het voldoen aan wettelijke verplichtingen.

Recht op correctie van onjuiste informatie

Consumenten hebben het recht om correctie van onjuiste persoonlijke informatie te verzoeken. Bedrijven moeten redelijke stappen ondernemen om onjuiste persoonlijke informatie te corrigeren na ontvangst van een verifieerbaar consumentenverzoek.

Recht op gegevensoverdraagbaarheid

Consumenten kunnen hun persoonlijke informatie opvragen in een draagbaar, direct bruikbaar formaat dat hen in staat stelt de gegevens zonder belemmering naar een andere entiteit over te dragen.

Recht om af te zien van verkoop en delen

Consumenten kunnen zich afmelden voor de verkoop of het delen van hun persoonlijke informatie. Bedrijven moeten duidelijke en opvallende links met de titel “Verkoop of deel mijn persoonlijke informatie niet” op hun websites aanbieden.

Recht om het gebruik van gevoelige persoonlijke informatie te beperken

Consumenten kunnen het gebruik en de openbaarmaking van hun gevoelige persoonlijke informatie beperken tot alleen wat nodig is om verwachte diensten te verlenen of gevraagde goederen te leveren.

Recht op non-discriminatie

Bedrijven mogen consumenten niet discrimineren voor het uitoefenen van hun privacyrechten door goederen of diensten te weigeren, verschillende prijzen in rekening te brengen of verschillende kwaliteitsniveaus te bieden.

Categorieën persoonlijke informatie onder de CPRA

De CPRA biedt gedetailleerde definities van typen persoonlijke informatie, met speciale bescherming voor gevoelige categorieën. Het begrijpen van deze definities is essentieel voor correcte gegevensclassificatie en naleving van regelgeving.

Standaard persoonlijke informatie

De CPRA definieert persoonlijke informatie breed als informatie die “identificeert, betrekking heeft op, beschrijft, kan worden geassocieerd met of redelijkerwijs kan worden gekoppeld aan een bepaalde persoon.” Deze uitgebreide definitie omvat:

• Identificatoren zoals echte naam, alias, postadres, unieke persoonlijke identificator, online identificator, IP-adres, e-mailadres, accountnaam, burgerservicenummer, rijbewijsnummer of paspoortnummer
• Commerciële informatie, inclusief aankooprecords en consumptiegeschiedenis
• Biometrische informatie voor identificatiedoeleinden
• Internetactiviteitsinformatie zoals browsegeschiedenis en website-interacties
• Geolocatiegegevens die de locatie van de consument kunnen identificeren
• Audio-, elektronische, visuele, thermische, olfactorische of vergelijkbare informatie
• Professionele of werkgerelateerde informatie
• Onderwijsinformatie die niet openbaar beschikbaar is
• Inzichten die worden getrokken om consumentenprofielen te creëren die voorkeuren, kenmerken of gedrag weerspiegelen

Gevoelige categorieën persoonlijke informatie

De CPRA introduceerde een speciale categorie “gevoelige persoonlijke informatie” die verbeterde bescherming krijgt en extra consumentenrechten activeert:

Hoog-risico gegevenscategorieën

Deze informatietypen vereisen speciale behandeling en consumententoestemming voor niet-essentiële toepassingen:

• Burgerservicenummers, rijbewijsnummers, staatsidentiteitskaartnummers of paspoortnummers
• Account inloggegevens, financiële rekeningnummers, debet- of creditcardnummers, of accountwachtwoorden of beveiligingscodes
• Nauwkeurige geolocatiegegevens die consumentbewegingen kunnen volgen
• Ras of etnische afkomst, religieuze of filosofische overtuigingen, of lidmaatschap van een vakbond
• Biometrische identificatoren verwerkt voor unieke identificatiedoeleinden
• Gezondheidsinformatie, inclusief medische aandoeningen, behandelingen of diagnoses
• Informatie over seksleven of seksuele geaardheid
• Genetische gegevens, inclusief DNA-analyseresultaten

Consumentencontrole over gevoelige informatie

Consumenten hebben verbeterde rechten met betrekking tot gevoelige persoonlijke informatie, inclusief de mogelijkheid om het gebruik en de openbaarmaking ervan te beperken tot alleen wat nodig is om de diensten te verlenen of de goederen te leveren die de consument redelijkerwijs verwacht.

