Ben je klaar voor de wet op de privacy van consumenten in Californië?

Enkele van de meest bekende technologiebedrijven hebben hun hoofdkantoor in Californië, een staat die op 28 juni 2018 de California Consumer Privacy Act van 2018 (CCPA) heeft aangenomen. De CCPA zal niet in werking treden tot 1 januari 2020, maar het zal naar verwachting van invloed zijn op bedrijven in Californië, de Verenigde Staten en, in feite, de hele wereld. De CCPA heeft invloed op de manier waarop bedrijven met klantgegevens kunnen omgaan en wordt door velen beschouwd als de strengste wetgeving inzake gegevensbescherming in de geschiedenis van de VS.

Als je je een déjà vu voelt, dan ben je niet alleen. In mei werd de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) van kracht. De GDPR is een hot topic hier op PCMag. Hoewel de wet over de Atlantische Oceaan is opgesteld, is de waarheid dat deze een stempel heeft gedrukt op bedrijven wereldwijd, omdat deze van toepassing is op alle EU-burgers, ongeacht waar zij wonen. Net als de GDPR zal de impact van de nieuwe CCPA verreikende implicaties hebben die buiten het bereik van de oorspronkelijke staat vallen. We hebben een paar experts gesproken om meer te weten te komen over de CCPA en enkele van de verwachte implicaties daarvan.

De CCPA en u: een introductie

De CCPA vestigt het recht van de consument om bedrijven te verzoeken openbaar te maken welke gegevens over hen worden verzameld. Tenzij u een tool zoals een virtueel particulier netwerk (VPN) gebruikt, is het vrijwel zeker dat talloze bedrijven informatie over u verzamelen wanneer u online bent. Het is een understatement om dit soort transparantie te zeggen dat de CCPA zal brengen.

John Tsopanis is Privacy Product Manager bij 1touch.io, een bedrijf dat bedrijven helpt de persoonlijke gegevens die ze verwerken te begrijpen. Tsopanis heeft de afgelopen jaren GDPR-consulting voor bedrijven gedaan en bereidt zich op om hetzelfde te doen met de CCPA. Tsopanis legt de CCPA in basistermen uit.

"Op 1 januari 2020 heeft een inwoner van Californië wettelijk recht om een ​​groot bedrijf in Amerika te vragen: 'Verwerkt u mijn informatie?'" Zei Tsopanis. "Binnen 45 dagen zal dat bedrijf verplicht zijn om te antwoorden met een rapport met de laatste 12 maanden. Het zal moeten aantonen welke specifieke categorieën persoonlijke informatie ze over die persoon hebben, met wie ze het delen, en wat de redenen zijn voor de verwerking ervan. Ze moeten die informatie binnen de gestelde termijn aan inwoners van Californië - alle 40 miljoen - verstrekken."

Verschillen tussen GDPR en CCPA

Er zijn enkele substantiële verschillen tussen wat de AVG doet en wat de CCPA bestrijkt. Om te beginnen gebruikt de CCPA een opt-outbasis voor toestemming, terwijl de GDPR een opt-inbasis gebruikt. Dit betekent in wezen dat gebruikers actief contact moeten opnemen met bedrijven om te weten te komen wat voor soort informatie wordt gebruikt. Bovendien is de AVG van toepassing op elke organisatie die persoonsgegevens over EU-burgers bewaart.

De CCPA is daarentegen alleen van toepassing op bedrijven met winstoogmerk die gegevens over inwoners van Californië verwerken. De organisatie moet ofwel minimaal $ 24 miljoen aan jaarlijkse inkomsten genereren, de gegevens van 50.000 mensen bewaren, of minstens de helft van hun inkomsten doen aan de verkoop van persoonlijke gegevens. Dus als u een kleine boetiekwinkel bezit en de omvang van uw online activiteiten een webpagina is met uw openingstijden en adres, hoeft u zich geen zorgen te maken over de CCPA. Maar als u een e-commerce website beheert via een turnkey-provider of uw eigen e-tailwebsite onderhoudt via een algemene webhostingservice, dan moet u opletten.

