In november hebben de Californische kiezers Proposition 24 aangenomen, de California Privacy Rights Act (CPRA) van 2020. Dit stembiljetinitiatief bouwt voort op de California Consumer Privacy Act (CCPA) van 2018 en wordt soms “CCPA 2.0” genoemd. De CPRA is echter meer een reboot dan een vervolg, en het verhoogt de rechten van individuen en de verplichtingen van bedrijven die omgaan met persoonsgegevens aanzienlijk.
De CPRA kreeg immense populaire steun; het won 56% van de stemmen, waardoor het het op een na populairste Californische stembiljetinitiatief van 2020 was. De populariteit van de wet betekent dat bedrijven het serieus moeten nemen of het risico lopen reputatieschade op te lopen.
Hier gaan we in op enkele van de belangrijkste nieuwe toevoegingen in de CPRA en bieden we suggesties voor hoe je je kunt voorbereiden.
De volgende informatie is niet bedoeld als juridisch advies en lezers moeten hun advocaten raadplegen over nalevingskwesties.
CPRA voert sancties en handhaving op
De CCPA legde de handhaving in handen van de procureur-generaal van Californië, maar de CPRA geeft meer macht aan individuen en aan een nieuw staatsagentschap. In feite heette de voorgestelde wet oorspronkelijk de California Privacy Rights and Enforcement Act (CPREA), wat de nieuwe nadruk op verantwoordelijkheid aangeeft.
Oprichting van een nieuw regelgevend agentschap
De CPRA creëert het California Privacy Protection Agency (CPPA), dat Lexology “het eerste overheidsagentschap in de VS noemt dat zich uitsluitend op privacy richt.” De CCPA heeft tot taak de wet te handhaven door boetes uit te delen en te eisen dat bedrijven een risicobeoordeling en audits ondergaan voor hun beleid inzake gegevensverwerking.
Daarnaast zal de CCPA verdere voorschriften, regels en richtsnoeren geven met betrekking tot de interpretatie van de CPRA. Volgens de website van Prop 24 zal dit nieuwe agentschap een budget van $ 10 miljoen hebben, wat “ongeveer overeenkomt met hetzelfde aantal medewerkers voor privacyhandhaving als de FTC heeft om het hele land te controleren.”
Dit zou uiteindelijk goed nieuws kunnen zijn voor bedrijven, omdat de CPPA in staat zal zijn om begeleiding en duidelijkheid te bieden over de vereisten van de CPRA. De taal van de CCPA was een bron van verwarring, en de National Law Review wijst erop dat de CCPA impopulair is geweest vanwege zijn “te ruime definities, dubbelzinnige taal, en algeheel gebrek aan duidelijkheid.” Dit agentschap zou kunnen functioneren zoals het Information Commissioner’s Office (ICO) van het Verenigd Koninkrijk, dat heeft geholpen duidelijkheid te scheppen en de handhaving van de General Data Protection Regulation (GDPR) te begeleiden.
Uitbreiding particulier vorderingsrecht
Onder de CCPA hadden particulieren minder macht om bedrijven aansprakelijk te stellen voor niet-naleving. Onder de CCPA kunnen particulieren alleen particuliere juridische stappen tegen een bedrijf nemen voor bepaalde soorten inbreuken, en vaak pas nadat het bedrijf daarvan in kennis is gesteld en de kans heeft gekregen om het probleem te “verhelpen”. Maar de nieuwe wet stelt dat “de implementatie en handhaving van redelijke beveiligingsprocedures en -praktijken … na een inbreuk geen remedie vormt.”
Met andere woorden, als de koeien uit de stal ontsnappen, moeten bedrijven ze weer binnenzetten als ze juridische problemen willen voorkomen. Alleen een slot op de deur zetten, zodat er de volgende keer niets meer uit kan, is niet voldoende.
CPRA volgt het voorbeeld van de GDPR
De CPRA bevat veel concepten die bekend zijn bij iedereen die de GDPR heeft bestudeerd. Deze nieuwe toevoegingen zijn bedoeld om personen meer controle te geven over hun persoonsgegevens en de manieren te beperken waarop bedrijven deze kunnen gebruiken.
Een nieuwe categorie “gevoelige persoonsgegevens”
De CPRA introduceert het concept van “gevoelige persoonsgegevens” als een bepaalde gegevensklasse, waarvoor hogere normen gelden dan voor andere persoonsgegevens. Dit begrip komt reeds voor in de GDPR, hoewel de definitie van de CPRA ruimer is.
Vevoelige persoonsgegevens in de CPRA kunnen worden onderverdeeld in twee categorieën: directe identificatoren en zeer persoonlijke gegevens. De eerste categorie omvat door de overheid verstrekte identiteitsbewijzen, financiële informatie en elke combinatie van rekeninggegevens die toegang tot een rekening verschaffen. De tweede categorie omvat precieze geolocatie, etniciteit, religie, genetische en biometrische informatie, seksuele geaardheid en de inhoud van e-mail- en sms-berichten, tenzij deze berichten naar het bedrijf in kwestie zijn verzonden.