Privacy impact assessments en risicobeheer

De CPRA introduceert verplichte risicobeoordelingsvereisten voor bedrijven die zich bezighouden met activiteiten voor gegevensverwerking met hoog risico. Deze beoordelingen helpen potentiële privacyrisico’s te identificeren en passende beschermingsmaatregelen te implementeren.

Wanneer privacy impact assessments vereist zijn

Bedrijven moeten uitgebreide privacy impact assessments uitvoeren voor deze activiteiten met hoog risico:

Activiteiten met hoog risico

De volgende activiteiten activeren verplichte beoordelingsvereisten:

• Verkoop of delen van persoonlijke informatie met derden
• Verwerking van gevoelige persoonlijke informatie voor elk doel
• Verwerking van persoonlijke informatie voor gerichte advertentiedoeleinden
• Verwerking van persoonlijke informatie voor profilering die een risico op discriminatie of andere nadelige gevolgen met zich meebrengt

Beoordelingsvereisten en componenten

Privacy impact assessments moeten de voordelen en risico’s van verwerkingsactiviteiten evalueren en beschermingsmaatregelen identificeren om potentiële schade te beperken. Deze beoordelingen moeten risicobeoordeling, impactanalyse en mitigatiestrategieën omvatten om de privacy van consumenten te beschermen.

Handhaving door de California Privacy Protection Agency (CPPA)

De CPRA heeft een speciale regelgevende instantie opgericht met exclusieve bevoegdheid om de privacywetten van Californië te handhaven. Het begrijpen van de bevoegdheden en de handhavingsaanpak van de CPPA is cruciaal voor nalevingsplanning.

Bevoegdheden en autoriteit van de CPPA

De California Privacy Protection Agency vertegenwoordigt een aanzienlijke verbetering van de handhavingsmogelijkheden van privacywetten in vergelijking met eerdere regelgevende structuren.

Uitgebreide regelgevende autoriteit

De CPPA heeft brede bevoegdheden om CPRA-naleving te waarborgen:

• Onderzoeken en audits uitvoeren van bedrijfspraktijken
• Regelgeving en richtlijnen uitvaardigen over privacyvereisten
• Administratieve boetes opleggen voor overtredingen
• Corrigerende maatregelen en nalevingsmaatregelen bevelen
• Regelgevingsprocedures uitvoeren om juridische vereisten te verduidelijken

Verbeterde handhavingsmogelijkheden

Deze toegewijde instantie biedt gerichte regelgevende controle met gespecialiseerde expertise in de handhaving van privacywetten, wat een aanzienlijke verschuiving vertegenwoordigt ten opzichte van het uitsluitend vertrouwen op het kantoor van de procureur-generaal voor de handhaving van privacywetten.

Boetes en gevolgen voor CPRA-overtredingen

Het begrijpen van de financiële en reputatierisico’s van niet-naleving helpt bedrijven om privacy-investeringen en nalevingsinspanningen te prioriteren.

Administratieve boetes

Niet-naleving van de CPRA brengt aanzienlijke financiële boetes met zich mee die de bedrijfsvoering aanzienlijk kunnen beïnvloeden:

• Opzettelijke overtredingen: Tot $7.500 per overtreding voor opzettelijke niet-naleving
• Onopzettelijke overtredingen: Tot $2.500 per overtreding voor nalatige niet-naleving
• Schade door datalekken: Tot $750 per getroffen consument via privaat recht van actie

Privaat recht van actie voor consumenten

De CPRA behoudt het recht van consumenten om bedrijven direct aan te klagen voor datalekken als gevolg van niet-naleving. Consumenten moeten 30 dagen van tevoren kennisgeving geven voordat ze een rechtszaak aanspannen, waardoor bedrijven de kans krijgen om overtredingen te herstellen en rechtszaken te vermijden.

Stapsgewijze implementatie van CPRA-naleving

Het bereiken van CPRA-naleving vereist systematische planning en implementatie in meerdere bedrijfsfuncties. Deze uitgebreide aanpak zorgt voor grondige naleving terwijl bedrijfsverstoring wordt geminimaliseerd.

Fase 1: Beoordeling en planning

De initiële nalevingsfase richt zich op het begrijpen van uw verplichtingen en huidige nalevingslacunes.

