De Delete Act van Californië richt de lens op datamakelaars

Door Danny Bradbury • 28 November 2023

Vanaf 2026 zal het leven veel moeilijker worden voor datamakelaars die zaken doen in Californië. Vanaf 1 augustus van dat jaar moeten zij voldoen aan een nieuwe wet die hen dwingt de gegevens van een consument te verwijderen op basis van één enkel verzoek.

SB 362, op 10 oktober ondertekend door gouverneur Gavin Newsom, staat ook bekend als de Delete Act. De nieuwe wet verscherpt de regels die oorspronkelijk in 2019 aan datamakelaars waren opgelegd door de California Consumer Privacy Act (CCPA).

De CCPA beschermde staatsinwoners al door datamakelaars te dwingen de persoonlijke gegevens van een individu op verzoek te verwijderen. Mensen moesten deze verzoeken echter individueel indienen.

De Wiswet, die in april van dit jaar bij de wetgevende macht werd geïntroduceerd, verving een eerste wetgevende poging om dat probleem op te lossen (SB 1059). Het doel is om het verwijderen van gegevens voor consumenten te vereenvoudigen door één enkel toegangspunt aan te bieden, waardoor burgers massale verwijdering van hun informatie kunnen aanvragen bij alle databrokers die onder de wet zijn geregistreerd.

De California Privacy Protection Agency, de onafhankelijke toezichthouder die door de staat is opgericht om de California Privacy Rights Act van 2020 te implementeren, moet dat massale verwijderingssysteem vóór 1 januari 2026 bouwen. Alle datamakelaars moeten uiterlijk in augustus beginnen te voldoen aan de verwijderingsvereisten. 1, 2026.

Wat is een datamakelaar?

De Wiswet beschrijft een datamakelaar als “een bedrijf dat willens en wetens de persoonlijke gegevens verzamelt en verkoopt aan derden van een consument met wie het bedrijf geen directe relatie heeft.”

Er zijn echter enkele belangrijke uitsluitingen voor bedrijven die onder andere regelgeving vallen. Hiertoe behoren consumenteninformatiebureaus zoals kredietbureaus, financiële instellingen, verzekeringsmaatschappijen en hun agenten, en zorgaanbieders of andere bedrijven die onder de richtlijn vallen HIPAA.

Vereisten voor gegevensmakelaars

Pure datamakelaars die onder de wet vallen, betalen voor het register van de toezichthouder via een registratievergoeding die in een speciaal fonds terechtkomt. Naast hun contactgegevens moeten ze tijdens de registratie ook andere informatie vrijgeven, waaronder of ze informatie over minderjarigen, geolocatiegegevens of gegevens over reproductieve gezondheid verzamelen.

De wet vereist dat datamakelaars gegevens over individuen binnen 45 dagen na een verzoek verwijderen. Deze vereiste is terugkerend; ze moeten daarna elke 45 dagen gegevens blijven verwijderen om ervoor te zorgen dat ze achteraf geen opslagplaats van persoonlijke gegevens over een individu opnieuw opbouwen. Ze moeten ook hun dienstverleners en contractanten opdracht geven om de gegevens van het individu na een verzoek te verwijderen.

Als de datamakelaar een verzoek niet kan verifiëren, moet hij het behandelen alsof de consument zich heeft afgemeld voor het verkopen of delen van gegevens in de toekomst. De status van elk verzoek blijft van kracht totdat de consument anders aangeeft.

Bewijs van naleving leveren

De wet bevat ook een aantal belangrijke rapportagevereisten van datamakelaars. Elk jaar moeten ze vóór 1 juli het aantal verwijderingsverzoeken dat ze hebben ontvangen, rapporteren, samen met de acties die ze hebben ondernomen. Ze moeten ook de gemiddelde gemiddelde responstijd voor de verzoeken rapporteren, het aantal afgewezen verzoeken en waarom. Al deze informatie moet op hun website worden geplaatst.

2026 is niet het enige mijlpaaljaar voor datamakelaars onder de Verwijderingswet. Vanaf 1 januari 2028 moeten ze elke drie jaar een audit ondergaan van een onafhankelijke derde partij om aan te tonen dat ze voldoen aan de vereisten van de wet.

Sancties voor het overtreden van de wet

Gegevensmakelaars die er niet in slagen zichzelf in het nieuwe register van de overheid in te voeren, riskeren een boete van maximaal $ 200 per dag. De wet dreigt hen ook met extra boetes tot $200 voor elk verwijderingsverzoek dat ze niet honoreren. Er zijn echter zorgen daarover Californië heeft weinig gedaan om makelaars te achtervolgen en te beboeten die er niet in slaagden zichzelf in te loggen in het huidige register en dat dit makelaars zou kunnen aanmoedigen om dit register ook te omzeilen, in de hoop onder de radar te blijven. Het tegenargument is dat de nieuwe wet de controle over het register verlegt van het ministerie van Justitie naar de privacytoezichthouder. Misschien krijgt dat laatste meer focus?

De inzet is hoog, omdat het gebrek aan regulering van de Amerikaanse federale overheid het moeilijk maakt om te bepalen hoeveel er landelijk zijn. Het huidige register in Californië, opgericht onder de CCPA-wetgeving, telt ruim 500 datamakelaars, waaronder grote spelers uit de IT-industrie, zoals Oracle, dat goede zaken doet met de verkoop van persoonlijke gegevens. De staat wacht op tientallen anderen die registratie hebben aangevraagd, maar nog moeten betalen.

Makelaars kunnen een alarmerende hoeveelheid gegevens verzamelen, waaronder niet alleen contactgegevens, maar ook informatie over alles, van hun inkomen en politieke voorkeuren tot het onroerend goed dat zij bezitten en hun onlinegedrag. Dit heeft geleid tot een aantal verbluffende privacyschendingen. In 2021 kocht een online nieuwskanaal locatiegegevens van een datamakelaar die liet zien wanneer en waar mensen de gay hookup-app Grindr gebruikten. Dit leidde tot het uitje van een katholieke priester en zijn daaropvolgende ontslag.

Andere staatsmaatregelen

Tijdens het laatste congres hebben de leden drie wetsvoorstellen ingediend die bedoeld zijn om de praktijken van datamakelaars te beheersen: de American Data Privacy and Protection Act, de Data Elimination and Limiting Extensive Tracking and Exchange (DELETE) Act, die geen verband houdt met de Californische wet. Een andere, de Health and Location Data Privacy Act, had tot doel de verkoop van gezondheids- en locatiegegevens door makelaars te voorkomen. Niemand bereikte het bureau van de president.

Nu The Hill schijnbaar wordt verlamd door politieke machtsstrijd en federale verkiezingen over minder dan een jaar, lijkt het onwaarschijnlijk dat de federale regering onmiddellijk zal optreden met nationale wetten om de controle over datamakelaars te krijgen. In de tussentijd nemen staten de zaak in eigen handen met lokale wetten op het gebied van datamakelaars. Delaware heeft House Bill 262, terwijl Vermont dat wel heeft gedaan 9 VSA § 2430. Gouverneur van Texas, Greg Abbott, tekende SB 2015 in mei.

Er zijn anderen in de maak. Massachusetts denkt er nog steeds over na Wet op informatieprivacy en -beveiliging (wetsvoorstel S.2687), terwijl Oregon overweegt House Bill 4017. Hoewel elke maatregel op staatsniveau zijn sterke en zwakke punten heeft, moeten ze allemaal een duidelijk signaal afgeven aan datamakelaars: bereid je voor op meer toezicht en regelgevende vangrails.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury