I november vedtog de californiske vælgere Proposition 24, California Privacy Rights Act (CPRA) fra 2020. Dette afstemningsinitiativ bygger på California Consumer Privacy Act (CCPA) fra 2018 og kaldes undertiden for “CCPA 2.0”. CPRA er dog mere en genstart end en efterfølger, og det øger i væsentlig grad enkeltpersoners rettigheder og virksomhedernes forpligtelser, der håndterer personoplysninger.
CPRA fik enorm folkelig støtte; det fik 56 % af stemmerne, hvilket gjorde det til det næstmest populære afstemningsinitiativ i Californien i 2020. Lovens popularitet betyder, at virksomheder er nødt til at tage den alvorligt eller risikere at lide skade på deres omdømme.
Her gennemgår vi nogle af de vigtigste nye tilføjelser i CPRA og giver forslag til, hvordan de kan forberede sig.
De følgende oplysninger er ikke ment som juridisk rådgivning, og læserne bør rådføre sig med deres advokater om spørgsmål om overholdelse.
CPRA øger sanktioner og håndhævelse
CCCPA lagde håndhævelsen i hænderne på Californiens statsadvokat, men CPRA giver mere magt til enkeltpersoner og til et nyt statsligt agentur. Faktisk blev lovforslaget oprindeligt kaldt California Privacy Rights and Enforcement Act (CPREA), hvilket indikerer den nye vægt på ansvarlighed.
Etablering af et nyt reguleringsorgan
CPRA opretter California Privacy Protection Agency (CPPA), som Lexology kalder “det første regeringsorgan i USA, der udelukkende fokuserer på beskyttelse af privatlivets fred”. CCPA har til opgave at håndhæve loven ved at udstede bøder og kræve, at virksomheder gennemgår risikovurdering og revisioner af deres politikker for håndtering af data.
Dertil kommer, at CCPA vil udstede yderligere forordninger, regler og vejledning med hensyn til CPRA’s fortolkning. Ifølge Prop 24’s hjemmeside vil dette nye agentur have et budget på 10 millioner dollars, hvilket “vil svare til omtrent det samme antal medarbejdere til håndhævelse af privatlivets fred, som FTC har til at overvåge hele landet.”
Dette kan faktisk ende med at være en god nyhed for virksomhederne, fordi CPPA vil kunne tilbyde vejledning og klarhed om CPRA’s krav. CCPA’s sprog var en kilde til forvirring, og National Law Review påpeger, at CCPA har været upopulær på grund af dens “alt for brede definitioner, tvetydige sprogbrug og generelle mangel på klarhed”. Dette agentur kunne fungere som Det Forenede Kongeriges Information Commissioner’s Office (ICO), der har været med til at skabe klarhed og vejlede håndhævelsen af den generelle databeskyttelsesforordning (GDPR).
Udvidelse af den private søgsmålsret
Med CCPA havde enkeltpersoner mindre magt til at holde virksomheder ansvarlige for manglende overholdelse. I henhold til CCPA kan private borgere kun anlægge privat søgsmål mod en virksomhed i forbindelse med visse typer overtrædelser og ofte kun efter at have givet virksomheden besked og mulighed for at “afhjælpe” problemet. Men i den nye lov hedder det, at “gennemførelsen og opretholdelsen af rimelige sikkerhedsprocedurer og -praksis … efter et brud udgør ikke en afhjælpning.”
Med andre ord, hvis køerne slipper ud af stalden, skal virksomhederne sætte dem ind igen, hvis de vil undgå juridiske problemer. Det er ikke tilstrækkeligt blot at sætte en lås på døren, så der ikke kommer noget ud næste gang.
CPRA følger GDPR’s eksempel
CPRA indeholder mange begreber, som er velkendte for alle, der har studeret GDPR. Disse nye tilføjelser har til formål at give enkeltpersoner mere kontrol over deres personoplysninger og begrænse de måder, hvorpå virksomheder kan bruge dem.
En ny kategori af “følsomme personoplysninger”
CPRRA indfører begrebet “følsomme personoplysninger” som en særlig klasse af data, der er underlagt højere standarder end andre personoplysninger. Dette begreb findes allerede i GDPR, selv om CPRA’s definition er bredere.
Sensitive personoplysninger i CPRA kan opdeles i to kategorier: direkte identifikatorer og meget private data. Den første kategori omfatter statsligt udstedte ID’er, finansielle oplysninger og enhver kombination af kontooplysninger, der giver adgang til en konto. Den anden kategori vil omfatte præcis geolokalisering, etnicitet, religion, genetiske og biometriske oplysninger, seksuel orientering og indholdet af e-mails og sms-beskeder, medmindre disse beskeder er sendt til den pågældende virksomhed.