Courtney Bowman is een medewerker van de juridische afdeling van het internationale advocatenkantoor Proskauer Rose LLP. Bowman legt uit waarom CCPA van bedrijven vereist dat ze goed nadenken over hun datagebruik tot ver na 2020. "Die eis van 12 maanden betekent dat bedrijven hun privacybeleid ten minste eenmaal per jaar moeten bekijken en proberen te achterhalen of er iets is veranderd, " ze zei.

"Ze zullen continu moeten controleren welke gegevens ze verkopen of bekendmaken aan derden, zodat ze hun privacybeleid hierop kunnen aanpassen, " vervolgde Bowman. "De wet geeft consumenten ook het recht op toegang tot of verwijdering van hun persoonlijke informatie in sommige situaties, en bedrijven moeten ervoor zorgen dat ze dit recht snel kunnen uitvoeren. Dat vereist dat bedrijven gegevens in kaart brengen om erachter te komen waar hun gegevens is gevestigd, en ook om contact op te nemen met hun IT-afdelingen om erachter te komen wat ze moeten doen om ervoor te zorgen dat ze hun verantwoordelijkheden volgens de wet kunnen nakomen."

De brede impact van de CCPA

In de maanden voorafgaand aan de AVG was een rode draad in onze berichtgeving dat de AVG in onze geglobaliseerde wereld gevolgen zou hebben voor bedrijven buiten Europa. De meeste grote bedrijven doen immers zaken in het buitenland en zullen hun online activiteiten wereldwijd moeten aanpassen om aan de wet te voldoen. Toen we met Tsopanis spraken, zei hij echter dat Amerikaanse bedrijven nog steeds speciale aandacht aan de CCPA moeten schenken.

"Als het gaat om Amerikaanse bedrijven, was de AVG vooral gericht op grote organisaties die actief waren via de kanalen. Met de criteria voor de bedrijven die in aanmerking komen, zijn ze veel groter door een enorme orde van grootte, " zei Tsopanis. "Er zijn 40 miljoen mensen in Californië; 50.000 is niet eens 0, 1 procent van de bevolking. Ik denk dat de omvang van de blootstelling voor Amerikaanse bedrijven aanzienlijk hoger is dan voorheen onder de GDPR."

Tsopanis biedt het voorbeeld van fastfoodreus Wendy's. "Wendy's is het 999e grootste bedrijf op de Fortune 1000 en heeft een jaarlijkse omzet van $ 1, 2 miljard - 48 keer hoger dan de drempel voor toepasbaarheid onder deze wet. Er zijn op zijn minst 1.000 miljard dollar bedrijven in Amerika moeten voldoen deze wet, en belangrijke ordes van grootte groter dan die in de $ 25 miljoen categorie."

We beschouwen Wendy's misschien niet als een technologiebedrijf, maar ze verzamelen een behoorlijk deel van de gebruikersinformatie. Ze zijn ook een perfect voorbeeld van hoe allerlei bedrijven door de CCPA worden beïnvloed. Wanneer u hun website bezoekt, eten bestelt via hun point-of-sale (POS) -systemen, of zelfs gewoon de wifi gebruikt in uw lokale Wendy's restaurant, verzamelt het bedrijf uw informatie, en in Californië, tenminste, dat ' Alle zullen onderworpen zijn aan CCPA-regelgeving. Als een bedrijf zo 'klein' als Wendy's zoveel gegevens over gebruikers verzamelt, dan is het ronduit eng om te denken aan wat grotere bedrijven verzamelen. Simpel gezegd, de CCPA zal enorme implicaties hebben.

Belangrijke gegevensontdekkingen

Een van de belangrijkste effecten van de CCPA is dat Amerikanen eindelijk in staat zullen zijn om de enorme hoeveelheden gegevensinkoop en gegevensverkoop te ontdekken die bedrijven hebben gedaan. "Deze wet stelt het Amerikaanse volk in staat om eindelijk het massale web van organisaties voor het kopen en verkopen van gegevens te onthullen, die voorheen volledig anoniem waren. Dit zal leiden tot een dramatische culturele verschuiving in de manier waarop gegevensprivacy wordt waargenomen, en uiteindelijk bij op een bepaald punt, leiden tot geharmoniseerde federale privacywetgeving, "zei Tsopanis.

