Californische toezichthouder past de privacyregels ISMS.online aan en verduidelijkt deze

De Californische toezichthouder past de privacyregels aan en verduidelijkt deze

Door Danny Bradbury • 6 februari 2024

December was een mijlpaalmaand voor de Californische waakhond voor gegevensprivacy, omdat een reeks voorgestelde herzieningen van de regelgeving in de fase van openbaar commentaar terechtkwam. De herzieningen versterken een deel van de gedachtegang die Californië de afgelopen jaren tot een van de pioniers op het gebied van de regionale privacywetgeving heeft gemaakt. En ze bieden de broodnodige duidelijkheid voor bedrijven die in de staat actief zijn.

Een korte geschiedenis van de Californische privacyregels

Het verhaal hiervan revisies begint in november 2020 met de goedkeuring door de kiezers van Proposition 24, een steminitiatief dat de California Privacy Rights Act (CPRA) heeft opgeleverd. Deze wet wijzigde de California Consumer Privacy Act (CCPA) uit 2018.

De CCPA heeft beschermingsmaatregelen voor de privacy van consumenten ingevoerd, waaronder het recht om te weten welke persoonlijke informatie een bedrijf over hen verzamelt en om verwijdering ervan aan te vragen, en het recht om zich af te melden voor de verkoop van hun informatie. De CPRA heeft meer beschermingsmaatregelen toegevoegd, waaronder het recht om het gebruik van persoonlijke informatie te beperken en om onjuiste gegevens te corrigeren. Het breidde ook het ‘niet verkopen’-mandaat van de CCPA over consumentengegevens uit naar het delen van gegevens. Ten slotte heeft Prop 24 de California Privacy Protection Agency (CPPA) opgericht.

Dit was een aparte autoriteit die toezicht hield op het beheer en de handhaving van de CCPA; een taak die voorheen uitsluitend door het kantoor van de procureur-generaal werd afgehandeld.

In juli 2022 begon de CCPA regels op te stellen om die CPRA-voorschriften over te nemen, waardoor de CCPA en CPRA werden geharmoniseerd. Het introduceerde de herziene regelgeving in november. Ze werden op 29 maart goedgekeurd door het Bureau voor Bestuursrecht, maar werden onmiddellijk door de Kamer van Koophandel voor de rechtbank aangevochten. Het voerde aan dat de definitieve regelgeving uiterlijk op 1 juli 2022 zou zijn overeengekomen, en dat de handhaving niet eerder dan een jaar na dit punt zou plaatsvinden, en vroeg de rechtbank om de regelgeving op te schorten tot een jaar na de goedkeuring ervan (29 maart 2024).

De CCPA heeft niet stilgezeten terwijl ze wachtte tot het verbod zou verstrijken. Op 1 december introduceerde het enkele nieuwe voorgestelde herzieningen van de CCPA-regelgeving. Het is deze reeks voorstellen die zij tijdens een bijeenkomst heeft besproken bestuursvergadering op 8 december (agendapunt drie) en ging vervolgens over naar de volgende fase, nu het officiële regelgevingsproces ingaat.

De nieuwste voorgestelde herzieningen uitpakken

De laatste voorgestelde herzieningen zijn grotendeels oncontroversieel, legt Cobun Zweifel-Keegan uit, DC-directeur van de International Association of Privacy Professionals (IAPP).

“De meeste hiervan zijn geen creatieve afwijkingen van het bureau”, vertelt hij aan ISMS.online. “Ik denk dat ze vooral bedoeld zijn om de normen te verduidelijken en bij te werken, zodat de zaken in overeenstemming komen met de veranderingen die de wetgevende macht heeft aangebracht.”

Er werd verwacht dat verduidelijkende regels zouden helpen bij de handhaving van zowel de CCPA als de CPRA, vervolgt hij.

“De nieuwe wet geeft de CPPA zeer expliciet de bevoegdheid om bepaalde normen te verduidelijken die niet specifiek in de wet zelf zijn vastgelegd”, voegt Zweifel-Keegan toe.

Odia Kagan, partner bij advocatenkantoor Fox Rothschild LLP, noemt de voorgestelde herzieningen de ‘nieuwe, nieuwe regelgeving’. Ze verduidelijken punten waarover geen gemeenschappelijke consensus bestond, en richten zich op nuances op gebieden zoals de toestemming van de consument.

“Er zijn nieuwe voorbeelden van wat geen toestemming inhoudt”, vertelt ze aan ISMS.online.

