Veelgestelde vragen over de CCPA en CPRA

Wat je leert

Lees meer over veelgestelde vragen over de CCPA (California Consumer Privacy Act) en CPRA (California Privacy Rights Act).

Wat is de CCPA?

De CCPA is een wet die op 1 januari 2020 van kracht werd en regelt hoe bedrijven omgaan met de persoonlijke gegevens van inwoners van Californië.

De CCPA is een reactie op een ervaren gebrek aan privacybescherming in de Verenigde Staten. Bedrijven die persoonlijke gegevens van inwoners van Californië verwerken, zijn verplicht om inwoners te informeren over de privacypraktijken van het bedrijf en de privacyrechten van inwoners, waaronder het recht op:

• Weten welke persoonlijke informatie een bedrijf over hen verzamelt en hoe die wordt gebruikt
• De verzamelde persoonlijke gegevens verwijderen (met enkele uitzonderingen)
• Zich afmelden voor de verkoop van hun persoonlijke gegevens
• Non-discriminatie bij het uitoefenen van hun CCPA-rechten

Wat is de CPRA?

De CPRA is een wet die de vereisten van de CCPA wijzigt en uitbreidt, waaronder:

• Een categorie "gevoelige persoonlijke informatie" toevoegen 
• Het recht vastleggen om het gebruik en de openbaarmaking van gevoelige persoonlijke informatie te beperken
• Vaststelling van het recht op correctie van onjuiste persoonlijke gegevens
• Uitbreiding van de opt-outvereiste "Niet verkopen" tot het "delen" van persoonlijke informatie voor contextoverschrijdende reclame (of reclame door derden)

De CPRA wordt op 1 januari 2023 van kracht.

Wie moet de CCPA en CPRA naleven?

Bedrijven

De meeste CCPA- en CPRA-vereisten zijn van toepassing op "bedrijven", gedefinieerd als bedrijven die zelf of met behulp van verkopers persoonlijke informatie van Californische consumenten verzamelen. 

De CCPA is van toepassing op bedrijven die aan een van de volgende voorwaarden voldoen:

• Verwerkt persoonlijke gegevens van inwoners van Californië
• "zaken doet" in Californië (inclusief contacten met personen in Californië via een e-commerce of interactieve website of applicatie)
• Voldoet aan een of meer van de volgende drempels:
• Heeft jaarlijkse bruto-inkomsten van meer dan $25 miljoen
• Jaarlijks persoonlijke gegevens van 50.000 of meer inwoners, huishoudens of apparaten in Californië koopt, ontvangt of verkoopt
• 50 procent of meer van zijn jaarlijkse inkomsten haalt uit het "verkopen" van persoonlijke informatie van inwoners van Californië (d.w.z. verkopen omvat het bekendmaken, beschikbaar stellen, overdragen of communiceren van persoonlijke informatie aan derden voor geldelijke of andere waardevolle vergoeding)

De CPRA wijzigt deze toepasselijkheid als volgt:

• Voldoet aan een of meer van de volgende drempels:
• Had vorig jaarjaarlijkse bruto inkomsten van meer dan $25 miljoen
• Jaarlijks persoonlijke gegevens van 100.000 of meer inwoners of huishoudens in Californië koopt, verkoopt of deelt
• 50 procent of meer van zijn jaarlijkse inkomsten haalt uit het verkopen of delen van persoonlijke informatie van inwoners van Californië (delen omvat het bekendmaken, beschikbaar stellen, overdragen of communiceren van persoonlijke informatie aan een derde partij voor cross-content behavioral advertising, al dan niet tegen geldelijke of andere waardevolle vergoeding).