Wanneer de Cambridge Analytica schandaal brak, het trok de aandacht van miljoenen mensen, of ze nu technologen waren of niet. Het maakte mensen erg bezorgd over wie hun informatie verzamelt en wat ermee wordt gedaan, en de CCPA is daar gedeeltelijk een antwoord op. Tsopanis stelt dat de resulterende onthullingen enorm zullen zijn.

"Voor elke journalist in het land is dit een uitkomst. Californië is een economie van $ 2, 7 biljoen - de op vier na grootste ter wereld - en het is gebouwd op Big Data. Elk toegangsverzoek van elk Fortune 1000-bedrijf gaat een heel netwerk onthullen van bedrijven voor het kopen en verkopen van gegevens die intensief zullen worden onderzocht, "legde Tsopanis uit. "We weten niet precies wat we zullen vinden wanneer mensen hun gegevensrapporten beginnen te ontvangen, maar er zijn zeker een aantal interessante onthullingen."

Slechts 18 maanden om voor te bereiden

Als we iets van GDPR hebben geleerd, is het dat bedrijven zo vroeg mogelijk moeten plannen om klaar te zijn voor de deadline. Met dat in gedachten hebben Amerikaanse bedrijven helemaal geen tijd. De AVG werd aangenomen in april 2016 en bedrijven hadden iets meer dan twee volledige jaren om zich aan te passen en aan de verordening te voldoen. Omdat de CCPA begin 2020 van kracht wordt, betekent dit dat grotere bedrijven nu slechts 18 maanden hebben om zich klaar te maken.

Die deadline zal waarschijnlijk zelfs de meest doorgewinterde tech-professional gestrest maken. "De hoeveelheid werk die moet worden gedaan in 18 maanden is groter dan nodig was voor de GDPR, met minder tijd om het te doen, en met Amerikaanse bedrijven die uit een lager niveau van privacyrijpheid komen dan Europa, " waarschuwt Tsopanis.

Om hieraan te voldoen, beveelt de beveiligingsveteraan bedrijven aan om hun processen goed te ontwikkelen. "In de komende zes maanden moeten organisaties een soort methode ontwikkelen om persoonlijke informatie in de hele organisatie te volgen, " zei Tsopanis. "Ze hebben een manier nodig om gemakkelijk toegang te krijgen tot welke persoonlijke informatie naar welke derde partij is verzonden en op welk tijdstip, en dan moeten ze dat kunnen volgen gedurende de 12 maanden tot de implementatie, en klaar moeten zijn om die informatie op verzoek te verstrekken wanneer de verordening komt in het spel.

"Het gaat in wezen vereisen dat bijna alle grote Amerikaanse bedrijven belangrijke gegevensidentificatieactiviteiten uitvoeren en in staat zijn om toegangsgegevens van betrokkenen van inwoners van Californië te automatiseren en te reageren op de datum van tenuitvoerlegging, " vervolgde Tsopanis. "Het is ook belangrijk op te merken dat wanneer de wet in 2020 wordt aangenomen, ze in staat moeten zijn om een ​​rapport over gebruikersinformatie in de voorafgaande 12 maanden te kunnen verstrekken. Dit betekent effectief dat bedrijven die gegevens op 1 januari 2019 moeten volgen."

Juridisch gezien zegt Bowman dat er vóór de deadline enkele wijzigingen kunnen zijn aangebracht. "We verwachten wel dat we enkele herzieningen van de wet zullen zien voordat deze van kracht wordt", zei ze. "Omdat het vrij snel werd opgesteld, zelfs nadat het in werking treedt, kunnen er enkele grijze gebieden zijn die nog steeds uitstekend zijn in termen van ons begrip ervan. Het kostte de AVG immers jaren om op te stellen en er zijn nog steeds meerdere delen van de AVG die dubbelzinnig zijn."