CPRA giver udtrykkeligt enkeltpersoner større beføjelser til at begrænse, hvordan virksomheder bruger disse oplysninger. Brugerne kan nu anmode om, at en virksomhed kun anvender disse oplysninger i det omfang, det er nødvendigt for at levere den service eller de varer, som “en gennemsnitsforbruger med rimelighed kan forvente”, og kun til et begrænset antal formål, der specifikt er skitseret i loven.
Dette skaber til gengæld et nyt opt-out-krav for virksomheder, som JD Supra spekulerer i, kan indebære, at de skal inkludere “et link på deres hjemmeside med titlen Limit the Use of My Sensitive Personal Information”. Dette ville være en særskilt meddelelse fra et link, hvor der står “Do Not Sell or Share My Personal Information.”
Indførelse af “retten til rettelse”
CPRA giver forbrugerne ret til at anmode virksomheder om at rette unøjagtige personlige oplysninger om den pågældende forbruger. (GDPR henviser til dette som “retten til berigtigelse”.) Virksomhederne er forpligtet til at underrette forbrugerne om denne ret, og i tilfælde af at nogen anmoder om en ændring, skal de gøre “kommercielt rimelige bestræbelser” for at rette den.
Større begrænsninger for opbevaring/sletning af data
Den fælles lov om databeskyttelse giver forbrugerne en begrænset ret til at anmode om, at deres personlige oplysninger slettes, om end med flere undtagelser, der gør den betydeligt svagere end GDPR’s “ret til at blive glemt”. CPRA lægger ansvaret på virksomhederne (og de parter, der håndterer deres oplysninger) for selv at slette data. Loven kræver, at virksomhederne kun opbevarer personoplysninger så længe, som det er nødvendigt for at opfylde de formål, der er oplyst til forbrugeren.
Hvis en forbruger anmoder om sletning, skal virksomhederne desuden videregive denne anmodning til tjenesteudbydere og kontrahenter, som igen skal underrette deres egne tjenesteudbydere og kontrahenter for at skabe en fælles forpligtelse til sletning.
Udvidelse af anvendelsesområdet til “deling” af data
I næsten alle de tilfælde, hvor CCPA nævner “salg”, har CPRA ændret det til at sige “salg eller deling”. For at gøre det klart, at CCPA’s definition af salg allerede er ret bred. Ikke desto mindre søger CPRA at fjerne smuthuller, som virksomheder udnytter med henblik på “tværkontekstuel adfærdsbaseret reklame.”
Denne ændring kan gøre det umuligt for virksomheder som Facebook og Google at omgå opt-out-kravet ved at insistere på, at de ikke “sælger” brugerdata, men blot lader annoncører bruge disse data til målrettet markedsføring. Som Datawallet rapporterer, kan denne lille ændring ende med at “ændre status quo i det eksisterende digitale reklameøkosystem fuldstændigt.”
Hvordan virksomheder bør forberede sig på CPRA
Den gode nyhed for virksomheder er, at håndhævelsen af CPRA ikke begynder før juli 2023. CPRA forlænger også CCPA’s undtagelser vedrørende medarbejderdata indtil da.
IAPP spekulerer i, at denne frist kan have til formål at give den føderale regering tid til at indføre national lovgivning om beskyttelse af privatlivets fred. Uanset årsagen har virksomhederne en vis tid til at forberede sig og indføre nye datapolitikker.
Strap op med politikker for sletning af data
Som tidligere nævnt kræver CPRA, at virksomheder (og de eksterne parter, der arbejder sammen med dem) sletter personoplysninger, efter at de har tjent deres formål. Ud over at overholde dette element i loven er sletning af data ganske enkelt god praksis, da jo flere personoplysninger du opbevarer, jo mere har du at miste i tilfælde af en overtrædelse. Og i betragtning af den nye lovs vægt på håndhævelse og dens udvidede ret til privat søgsmål kan hver eneste kompromitteret post i et brud føre til alvorlige sanktioner.
Strengere politikker for sletning kræver først og fremmest, at der redegøres for alle personoplysninger, og at de ikke flyder rundt i æteren. Som IAPP udtrykker det: “Mens mange databeskyttelsesansvarlige har implementeret årlige dage for sletning af data som en bedste praksis, er det fortsat en evig udfordring at få alle medarbejdere til at overholde reglerne og slette en masse forældede data, som ikke længere tjener noget formål.”
En løsning på denne udfordring er at forbinde alle personlige data under centraliserede brugerprofiler, der er tilgængelige via dit IAM-system (Identity and Access Management). Ved at have et enkelt lager af kundedata bliver det lettere at overholde mange aspekter af Californiens love om databeskyttelse, f.eks. at slette personlige data, foretage rettelser og give rapporter til forbrugerne efter anmodning.