Dienstverleners en aannemers 

Om als dienstenaanbieder te worden beschouwd, moet een persoon of rechtspersoon:

• Persoonlijke gegevens verwerken namens een bedrijf 
• Gebonden zijn aan een schriftelijk contract dat bepaalde beperkingen en verplichtingen oplegt rond het gebruik van persoonlijke informatie, waaronder niet verder:

• • verzamelen
  • Verkopen
  • De persoonlijke informatie gebruiken, behalve als dit nodig is om het zakelijke doel uit te voeren

Net als bij serviceaanbieders geldt de uitzondering op een verkoop of deling ook voor aannemers onder de CPRA. Contractanten zijn personen of entiteiten aan wie een bedrijf persoonlijke informatie ter beschikking stelt, op grond van een schriftelijk contract dat soortgelijke beperkingen en verplichtingen oplegt die gelden voor een serviceaanbieder. Aannemers moeten ook een verklaring hebben dat de aannemer de beperkingen begrijpt en zich eraan zal houden.

Merk op dat het verstrekken van gegevens door een bedrijf aan een dienstverlener of aannemer niet wordt beschouwd als een verkoop of het delen van gegevens als dit noodzakelijk is om een zakelijk doel te bereiken.

Wat wordt geclassificeerd als persoonlijke naleving?

De CCPA definieert persoonlijke informatie zeer ruim en omvat informatie die een bepaalde consument of een bepaald huishouden identificeert, beschrijft of redelijkerwijs in verband kan worden gebracht. In de praktijk betekent deze brede definitie dat informatie zoals contactpersooninformatie, transactiegegevens, IP-adressen (Internet Protocol), identificatiegegevens van mobiele apparaten, clickstreamgegevens en bestelgegevens binnen het bereik van de definitie van persoonsgegevens van de CCPA kunnen vallen en onderworpen kunnen zijn aan de vereisten van de CCPA.

De CPRA creëert een nieuwe categorie persoonlijke informatie, "gevoelige persoonlijke informatie", en geeft consumenten een nieuw recht om het gebruik en de openbaarmaking van hun gevoelige informatie te beperken. 

Gevoelige persoonlijke informatie onder CPRA omvat: 

• Burgerservicenummer
• Rijbewijsnummer 
• Paspoortnummer
• accountgegevens
• Nauwkeurige geolocatie
• Ras of etnische afstamming
• Religieuze overtuigingen
• Biometrische gegevens
• Genetische gegevens
• Gezondheidsgegevens 
• Informatie over het seksleven of de seksuele geaardheid van een consument
• De inhoud van post, e-mail en tekstberichten van een consument, tenzij het bedrijf de beoogde ontvangers van de communicatie is 

Wat moet ik doen om me voor te bereiden?

De CCPA en CPRA zijn complexe wetten. Dit artikel geeft de belangrijkste verplichtingen onder de CCPA en CPRA weer die betrekking kunnen hebben op het gebruik van Klaviyo Service, maar het gaat niet in op account alle vereisten die op jouw bedrijf van toepassing kunnen zijn. Neem contact op met je juridisch adviseur voor specifiek advies. 

Als de CCPA en CPRA op jouw bedrijf van toepassing zijn, moet je rekening houden met de volgende rechten en openbaarmakingen.

Let op

Je bedrijf moet een privacybeleid op je website hebben dat toegankelijk is op alle punten waar je persoonlijke gegevens verzamelt, zoals het aanmeldingsformulier. Het beleid moet onder andere het volgende omvatten:

• Categorieën van persoonlijke informatie die het verzamelt, verkoopt en anderszins openbaar maakt voor een zakelijk doel
• Categorieën bronnen van persoonlijke informatie 
• Zakelijke of commerciële doeleinden voor het verzamelen of verkopen van de persoonlijke informatie
• Beschrijving van de volgende consumentenrechten en de aangewezen methoden om verzoeken in te dienen:
• Het recht om persoonlijke informatie te verwijderen
• Het recht op toegang tot categorieën en specifieke persoonsgegevens
• Het recht om af te zien van de verkoop of het delen van persoonlijke informatie
• Het recht op niet-vergelding

De CPRA breidt deze lijst van consumentenrechten uit met: 

• Het recht om onjuiste informatie te corrigeren
• Het recht om het gebruik en de openbaarmaking van gevoelige persoonlijke informatie te beperken
• Het recht om af te zien van geautomatiseerde besluitvormingstechnologie