In de herzieningen wordt bijvoorbeeld expliciet gesteld dat het sluiten van een pop-upvenster waarin om toestemming wordt gevraagd om gegevens te verzamelen en te gebruiken in plaats van expliciet op een “ja”-knop te klikken, geen toestemming betekent. Het waarschuwt ook voor misleidende technieken, zoals het plaatsen van afteltimers naast toestemmingskeuzes om gebruikers in paniek te brengen.

Duidelijke taal, alstublieft

Opvallend is ook de nadruk op duidelijke taal. De voorgestelde herzieningen vereisen duidelijke taal die bedrijven waarschuwt om de categorieën bronnen te beschrijven waaruit gegevens worden verzameld, samen met derde partijen waarmee deze mogelijk worden gedeeld. Zoals de CCPA in haar toelichting op de voorgestelde herzieningen uiteenzet, hebben consumenten een “betekenisvol begrip” nodig van waar bedrijven hun persoonlijke gegevens vandaan halen.

Dit soort aanpassingen zullen ertoe bijdragen dat de CCPA consumentvriendelijker wordt, legt Kagan uit.

"Als u zegt: 'wij verzamelen uw beschermde classificaties', begrijpt niemand wat dat is", zegt ze.

Het verdedigen van het recht op verwijdering

Misschien wel een van de meest betekenisvolle voorgestelde herzieningen heeft betrekking op het recht om informatie te verwijderen. Het verplicht zowel bedrijven als hun dienstverleners en opdrachtnemers ervoor te zorgen dat informatie verwijderd blijft.

“Dat is interessant, omdat de dingen die je van datamakelaars krijgt nu onder het vergrootglas liggen – vooral omdat de FTC zojuist twee besluiten heeft uitgevaardigd met betrekking tot datamakelaars en de informatie die je van hen krijgt”, zegt Kagan.

Deze besluiten, die beide in januari werden uitgevaardigd na de door de CPPA voorgestelde regelherzieningen, hadden betrekking op precieze locatiegegevens die werden verkocht door X-modus sociaal en InMarket-media.

gelijke tred houden met technische innovatie

Er zijn nog tal van andere verhelderende herzieningen in de voorstellen van de CPPA, waarvan sommige vreemd specifiek lijken. Er wordt bijvoorbeeld gewaarschuwd dat bedrijven die gegevens verzamelen in augmented of virtual reality (AR/VR) de consument moeten waarschuwen voordat deze de AR/VR-omgeving betreden. Dit werd opnieuw ingevoerd, nadat het eerder was weggelaten om de implementatie te vereenvoudigen. Dit is echter niet verrassend, aangezien de rol van het bureau gedeeltelijk bestaat uit het creëren van regelgeving die de privacywetgeving relevant houdt in een snel evoluerend technologielandschap waarin dergelijke innovaties zijn verwerkt.

Deze noodzaak om gelijke tred te houden met de technologische ontwikkeling is met name van toepassing op een ander doorlopend regelgevingsproces dat zich richt op geautomatiseerde besluitvorming, waarvoor een aparte reeks regelgeving van de CPPA zal gelden.

“Er is meer verduidelijking nodig in situaties zoals geautomatiseerde besluitvormingstechnologie”, zegt Zweifel-Keegan. “Het is eigenlijk maar één kleine regel in de wet, maar het zou een hele reeks regels van meerdere pagina’s kunnen worden die helpen uitleggen welke vereisten er gelden.”

De CPPA werkt ook aan nog twee sets regels op het gebied van risicobeoordeling en cyberbeveiliging. Terwijl de “nieuwe nieuwe” regelgeving van december van de spitballfase naar het officiële gebied van het opstellen van regels wordt geduwd. Er is nog veel werk te doen – en degenen die zaken doen in Californië moeten nauwlettend in de gaten houden wat het doet.

Wat kunnen bedrijven doen als ze deze voortdurende veranderingen volgen? Kijk in tijden van onzekerheid naar beproefde best practices die u dichtbij – of helemaal – brengen waar u moet zijn als het proces van regelgeving voorbij is.

Normen zoals ISO 27001 voor beveiligingsbeheer en de uitbreiding daarvan ISO 27701 (die de basis legt voor effectieve privacy-informatiebeheersystemen) vormen een solide basis voor naleving. Ze zullen bedrijven voorbereiden om te voldoen aan de nieuwe normen voor het beheren en beschermen van consumentengegevens zodra deze verschijnen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury