De Californische privacywet is er! Wat betekent dit?

Op 1 januari 2020 is de ‘California Consumer Privacy Act’ (CCPA in het kort) in werking getreden. Eerder schreven we al over deze nieuwe wetgeving, die is bedoeld om de persoonsgegevens van consumenten te beschermen. Ondanks dat er voor de techbedrijven aardig wat tijd overheen is gegaan om zich goed te kunnen inlezen en hun werkwijze aan te passen, blijkt dat er nog veel vragen zijn over de uitleg en gevolgen van de wet. Wat kunnen we verwachten?

Waarvoor dient de CCPA?

De Californische privacywet zorgt ervoor dat bedrijven meer verantwoordelijkheden krijgen voor de gegevens die ze van hun consumenten verzamelen. Zo moeten zij in een privacyverklaring laten zien welke gegevens worden verzameld en met wie ze deze gegevens delen. Consumenten krijgen anderzijds meer controle over hun gegevens. Ze kunnen deze corrigeren, laten verwijderen en voorkomen dat deze worden doorverkocht. Bij datalekken hebben consumenten daarnaast een grotere kans op een financiële schadevergoeding. De wet is de meest uitgebreide privacywetgeving die tot nu toe in de Verenigde Staten van kracht is geworden. Privacy is in de VS namelijk deels per staat en deels per sector gereguleerd. Voor organisaties in de gezondheidszorg is bijvoorbeeld HIPAA van toepassing.

Merken we al verschil?

Een aantal grote techbedrijven heeft maatregelen getroffen om te voldoen aan de nieuwe privacywet. Mozilla laat gebruikers van Firefox bijvoorbeeld vanaf de volgende versie alle telemetrie-data verwijderen die de browser verzamelt. Ook hebben andere bedrijven tools ontwikkeld met de mogelijkheid om (enkele) gegevens van hun systemen te laten verwijderen. 

Toch is het de vraag of deze tools aan de wetgeving voldoen. Zo is Facebook begonnen met het ontwikkelen van een functie waarmee gebruikers betere toegang hebben tot de verzamelde gegevens om ze te kunnen bekijken, verwijderen of exporteren. De gegevens worden vervolgens echter niet volledig verwijderd, maar geanonimiseerd. Facebook combineert deze gegevens met die van anderen, waardoor het bredere trends kan volgen. Net als de AVG, is de CCPA namelijk niet van toepassing op anonieme gegevens. De wet legt echter een hoge lat voor het scheiden van een identiteit van de informatie, om te voorkomen dat iemand een persoon uit de gegevens opnieuw identificeert. De CCPA eist onder meer technische waarborgen en bedrijfsprocessen die het verbieden dat heridentificatie mogelijk is. 

Wanneer verkoopt een bedrijf data?

Het feit dat Facebook zich zo richt op het combineren van gegevens leidt tot een andere en voor de interpretatie van de wet zeer belangrijke vraag: wanneer verkoopt een bedrijf daadwerkelijk persoonsgegevens? Consumenten dienen zoals gezegd hiervan op de hoogte te worden gesteld. Maar Facebook stelt dat gegevensoverdrachten over consumenten waarschijnlijk niet voldoen aan de wettelijke definitie van verkoop van gegevens. De definitie van 'verkopen' zou breed in de wet zijn omschreven. Dit blijft een lastig punt. Ook al zou het platform niet direct geld op haar bankrekening krijgen wanneer zij gegevens doorstuurt aan bijvoorbeeld adverteerders, dan betekent dat nog steeds niet zozeer dat zij er niets voor terugkrijgt. Het verdienmodel zit namelijk in het geld dat vervolgens wordt verdiend aan de gepersonaliseerde advertenties die Facebook voor adverteerders aan de gewenste doelgroep kan laten zien. Het is dan ook spannend hoe de rechter in Californië deze term zal gaan uitleggen.

Lijkt de CCPA op de AVG?

De CCPA wordt vaak vergeleken met de AVG. Dat is niet gek, beide wetten hebben namelijk de intentie om individuen bescherming te bieden door hen controle en toegang te verlenen tot hun persoonlijke informatie. Ook staat bij zowel de AVG als de CCPA transparantie centraal. De wetten bevatten echter ook grote verschillen op het gebied van de nalevings- en toepasbaarheidsvereisten. Voor deze laatste categorie geldt dat de CCPA van toepassing is op organisaties met winstoogmerk die persoonlijke informatie verzamelen over inwoners van Californië en zakendoen in Californië, als zij het doel en de middelen van de verwerking bepalen, en als ze voldoen aan een of meer van de volgende drie criteria:

  1. de jaarlijkse bruto omzet bedraagt meer dan 25 miljoen dollar per jaar, of:
  2. het bedrijf koopt, ontvangt, verkoopt of deelt jaarlijks de persoonlijke informatie van 50.000 of meer natuurlijke personen, huishoudens of apparaten, of:
  3. minstens 50% van de jaarlijkse omzet komt uit de verkoop van persoonlijke informatie van consumenten in Californië.

Dit in contrast met de AVG, waarvoor geldt dat elke organisatie die in Europa persoonsgegevens verwerkt of organisaties buiten Europa die hun diensten in Europa aanbieden zich aan de wet dienen te houden.

Afwachten tot de claims binnenkomen

Vanaf 1 januari kunnen consumenten die woonachtig zijn in Californië bij de bedrijven verzoeken gaan indienen. Er wordt vanaf 1 juli 2020 toezicht gehouden. We zullen dus moeten afwachten tot die tijd, vanaf dan kunnen de bedrijven ongetwijfeld de nodige claims gaan verwachten!


Deze blog is geschreven door stagiaire Anouk van Rijn, in samenwerking met Laura Monhemius.

Terug naar overzicht