De CPRA vereist ook dat bedrijven de volgende aanvullende informatie verstrekken:

• Of de persoonlijke informatie van de persoon wordt verkocht of gedeeld
• Hoe lang het bedrijf van plan is elke categorie persoonlijke informatie te bewaren of de criteria die het bedrijf zal gebruiken om te bepalen hoe lang het dergelijke informatie zal bewaren
• Als het bedrijf "gevoelige persoonlijke informatie" verzamelt:
• Een afzonderlijke openbaarmaking met vermelding van de categorieën gevoelige informatie die worden verzameld
• Het gebruik en doel van deze gegevens
• Of dergelijke informatie wordt verkocht of gedeeld

Opt-out rechten

Consumenten hebben te allen tijde het recht om af te zien van de verkoop van hun persoonlijke gegevens aan derden. Je bedrijf moet stoppen met het verkopen van persoonlijke informatie na ontvangst van het verzoek, tenzij de consument later uitdrukkelijk toestemming geeft. Bedrijven moeten minstens 12 maanden wachten voordat ze een consument vragen om terug te gaan naar de verkoop van persoonlijke informatie. Om dit opt-out recht in te schakelen, moeten bedrijven onder andere:

• Zorg voor een duidelijke link op de homepage van het bedrijf met de titel "Verkoop mijn persoonlijke gegevens niet". De link moet een consument, of een door de consument gemachtigde persoon, inschakelen om af te zien van de verkoop van de persoonlijke informatie van de consument.
• Niet eisen dat een consument een account aanmaakt om het bedrijf op te dragen de persoonlijke informatie van de consument niet te verkopen.

Consumenten hebben ook te allen tijde het recht om zich uit te schrijven tegen de verkoop van hun persoonlijke gegevens door een derde partij die de persoonlijke gegevens van de consument van een bedrijf heeft gekocht. De derde partij moet stoppen met de verkoop na ontvangst van het opt-out verzoek, tenzij de consument later uitdrukkelijk toestemming geeft.

Andere consumentenrechten

Bedrijven moeten processen hebben om de identiteit van een inwoner van Californië te verifiëren wanneer ze reageren op verzoeken om toegang tot of verwijdering van persoonlijke informatie. Als je eenmaal een verzoek hebt ontvangen van een inwoner van Californië en hun identiteit is bevestigd, zorg er dan voor dat je bij het invullen van het verzoek het volgende vermeldt, indien van toepassing, om hun rechten te respecteren. 

Recht op informatie: Een consument kan het bedrijf vragen om de verzameling en verwerking van zijn persoonlijke gegevens openbaar te maken, inclusief de: 

• Categorieën van persoonlijke gegevens die over die consument zijn verzameld (in de afgelopen 12 maanden)
• Categorieën bronnen waaruit de persoonlijke gegevens worden verzameld 
• Zakelijke of commerciële doeleinden voor het verzamelen of verkopen van persoonlijke informatie
• Categorieën van derden met wie het bedrijf persoonlijke informatie heeft vrijgegeven
• Categorieën van informatie die het bedrijf verkoopt of doorgeeft aan derden
• Specifieke persoonlijke informatie die het over die consument heeft verzameld

De CPRA wijzigt dit recht en breidt het uit door het te eisen:

• Informatie verstrekken over de categorieën persoonlijke informatie die "gedeeld" worden met derden
• De beperking tot 12 maanden kijken opheffen door een bedrijf te verplichten meer dan 12 maanden informatie te verstrekken, zolang een dergelijke openbaarmaking niet "onmogelijk" of "een onevenredige inspanning zou vergen" (deze eis zou niet gelden voor gegevens die vóór 1 januari 2022 door het bedrijf zijn verzameld)

Recht op verwijdering: Het bedrijf moet de informatie van de consument verwijderen (behoudens bepaalde uitzonderingen) en zijn serviceaanbieder op de hoogte stellen van het verwijderen van de informatie van de consument. Onder de CPRA moet het bedrijf zijn serviceaanbieder en contractanten op de hoogte stellen en ook alle derde partijen aan wie het bedrijf de persoonlijke informatie van de consument heeft verkocht of gedeeld (voor cross-contextuele advertentiedoeleinden), tenzij dit "onmogelijk blijkt of onevenredig veel moeite kost". Daarnaast moet elke serviceaanbieder zijn eigen downstream serviceaanbieder op de hoogte stellen om de informatie van de consument te verwijderen. 