1. Bepaal juridische toepasbaarheid

Begin met het beoordelen of uw bedrijf voldoet aan de rechtsbevoegdheidsdrempels van de CPRA en persoonlijke informatie van inwoners van Californië verwerkt. Overweeg omzetniveaus, gegevensverwerkingsvolumes en klantdemografie.

2. Voer uitgebreide gegevensmapping uit

Maak een gedetailleerde inventaris van alle persoonlijke informatie die binnen uw organisatie wordt verzameld, verwerkt, opgeslagen en gedeeld. Besteed speciale aandacht aan het identificeren van gevoelige persoonlijke informatie die verbeterde bescherming vereist.

Fase 2: Beleid en procesupdates

Deze fase omvat het bijwerken van bedrijfsbeleid en het implementeren van conforme operationele procedures.

1. Update privacybeleid en kennisgevingen

Herzie privacykennisgevingen om alle CPRA-verplichte openbaarmakingen op te nemen, inclusief gedetailleerde informatie over gegevenspraktijken, consumentenrechten en contactinformatie voor privacyverzoeken.

2. Implementeer consumentenverzoekprocessen

Stel betrouwbare mechanismen in voor consumenten om hun privacyrechten uit te oefenen, inclusief identiteitsverificatieprocedures, reactietijdlijnen en verzoekvolgsystemen.

Fase 3: Derden- en risicobeheer

Pak externe relaties en activiteiten met hoog risico aan die speciale aandacht vereisen onder de CPRA.

1. Beoordeel relaties met derden

Controleer alle leveranciers, dienstverleners en partners die persoonlijke informatie verwerken om naleving te waarborgen en werk contracten bij met passende privacybescherming.

2. Voer privacy impact assessments uit

Implementeer processen om te identificeren wanneer privacy impact assessments vereist zijn en voer ze uit voor activiteiten met hoog risico, zoals gegevensverkoop, gerichte advertenties en verwerking van gevoelige informatie.

Fase 4: Governance en training

Stel doorlopende nalevingsbewaking en personeelstraining in om naleving in de loop van de tijd te handhaven.

1. Stel een gegevensbeheerraamwerk op

Implementeer dataminimalisatie praktijken, bewaarschema’s en verwijderingsprocedures om ervoor te zorgen dat persoonlijke informatie gedurende de hele levenscyclus op de juiste manier wordt behandeld.

2. Bied uitgebreide personeelstraining aan

Leid medewerkers op over CPRA-vereisten, consumentenrechten en de juiste omgang met persoonlijke informatie. Inclusief rol-specifieke training voor klantenservice, marketing en IT-teams.

3. Monitor en handhaaf naleving

Stel doorlopende monitoring- en auditprocedures in om voortdurende naleving te waarborgen naarmate bedrijfspraktijken evolueren en regelgevende richtlijnen zich ontwikkelen.

Evolutie van de Californische privacywet: van CCPA naar CPRA

Het begrijpen van de historische ontwikkeling van de Californische privacywet biedt belangrijke context voor huidige vereisten en toekomstige regelgevende trends.

De basis van de California Consumer Privacy Act

De CPRA bouwt voort op de basis die is gelegd door de California Consumer Privacy Act (CCPA), die in 2018 werd aangenomen en in januari 2020 van kracht werd. De CCPA was baanbrekend als de eerste uitgebreide staatsprivacywet in de Verenigde Staten en stelde basisconsumentenrechten en zakelijke verplichtingen vast met betrekking tot persoonlijke informatie.

Belangrijke verbeteringen en verbeteringen

De CPRA breidde het CCPA-kader aanzienlijk uit door verschillende belangrijke verbeteringen:

Verbeterde consumentenrechten en bescherming

De CPRA voegde het recht toe om onjuiste informatie te corrigeren en het gebruik van gevoelige persoonlijke informatie te beperken, waardoor consumenten meer controle over hun gegevens kregen.

Gevoelige persoonlijke informatiecategorie

De wet creëerde een nieuwe categorie gevoelige persoonlijke informatie met speciale bescherming, waarbij werd erkend dat bepaalde gegevenssoorten verbeterde beveiligingsmaatregelen vereisen.

Toegewijde handhavingsinfrastructuur

De CPRA richtte de CPPA op om gerichte regelgevende controle en handhaving te bieden, wat een aanzienlijke verbetering van de regelgevende capaciteit vertegenwoordigt.