De CPRA geeft individuen expliciet meer macht om te beperken hoe bedrijven deze informatie gebruiken. Gebruikers kunnen nu verzoeken dat een bedrijf deze informatie alleen gebruikt als dit nodig is om de dienst of goederen te leveren “die redelijkerwijs door een gemiddelde consument worden verwacht” en alleen voor een beperkt aantal doeleinden die specifiek door de wet worden geschetst.
Dit creëert op zijn beurt een nieuwe opt-out-vereiste voor bedrijven, die JD Supra speculeert kan inhouden dat “een link beschikbaar op de startpagina van hun website met de titel Limit the Use of My Sensitive Personal Information.” Dit zou een afzonderlijke kennisgeving zijn van een link die zegt: “Verkoop of deel mijn persoonlijke informatie niet.”
Invoering van het “recht op correctie”
De CPRA geeft consumenten het recht om bedrijven te vragen onjuiste persoonlijke informatie over die consument te corrigeren. (De GDPR noemt dit het “recht op correctie”.) Bedrijven moeten consumenten op de hoogte brengen van dit recht, en als iemand om een wijziging vraagt, moeten zij “commercieel redelijke inspanningen” leveren om de wijziging te corrigeren.
Verhoogde beperkingen voor het bewaren/verwijderen van gegevens
De CCPA verleent consumenten een beperkt recht om te verzoeken dat hun persoonlijke informatie wordt verwijderd, zij het met verschillende uitzonderingen die het aanzienlijk zwakker maken dan het “recht om te worden vergeten” van de GDPR. De CPRA legt de bewijslast bij bedrijven (en de partijen die met hun informatie omgaan) om zelf gegevens te wissen. De wet vereist dat bedrijven persoonlijke informatie slechts zo lang bewaren als nodig is om de aan de consument bekendgemaakte doeleinden te bereiken.
Bovendien, als een consument om verwijdering verzoekt, moeten bedrijven dit verzoek doorgeven aan dienstverleners en aannemers, die op hun beurt hun eigen dienstverleners en aannemers op de hoogte moeten stellen om een gedeelde verplichting tot verwijdering te creëren.
Uitbreiding van de werkingssfeer tot het “delen” van gegevens
In bijna elk geval waarin de CCPA het heeft over “verkopen”, heeft de CPRA dit gewijzigd in “verkopen of delen”. Om duidelijk te zijn, de definitie van verkopen in de CCPA is al vrij ruim. Niettemin probeert de CPRA mazen te elimineren die bedrijven misbruiken voor het doel van “cross-contextual behavioral advertising.”
Deze wijziging kan het onmogelijk maken voor bedrijven als Facebook en Google om de opt-out eis te omzeilen door vol te houden dat ze gebruikersgegevens niet “verkopen”, maar adverteerders alleen die gegevens laten gebruiken voor gerichte marketing. Zoals Datawallet meldt, zou deze kleine verandering uiteindelijk “de status quo van het bestaande digitale reclame-ecosysteem volledig kunnen veranderen.”
Hoe bedrijven zich moeten voorbereiden op de CPRA
Het goede nieuws voor bedrijven is dat de handhaving van de CPRA pas in juli 2023 zal beginnen. De CPRA verlengt ook de vrijstellingen van de CCPA voor werknemersgegevens tot die tijd.
IAPP speculeert dat deze respijtperiode bedoeld kan zijn om de federale regering de tijd te geven om nationale privacywetgeving in te voeren. Ongeacht de reden hebben bedrijven enige tijd om zich voor te bereiden en een nieuw gegevensbeleid in te voeren.
Step up data deletion policies
Zoals eerder besproken, vereist de CPRA dat bedrijven (en de externe partijen die met hen werken) persoonsgegevens verwijderen nadat ze hun doel hebben gediend. Afgezien van de naleving van dat element van de wet, is het wissen van gegevens gewoon een goede praktijk, want hoe meer persoonsgegevens je bewaart, hoe meer je te verliezen hebt bij een inbreuk. En gezien de nadruk die de nieuwe wet legt op handhaving en het uitgebreide recht op particuliere actie, kan elk gecompromitteerd record bij een inbreuk leiden tot ernstige sancties.
Ter versterking van het verwijderingsbeleid vereist eerst dat alle persoonlijke gegevens worden verantwoord en niet in de ether rondzweven. Zoals de IAPP het stelt: “Hoewel veel privacyfunctionarissen jaarlijkse dagen voor het verwijderen van gegevens als best practice hebben geïmplementeerd, is het een voortdurende uitdaging gebleven om alle werknemers zover te krijgen dat ze zich eraan houden en troepen verouderde gegevens verwijderen die niet langer een doel dienen.”
Eén oplossing voor deze uitdaging is om alle persoonlijke gegevens onder te brengen in gecentraliseerde gebruikersprofielen, die toegankelijk zijn via uw identiteits- en toegangsbeheer (IAM)-systeem. Het hebben van een enkele opslagplaats van klantgegevens vereenvoudigt de naleving van veel aspecten van de Californische dataprivacywetten, zoals het verwijderen van persoonlijke gegevens, het aanbrengen van correcties, en het geven van rapporten aan consumenten op verzoek.
