In de VS ontbreekt het notoir aan een allesomvattende federale privacywetgeving. In deze context is de CCPA een stap voorwaarts en maakt Californië een voorloper op het gebied van digitale privacy in het Amerikaanse landschap. Het is dan ook geen verrassing dat andere staten de CCPA gebruiken als blauwdruk voor hun eigen wetgeving.
Maar wat zijn de privacyrechten van consumenten onder de CCPA en hoe kunnen individuen deze uitoefenen? Dat gaan we uitzoeken!
- Wat zijn uw rechten onder de CCPA?
- Het recht om te weten
- Het recht op verwijdering of correctie
- Het recht op opt-out
- Het recht om het gebruik en de openbaarmaking van gevoelige informatie te beperken
- Hoe verhouden deze rechten zich tot de GDPR?
- Conclusies
Wat zijn uw rechten onder de CCPA?
De CCPA vermeldt verschillende consumentenrechten:
- het recht om te weten welke persoonlijke informatie een bedrijf gebruikt en hoe
- het recht om persoonlijke informatie te laten verwijderen
- het recht om af te zien van de verkoop en het delen van persoonlijke informatie
- het recht op non-discriminatie bij het uitoefenen van rechten onder de CCPA
- het recht om onjuiste informatie te corrigeren
- het recht om het gebruik en de openbaarmaking van gevoelige informatie te beperken
De eerste vier rechten maakten altijd al deel uit van de CCPA. Het recht om informatie te corrigeren en het recht om het gebruik en de openbaarmaking van gevoelige informatie te beperken, werden in 2020 toegevoegd toen de CCPA werd gewijzigd door de CPRA.
Het recht om te weten
Onder de CCPA heb je het recht om informatie op te vragen over het gebruik van je gegevens. Je kunt een bedrijf vragen
- welke categorieën persoonsgegevens zijn verzameld en gebruikt, en voor welk doel
- uit welke bronnen de informatie is verzameld
- welke informatie werd gedeeld en met wie
Je kunt ook specifieke informatie opvragen die werd verzameld. Bedrijven moeten verzoeken binnen 90 dagen beantwoorden (met een "basis"-termijn van 45 dagen, die na kennisgeving met 45 dagen kan worden verlengd).
Het recht van de consument om te weten moet niet worden verward met de plicht van bedrijven om een kennisgeving te verstrekken bij het verzamelen. Hoewel beide uiteindelijk gericht zijn op het verbeteren van de transparantie en de controle van de gebruiker, moet een kennisgeving bij het verzamelen worden verstrekt ongeacht een verzoek daartoe.
Als een bedrijf persoonlijke informatie verkoopt of deelt, moet de kennisgeving bij het verzamelen een link "Niet verkopen of delen" bevatten (meer hierover hieronder).
Het recht op verwijdering of correctie
Consumenten hebben het recht om het wissen of corrigeren van hun persoonlijke gegevens aan te vragen. Er zijn enkele uitzonderingen op de regel, zoals openbaar beschikbare informatie, kredietinformatie en informatie die nodig is om juridische claims uit te oefenen.
Bedrijven moeten hier binnen 90 dagen aan voldoen (nogmaals, dat is een deadline van 45 dagen, plus een verlenging van 45 dagen na kennisgeving).
Het recht op opt-out
Onder de CCPA hebben consumenten het recht om zich af te melden voor het verkopen en delen van persoonlijke informatie.
Websites die persoonlijke informatie verkopen of delen moeten de mogelijkheid bieden om zich af te melden via een zichtbare link op hun website. Websites moeten ook een andere methode bieden om zich af te melden, waaronder het respecteren van de Global Privacy Control die door sommige browsers wordt aangeboden.
Er bestond enige onduidelijkheid over de betekenis van "verkoop" onder de CCPA. De wet werd later gewijzigd om te verwijzen naar het verkopen en delen van persoonlijke informatie, om het delen van gegevens met derden zoals Google en Meta voor webmarketing en retargeting te dekken. Het lijdt dus geen twijfel dat deze activiteiten onder de regels voor opt-out vallen!
Het recht om het gebruik en de openbaarmaking van gevoelige informatie te beperken
De CCPA noemt bepaalde categorieën gegevens als gevoelige informatie, waaronder identificatoren zoals sofi-nummers, precieze geolocatiegegevens, e-mails en sms-berichten, gezondheidsgegevens, genetische gegevens, gegevens over seksueel leven/seksuele geaardheid, enzovoort. Consumenten hebben het recht om het gebruik en de openbaarmaking van dergelijke informatie te beperken.
