De CCPA zou per januari 2020 in werking treden. De eerste maanden wordt niet opgetreden om het bedrijfsleven nog de kans te geven de processen aan te passen. Wat vooral opviel is dat organisaties vooral voor een ander soort processen leek te kiezen. Op alle mogelijke manieren, inclusief de gang naar de rechter, probeerde men de wet tegen te houden.
CCPA criteria
Die acties hebben nergens toe geleid. Per juli kan er gehandhaafd worden en de toezichthouder heeft al meerdere keren via de pers laten doorsijpelen dat er laaghangend fruit is dat men graag wil aanpakken. Dat laaghangend fruit lijkt inderdaad makkelijk te vinden. De CCPA heeft immers betrekking op bedrijven die of meer dan $25 miljoen omzet in de VS behalen, of meer dan 50.000 inwoners uit Californië als klant hebben of voor 50% en meer afhankelijk zijn van de verkoop van persoonsgegevens van burgers van die zelfde staat. Omdat aan slechts van deze drie criteria voldaan hoeft te worden is duidelijk dat er heel veel bedrijven met de CCPA te maken moeten hebben.
DSR – recht van inzage
Tegelijk biedt deze wet de burgers de nodige bescherming. Iedereen in die staat kan zich wenden tot bedrijven en een “data subject request” (DSR) doen. Zoiets is bij de AVG in artikel 15 “Recht van inzage van de betrokkene” beschreven.
Over de DSR’s onder de CCPA, boete bedragen en andere cijfers wordt een hoop geroepen. Vooraf gaven de grote dataverzamelaars en handelaren aan dat het aantal verzoeken hen in de problemen zou helpen. Iets dergelijks is overigens ook in de EU en Nederland geroepen. Tot zover bekend is dat FUD gebleken.
Onderbouwing onbekend
Gartner heeft in februari van dit jaar nog geschreven dat het voldoen aan een DSR per geval een bedrijf gemiddeld $1.400 zal kosten. De onderbouwing zou waarschijnlijk volgen op de speciale serie conferenties, maar die hebben natuurlijk niet plaatsgevonden. Het genoemde bedrag is desondanks een eigen leven gaan leiden.
Dit getal komt ook terug in een “rapport” van een start-up die zegt dat het ontwikkelde platform bedrijven helpt de AVG en CCPA DSR verzoeken snel en goed te kunnen verwerken. Datagrail wijst naar het bedrag van Gartner om de eigen propositie aantrekkelijk te maken. Dat kan, maar men zou kunnen weten dat er geen zinnige onderbouwing bestaat.
Hoge score
Wat dan wel zinnig lijkt is de melding dat 3 van de 10 DSR verzoeken onder de CCPA “unverified” is. Men vermoedt dat het wordt gedaan persoonsgegevens van derden te achterhalen. De hoeveelheid DSR verzoeken ligt bij 13 per 1 miljoen records en in 50% van de gevallen wil de verzoeker dat bedrijven zijn gegevens niet (meer) verkopen.
Dat is een hoge score en geeft direct aan waarom de weerstand van het bedrijfsleven tegen deze wet zo groot was. De opt-out voor het delen (dus verkopen) van data is meer gebruikt dan het verzoek om data te wissen. Maar ook dat is met 31% van de gevallen behoorlijk hoog. Omdat Datagrail een belang heeft bij het benadrukken van de voordelen van een geautomatiseerd DSR proces is niet uit te sluiten dat de cijfers zijn aangedikt.
Om de impact van deze wet beter te kunnen begrijpen is het dus nog te vroeg. We moeten wachten op CCPA cijfers die minder ongeloofwaardig overkomen en dus beter zijn onderbouwd.