Implementeer MFA voor logins
De CPRA wijst login-referenties aan voor speciale aandacht. In de eerste plaats vallen inloggegevens onder “gevoelige persoonlijke informatie”. En terwijl de CCPA alleen particulieren het recht op juridische stappen gaf als een inbreuk hun niet-versleutelde persoonlijke informatie blootlegde, breidt de CPRA dat recht uit tot inbreuken die het “e-mailadres van een gebruiker blootleggen in combinatie met een wachtwoord of een beveiligingsvraag en antwoord waarmee toegang tot de account kan worden verkregen”, op voorwaarde dat de inbreuk plaatsvond als gevolg van het verzuim van het bedrijf om redelijke beveiligingspraktijken te handhaven.
Deze nieuwe taal is een duidelijke poging om de epidemie van gebroken authenticatieaanvallen te bestrijden, zoals credential stuffing, waarbij blootgelegde inloggegevens de toegangspoort worden voor identiteitsdieven.
Eén manier om de naleving te verbeteren, is het versleutelen van opgeslagen wachtwoorden. Maar versleuteling alleen kan onvoldoende zijn, omdat versleutelingsstandaarden veranderen en er altijd de mogelijkheid bestaat dat u een oude database met platte wachtwoorden in uw systemen hebt verstopt.
Daarom is het verstandig om multifactorauthenticatie (MFA) te implementeren en ervoor te zorgen dat geloofsbrieven alleen niet automatisch toegang tot accounts geven. MFA zal om een extra vorm van legitimatie vragen (zoals een vingerafdruk of een eenmalige code) in het geval van een ongebruikelijke aanmelding (zoals iemand die probeert in te loggen met een nieuw apparaat).
Onderzoek uw relaties met derden
De CPRA legt grote nadruk op het uitbreiden van gegevensprivacyverplichtingen naar aannemers, dienstverleners en derden. Een contractant wordt specifiek gedefinieerd als iemand aan wie een bedrijf via een schriftelijk contract toegang geeft tot persoonlijke informatie. Dit contract verbiedt de contractant gegevens te verkopen of te delen met andere partijen of ze te gebruiken voor doeleinden die niet in het contract zijn vermeld.
De CPRA vereist ook dat elke dienstverlener, contractant of derde partij die gegevens ontvangt, contractueel overeenkomt zich te houden aan de normen van de CPRA. De IAPP merkt op dat deze vereisten “doen denken aan de GDPR en verschillende internationale mechanismen voor gegevensoverdracht die zijn ontworpen om de GDPR-beschermingen uit te breiden en grensoverschrijdende naleving mogelijk te maken.”
Deze wijzigingen maken het voor bedrijven van essentieel belang om zichzelf te informeren over de gegevensprivacy- en cyberbeveiligingsnormen van elke externe partij met wie ze persoonsgegevens delen. Het werk van het opstellen van contracten zal aan advocaten toekomen, maar het is aan beveiligingsprofessionals om ervoor te zorgen dat derden hun contractuele verplichtingen nakomen door goede gegevensbeveiliging te beoefenen.
CPRA is groot (maar niet noodzakelijkerwijs slecht) nieuws
Toen het nieuws van “CCPA 2.0” voor het eerst naar buiten kwam, kort na de aanneming van de oorspronkelijke wet, waren sommige bedrijfsleiders verbijsterd. Sommigen leken het gevoel te hebben dat Alastair Mactaggart, de leider van de beweging, er persoonlijk op uit was om hen te pakken. Maar nu de wet is aangenomen, is het tijd voor alle betrokkenen om de algemene doelstellingen ervan te omarmen.
De nieuwe toevoegingen in deze privacywet maken deel uit van een brede evolutie in consumentenrechten. En terwijl deze specifieke wet geldt alleen voor Californiërs, zijn er staatswetten opkomen in de hele Verenigde Staten met soortgelijke agenda’s. Ook al kan het een uitdaging zijn om aan deze nationale en wereldwijde lappendeken van wetten te voldoen, ze vereisen allemaal dezelfde basismentaliteit. Respecteer privacy, zorg voor transparantie en controleer de toegang tot persoonlijke gegevens.
Wilt u meer weten over de grondbeginselen van gegevensprivacy, gegevensbeveiliging en wettelijke naleving? Begin hier.
Over Auth0
Auth0 biedt een platform voor het verifiëren, autoriseren en beveiligen van de toegang voor toepassingen, apparaten en gebruikers. Beveiligings- en toepassingsteams vertrouwen op de eenvoud, uitbreidbaarheid en expertise van Auth0 om identiteit voor iedereen te laten werken. Auth0 beveiligt elke maand miljarden inlogtransacties, zodat innovators kunnen innoveren, en stelt wereldwijde ondernemingen in staat om betrouwbare, superieure digitale ervaringen te leveren aan hun klanten over de hele wereld.
Voor meer informatie, bezoek https://auth0.com of volg @auth0 op Twitter.