De California Consumer Privacy Act (CCPA) is bedoeld om de privacy van inwoners van Californië te beschermen en heeft gevolgen voor bedrijven die met hun persoonlijke gegevens omgaan. In veel opzichten wordt de CCPA beschouwd als het equivalent van de GDPR in Europa.
In dit artikel schetsen we waar de CCPA voor staat en hoe deze wordt toegepast. Ook geven we stappen voor bedrijven die Google Analytics gebruiken om naleving te garanderen.
Laten we erin duiken!
- Wat is de CCPA?
- Wie heeft plichten onder de CCPA?
- Wat betekent de CCPA voor web analytics?
- Is Google Analytics in overeenstemming met de CCPA?
- Hoe zorg ik ervoor dat Google Analytics voldoet aan de privacyregels?
- Laatste gedachten
Wat is de CCPA?
De California Consumer Privacy Act is een wet die de privacyrechten van inwoners van Californië beschermt. De CCPA werd in 2018 aangenomen en in 2020 gewijzigd door de California Privacy Rights Act. De wet maakt deel uit van het Burgerlijk Wetboek van Californië.
Uitgebreide informatie over de CCPA is te vinden op de website van de Californische overheid.
Wie heeft plichten onder de CCPA?
Niet alle organisaties vallen onder de CCPA.
De wet is alleen van toepassing op bedrijven die aan bepaalde criteria voldoen:
- ze hebben een bruto jaaromzet van meer dan $25M
- ze kopen, verkopen of delen de persoonlijke gegevens van 100.000 of meer inwoners, huishoudens of apparaten in Californië
- minstens 50% van hun inkomsten komt uit de verkoop van persoonlijke gegevens van inwoners van Californië.
Deze criteria zijn alternatief: zolang aan een ervan wordt voldaan, is de CCPA van toepassing. De CCPA heeft ook een extraterritoriaal effect in die zin dat het van toepassing kan zijn op bedrijven die buiten Californië en de VS gevestigd zijn.
De CCPA richt zich op bedrijven en is grotendeels niet van toepassing op overheidsinstellingen en non-profitorganisaties. Het is ook niet van toepassing op entiteiten die onder bepaalde andere privacywetten vallen, zoals HIPAA.
Wat betekent de CCPA voor web analytics?
De CCPA vereiste oorspronkelijk een opt-in systeem voor de verkoop van persoonlijke informatie.
De CCPA definieerde de verkoop van persoonlijke informatie in zeer brede termen. Toch voerden sommige bedrijven aan dat het vrijgeven van persoonlijke informatie voor cross-context gedragsreclame geen verkoop was.
De wetgevende macht van Californië besloot dit punt te verduidelijken met de CPRA. De nieuwe wet breidde het opt-in systeem van de CCPA uit naar het delen van persoonlijke informatie en verduidelijkte dat het delen van informatie cross-context gedragsreclame omvat.
Kortom, voor cross-context gedragsreclame is opt-out toestemming nodig. Dit was al vrij duidelijk voor de CPRA en is nu zonder twijfel waar.
Aan de andere kant, als je het gedrag van bezoekers alleen analyseert voor web analytics, is de opt-out eis niet van toepassing.
Is Google Analytics in overeenstemming met de CCPA?
De CCPA vereist geen opt-in toestemming voor het plaatsen van cookies. Consumenten hebben echter wel het recht om zich uit te schrijven voor het verkopen en delen van hun persoonlijke gegevens.
Het concept van het delen van gegevens heeft betrekking op cross-context gedragsreclame, dat wil zeggen profilering en reclame door een bedrijf op basis van informatie die is verzameld van andere websites en applicaties.
Google Analytics doet dit standaard. Het is mogelijk om Google Analytics in overeenstemming met de wet te gebruiken, maar het is de verantwoordelijkheid van de klant om de tool rechtmatig te gebruiken.
Als u Google Analytics gebruikt, hebt u twee alternatieven om te voldoen aan de CCPA:
- uw bezoekers een optie bieden om zich af te melden via een pagina "Mijn gegevens niet verkopen of delen
- de instelling voor beperkte gegevensverwerking voor Google Analytics inschakelen.
Als u ervoor kiest om gegevensverwerking te beperken, moet u deze instelling mogelijk ook inschakelen voor andere Google-services. Deze instelling moet bijvoorbeeld handmatig worden ingeschakeld voor Google Ads (waarmee advertenties op je website worden beperkt tot niet-gerichte advertenties). Deze lijst van Google verduidelijkt welke Google-services de optie ondersteunen en of deze standaard is ingeschakeld.
Of u nu wel of niet besluit om persoonlijke gegevens te delen, u moet ook een kennisgeving verstrekken over het verzamelen van persoonlijke gegevens en verzoeken om toegang tot en verwijdering van gegevens van uw bezoekers honoreren.