Implementer MFA til logins
CPRA udpeger loginoplysninger til særlig opmærksomhed. I første omgang omfatter den legitimationsoplysninger under “følsomme personlige oplysninger”. Og mens CCPA kun gav enkeltpersoner privat ret til at anlægge sag, hvis et brud afslørede deres ukrypterede personlige oplysninger, udvider CPRA denne ret til at omfatte brud, der afslører en brugers “e-mail-adresse i kombination med en adgangskode eller et sikkerhedsspørgsmål og -svar, der ville give adgang til kontoen”, forudsat at bruddet skete som følge af virksomhedens manglende overholdelse af rimelig sikkerhedspraksis.
Dette nye sprog er et klart forsøg på at bekæmpe epidemien af brudte autentifikationsangreb, såsom credential stuffing, hvor eksponerede loginoplysninger bliver indgangen for identitetstyve.
En måde at forbedre overholdelsen på er at kryptere gemte adgangskoder. Men kryptering alene kan være utilstrækkeligt, fordi krypteringsstandarderne ændrer sig, og der er altid mulighed for, at du har en gammel database med adgangskoder i ren tekst gemt i dine systemer.
Det er derfor klogt at implementere multi-faktor-autentifikation (MFA) og sikre, at legitimationsoplysninger alene ikke automatisk giver adgang til en konto. MFA vil anmode om en yderligere form for legitimationsoplysninger (f.eks. et fingeraftryk eller en engangskode) i tilfælde af et usædvanligt login (f.eks. hvis en person forsøger at logge ind med en ny enhed).
Undersøg dine relationer med tredjeparter
Den CPRA lægger stor vægt på at udvide databeskyttelsesforpligtelserne til at omfatte entreprenører, tjenesteudbydere og tredjeparter. Den definerer specifikt en kontrahent som en person, som en virksomhed giver adgang til personlige oplysninger via en skriftlig kontrakt. Denne kontrakt forbyder kontrahenten at sælge eller dele data med andre parter eller bruge dem til andre formål end dem, der er anført i kontrakten.
CPRA kræver også, at enhver tjenesteudbyder, kontrahent eller tredjepart, der modtager data, kontraktligt indvilliger i at overholde CPRA’s standarder. IAPP bemærker, at disse krav “minder om GDPR og forskellige internationale dataoverførselsmekanismer, der er designet til at udvide GDPR-beskyttelsen og muliggøre grænseoverskridende overholdelse.”
Disse ændringer gør det vigtigt for virksomheder at uddanne sig om databeskyttelses- og cybersikkerhedsstandarderne hos alle eksterne parter, som de deler personoplysninger med. Arbejdet med at udarbejde kontrakter vil ligge hos advokater, men det er op til sikkerhedseksperter at sikre, at tredjeparter lever op til deres kontraktlige forpligtelser ved at praktisere god datasikkerhed.
CPRA er en stor (men ikke nødvendigvis dårlig) nyhed
Da nyheden om “CCPA 2.0” først kom frem, kort efter vedtagelsen af den oprindelige lov, var nogle virksomhedsledere forfærdede. Nogle få syntes at føle, at Alastair Mactaggart, bevægelsens leder, personligt var ude efter dem. Men nu, hvor loven er vedtaget, er det på tide, at alle berørte parter tager dens overordnede mål til sig.
De nye tilføjelser i denne lov om beskyttelse af privatlivets fred er en del af en bred udvikling inden for forbrugerrettigheder. Og selv om denne særlige lov kun gælder for californiere, er der love på delstatsniveau, der er på vej op i hele USA med lignende dagsordener. Selv om det kan være en udfordring at overholde dette nationale og globale kludetæppe af love, kræver de alle den samme grundlæggende tankegang. Respekter privatlivets fred, praktiser gennemsigtighed, og kontrollér adgangen til personlige data.
Vil du vide mere om de grundlæggende principper for databeskyttelse, datasikkerhed og overholdelse af lovgivningen? Start her.
Om Auth0
Auth0 leverer en platform til at autentificere, autorisere og sikre adgang for applikationer, enheder og brugere. Sikkerheds- og programteams stoler på Auth0’s enkelhed, udvidelsesmuligheder og ekspertise for at få identitet til at fungere for alle. Auth0 sikrer milliarder af login-transaktioner hver måned og sikrer identiteter, så innovatorer kan innovere, og sætter globale virksomheder i stand til at levere pålidelige, overlegne digitale oplevelser til deres kunder over hele verden.
For yderligere oplysninger kan du besøge https://auth0.com eller følge @auth0 på Twitter.