In de praktijk is dit recht vergelijkbaar met het recht om af te zien van het delen van persoonlijke informatie. Websites en diensten die gevoelige informatie verzamelen moeten de optie zichtbaar en beschikbaar maken op hun website. Na ontvangst van een verzoek tot beperking mogen bedrijven gevoelige gegevens alleen verwerken op een manier die strikt noodzakelijk is om de gevraagde goederen en diensten te leveren.
Hoe verhouden deze rechten zich tot de GDPR?
Sommige rechten onder de CCPA hebben een duidelijke parallel in de GDPR: het recht om te weten, het recht om gegevens te laten wissen en het recht om informatie te laten corrigeren werken allemaal op dezelfde manier.
Aan de andere kant is er geen GDPR-tegenhanger van het recht om af te zien van het verkopen en delen van persoonlijke informatie, noch is er een tegenhanger van het recht om het gebruik van gevoelige gegevens te beperken. Dit betekent niet dat de GDPR in dit opzicht toegeeflijker is, integendeel.
De GDPR kiest voor een strengere en meer prescriptieve aanpak door strenge eisen te stellen aan de verwerking van persoonsgegevens. Opt-out rechten spelen een relatief kleine rol in de verordening omdat er strenge eisen worden gesteld aan de verwerking van persoonsgegevens. Het principe van rechtmatigheid (dat we in deze blog aanstipten) speelt een cruciale rol in de GDPR en vindt geen parallel onder de CCPA.
Aan de andere kant wil de CCPA consumenten mondiger maken door hen het recht te geven om te beslissen over het gebruik van hun persoonlijke gegevens. Bedrijven genieten dus een behoorlijke vrijheid onder de CCPA zolang de consument zich niet afmeldt.
Elke benadering heeft voor- en nadelen. Naleving van de CCPA is zeker minder belastend dan GDPR-naleving. Tegelijkertijd kan het riskant zijn om de privacylast bij de consument te leggen. Stel je voor dat je 50 websites per dag bezoekt en dat je je voor elke website afzonderlijk moet afmelden voor de verkoop van je gegevens! Global Privacy Control wordt verondersteld hierbij te helpen, maar het systeem is nog niet op grote schaal geïmplementeerd. Er is ook geen tegenhanger van GPC voor het beperken van het gebruik van gevoelige gegevens.
De GDPR kiest de tegenovergestelde benadering en verschuift de last van privacy van het publiek naar organisaties. Het idee achter de GDPR is dat mensen zich niet handmatig zouden moeten hoeven afmelden voor de privacy-invasieve praktijken van de talloze diensten die ze gebruiken. Daarom bevat de verordening veel strenge en gedetailleerde regels over wat bedrijven wel en niet mogen doen met persoonlijke gegevens.
In een wereld waarin iedereen honderd verschillende gegevensverslindende diensten gebruikt en niemand echt privacyverklaringen leest of privacyinstellingen aanpast, is individuele controle over gegevens vaak weinig meer dan een farce. De last van privacy bij organisaties leggen en hen aan hoge normen houden is dus waarschijnlijk een effectievere aanpak dan het aan het individu over te laten. Aan de andere kant leidt deze prescriptieve aanpak tot zeer technische en complexe regels die voor bedrijven (vooral kleinere) soms moeilijk te begrijpen en na te leven zijn.
Het is ook interessant om het begrip gevoelige gegevens tussen de wetten te vergelijken. Gevoelige informatie onder de CCPA omvat gegevens zoals overheidsidentificatoren, die gebruikt kunnen worden voor identiteitsdiefstal. De CCPA beschouwt ook precieze geolocatiegegevens als gevoelige gegevens, wat een goed idee is en waar de EU-wetgeving een voorbeeld aan zou kunnen nemen.
Tegelijkertijd is de GDPR veel restrictiever in het beperken van het gebruik van gevoelige gegevens. Nogmaals, de CCPA kiest voor een consumentgerichte, opt-out benadering, terwijl de GDPR een voorschrijvende route volgt.
We zijn misschien bevooroordeeld, maar we geloven dat de GDPR een duidelijke winnaar is voor gevoelige gegevens: een opt-out recht is hier gewoon niet goed genoeg.
Conclusies
Uiteindelijk is privacy belangrijk, waar je ook bent. Wij geloven dat bedrijven de privacy van hun klanten en bezoekers moeten beschermen, of de wet hen daar nu toe verplicht of niet.
We hebben Simple Analytics gebouwd om onze klanten over de hele wereld te helpen hun publiek te laten groeien op een ethische, privacy-vriendelijke manier. Simple Analytics geeft u alle inzichten die u nodig hebt zonder cookies, trackers of vingerafdrukken van gebruikers te gebruiken. We volgen je bezoekers niet en verzamelen geen enkel stukje persoonlijke gegevens! Als dit je aanspreekt, probeer ons dan gerust uit!