Hoe zorg ik ervoor dat Google Analytics voldoet aan de privacyregels?
Zorg voor een pagina "Niet verkopen of delen
De CCPA vereist dat bedrijven die gegevens verkopen of delen een pagina "Niet verkopen of delen van mijn gegevens" beschikbaar maken op hun websites.
De link naar de pagina moet duidelijk en zichtbaar zijn: als deze moeilijk te vinden is, overtreedt de website de wet. De optie om af te zien van deelname moet ook gemakkelijk beschikbaar zijn: bedrijven mogen geen registratie of identiteitscontrole vereisen om af te zien van deelname.
Bovendien is het wettelijk niet toegestaan om functies van uw website of dienst te onthouden aan gebruikers die zich afmelden voor het verkopen en delen van persoonlijke gegevens: u moet gebruikers die zich afmelden op dezelfde manier behandelen als ieder ander.
Natuurlijk is de pagina niet alleen voor de show: u moet ervoor zorgen dat u over technische procedures beschikt om verzoeken om gegevens niet te verkopen of te delen te honoreren.
Wereldwijde privacycontrole
Global Privacy Control is een technische standaard voor verzoeken om niet te volgen. Een GPC-signaal wordt verzonden door de browser van de bezoeker en vraagt websites om de informatie van de bezoeker niet te verkopen of te delen. Sommige browsers ondersteunen GPC van nature, terwijl andere een extensie nodig hebben.
Volgens de Californische wet moeten GPC signalen worden gehonoreerd alsof het een opt-out verzoek is. Als u persoonlijke informatie deelt, moet u dus stoppen met het delen ervan. Deze regel is in het verleden al toegepast tegen de cosmeticawinkel Sephora.
Houd er rekening mee dat GPC op zichzelf geen opt-out is voor het verzamelen van gegevens, alleen voor het delen van gegevens. U kunt nog steeds persoonlijke gegevens verzamelen van bezoekers die een GPC signaal sturen als u deze gegevens niet verkoopt of deelt.
Een kennisgeving verstrekken
Websites die vallen onder de CCPA moeten bezoekers informeren dat hun gegevens worden verzameld. De informatie moet worden verstrekt op het moment dat de gegevens worden verzameld of vooraf.
De kennisgeving moet bezoekers informeren over de verzamelde gegevens en de doeleinden van de verzameling. Er moet ook een link staan naar het privacybeleid van de website (dat niet hetzelfde is als de kennisgeving zelf). Als de website informatie van bezoekers deelt, moet hij hen hiervan op de hoogte stellen en een link geven naar de pagina Verkoop of deel mijn gegevens niet.
Deze vereiste is niet afhankelijk van het verkopen of delen van de gegevens: zelfs als u de gegevens die u verzamelt niet deelt, moet u toch een kennisgeving aan uw bezoekers verstrekken.
Verzoeken van consumenten honoreren
Consumenten kunnen bedrijven vragen om informatie over de gegevens, inclusief de soorten en bronnen van de persoonlijke informatie, de doeleinden voor het gebruik ervan en informatie over de openbaarmaking van gegevens. Ze kunnen ook eisen dat bedrijven hun gegevens verwijderen.
Als je zo'n verzoek ontvangt, moet je er binnen 45 dagen gehoor aan geven (dit kan met 45 dagen worden verlengd, tot een totaal van 90 dagen). Om verzoeken goed af te handelen, moet je vooraf standaardprocedures opstellen en je personeel goed opleiden.
Bedrijven moeten controleren of het verzoek afkomstig is van de consument op wie de persoonlijke informatie betrekking heeft. Om dit te doen, mogen ze meer persoonlijke informatie opvragen. Deze informatie kan alleen worden gebruikt voor verificatie en kan niet op een andere manier door het bedrijf worden gebruikt.
Net als bij het verstrekken van informatie, geldt de plicht om te reageren op verzoeken ook voor bedrijven die geen gegevens delen: als je persoonlijke informatie verzamelt van inwoners van Californië, heb je de plicht om te reageren op dergelijke verzoeken, ongeacht wat je met de informatie doet.
Laatste gedachten
We hebben de noodzakelijke stappen beschreven die bedrijven moeten nemen om te voldoen aan de regelgeving met betrekking tot website analytics. Voldoen aan de privacyregels is belangrijk, maar kan soms lastig zijn. Gelukkig zijn er producten voor websiteanalyse die direct compliant zijn.
We hebben Simple Analytics gebouwd met privacy in gedachten. We hebben gekozen voor een privacy-by-design benadering en bieden de inzichten die elk bedrijf nodig heeft zonder cookies te gebruiken of persoonlijke gegevens te verzamelen. We voldoen 100% aan de CCPA. Wij geloven dat het internet onafhankelijk en vriendelijk moet zijn voor websitebezoekers. Als dit je aanspreekt, probeer ons dan gerust uit!