Verplichte risicobeoordelingen

De wet vereiste privacy impact assessments voor activiteiten met hoog risico, wat proactief risicobeheer bevordert.

Uitgebreide reikwijdte en dekking

De CPRA breidde enkele beschermingen uit naar werknemers- en business-to-businesscontexten, terwijl expliciete dataminimalisatievereisten werden toegevoegd.

Tijdlijn en mijlpalen van de privacywet

Het begrijpen van de ontwikkelingstijdlijn helpt bedrijven toekomstige regelgevende veranderingen te anticiperen:

• 2018: CCPA aangenomen door de Californische wetgever
• Januari 2020: CCPA trad in werking met basisprivacybescherming
• November 2020: CPRA goedgekeurd door Californische kiezers als stembusinitiatief
• Januari 2023: CPRA trad in werking met verbeterde bescherming
• Juli 2023: CPRA-handhaving begon met volledige regelgevende autoriteit

CPRA vergeleken met andere privacywetten

Het begrijpen van hoe CPRA zich verhoudt tot andere privacyregelgeving helpt bedrijven uitgebreide nalevingsstrategieën te ontwikkelen voor meerdere rechtsgebieden.

CPRA vs. AVG vergelijking

Hoewel beide wetten uitgebreide privacybescherming bieden, verschillen ze in reikwijdte, aanpak en handhavingsmechanismen:

Reikwijdte en toepassingsverschillen

• AVG: Van toepassing op alle verwerking van persoonlijke gegevens, ongeacht de bedrijfsomvang of omzet
• CPRA: Richt zich op bedrijven die aan specifieke omzet- of datavolume-drempels voldoen

Juridische kaderbenaderingen

• AVG: Vereist een wettelijke basis voor alle activiteiten voor de verwerking van persoonlijke gegevens
• CPRA: Benadrukt transparantie en consumentencontrole over gegevensgebruik

Consumentenrechten en zakelijke verplichtingen

• AVG: Omvat uitgebreide rechten op gegevensoverdraagbaarheid en bezwaar
• CPRA: Richt zich op opt-out rechten voor het verkopen en delen van persoonlijke informatie

Handhaving en boetes

• AVG: Hogere boetelimieten met potentiële boetes tot 4% van de wereldwijde omzet
• CPRA: Biedt consumenten privaat recht van actie voor datalekken

Invloed van de CPRA op nationale privacywetgeving

De CPRA blijft invloed uitoefenen op privacywetgeving in andere staten en vormt discussies over de ontwikkeling van federale privacywetgeving in de Verenigde Staten. Veel staten hebben vergelijkbare kaders aangenomen op basis van het privacywetmodel van Californië.

Toon CPRA-naleving met Kiteworks

Kiteworks helpt organisaties te voldoen aan de California Consumer Privacy Act (CCPA) en California Privacy Rights Act (CPRA) door de uitwisseling, opslag en het beheer van persoonlijke gegevens te beveiligen. Het biedt end-to-end encryptie, zero-trust toegangscontrole en gedetailleerde audit logs om gevoelige consumenteninformatie zoals /PHI te beschermen tegen ongeautoriseerde toegang of lekken. Deze mogelijkheden ondersteunen de CCPA/CPRA-mandaten voor “redelijke beveiliging” en helpen organisaties aansprakelijkheid onder de datalekbepalingen te beperken.

Het platform stelt bedrijven ook in staat om verzoeken van consumentenrechten—zoals toegang, verwijdering en gegevensoverdraagbaarheid—te vervullen via beveiligde bestandsoverdracht en gecontroleerde toegangsworkflows. Kiteworks faciliteert het delen met derden in overeenstemming met contractuele en verantwoordingsvereisten, zodat dienstverleners persoonlijke gegevens met hetzelfde beveiligingsniveau behandelen. Met op beleid gebaseerde gegevensbewaring, gedetailleerde rapportage en gecentraliseerde zichtbaarheid ondersteunt Kiteworks de principes van dataminimalisatie en doelbeperking, terwijl het organisaties helpt privacy-naleving aan te tonen tijdens audits of regelgevende beoordelingen.

Om meer te weten te komen over Kiteworks voor CPRA/CCPA-naleving, plan vandaag nog een aangepaste demo.

Terug naar Risico & Naleving Glossary