Recht op correctie van onjuiste persoonlijke informatie: Zodra een bedrijf een geverifieerd verzoek ontvangt om onjuiste persoonlijke informatie te corrigeren, moet het bedrijf "commercieel redelijke inspanningen" leveren om deze persoonlijke informatie te corrigeren zoals aangegeven door de consument. Aanvullende richtlijnen over deze verplichting worden verwacht van de procureur-generaal van Californië.

Je moet er ook rekening mee houden dat als de consument jonger is dan 13 jaar, de uitdrukkelijke toestemming van een ouder of voogd (opt-in) vereist is voordat zijn of haar persoonlijke gegevens verkocht mogen worden. Als de consument tussen de 13 en 16 jaar oud is, is uitdrukkelijke toestemming van de persoon vereist voordat zijn of haar persoonlijke gegevens worden verkocht.

Voldoen aan verzoeken van consumenten 

Je moet ten minste 2 aangewezen methoden hebben voor consumenten om verzoeken om informatie in te dienen.

Deze moeten minimaal het volgende omvatten:

• Een gratis telefoonnummer (bepaalde bedrijven die uitsluitend online werken en een directe relatie hebben met de consument van wie ze persoonlijke informatie verzamelen, zijn vrijgesteld van de eis voor een gratis telefoonnummer)
• Webadres, als het bedrijf een website heeft 

Verzoeken van consumenten moeten binnen 45 dagen na ontvangst per post of elektronisch (in een formaat dat de consument in staat stelt om het aan een andere entiteit te verstrekken) of via een gebruiker account worden behandeld. De responstijd kan met nog eens 45 dagen worden verlengd als dat redelijkerwijs noodzakelijk is op grond van de complexiteit en het aantal verzoeken, en als de verzoeker op de hoogte wordt gesteld van de verlenging (met opgave van redenen). De aanvraagprocedure moet ook gratis zijn.

Bedrijven hoeven niet meer dan twee verzoeken per consument in een periode van 12 maanden uit te voeren.

Wat is Klaviyo's rol onder de CCPA en CPRA als het gaat om de Klaviyo Service?

Klaviyo heeft geen directe relatie met de personen van wie de persoonsgegevens door onze klant en zaak op ons platform worden verzameld. Klaviyo dient als dienstverlener, terwijl onze klant de bedrijven zijn omdat we de persoonlijke gegevens namens onze klant verwerken.

KlaviyoDe verplichtingen van klant als serviceaanbieder zijn vastgelegd in onze Gegevens Verwerkersovereenkomst. 

Wat doet Klaviyo om ingeschakeld klant te voldoen?

Klaviyo klant heeft de mogelijkheid en de middelen om tegemoet te komen aan verzoeken van inwoners van Californië om hun consumentenrechten op toegang tot, verwijdering of correctie van persoonlijke gegevens onder de CCPA en CPRA uit te oefenen. Specifiek:

• Het platform stelt klant in staat om te rapporteren over de persoonlijke informatie die het bijhoudt over eindgebruikers in antwoord op verzoeken om toegang.
• Het platform maakt het mogelijk om persoonlijke informatie die het over eindgebruikers bewaart te verwijderen in antwoord op verwijderingsverzoeken en de correctie van onjuiste persoonlijke informatie op profiel Klaviyo in.
• Klaviyo geen support en beperkt het verzamelen en opslaan van gevoelige persoonlijke informatie, volgens ons beleid voor acceptabel gebruik .

Extra hulpbronnen

• Omgaan met AVG- en CCPA-verzoeken
• Privacywet van Californië voor consumenten
• Toestemming van profielen begrijpen