CCPA in vogelvlucht
Twee jaar geleden, op 28 juni 2018, is in Californië de California Consumer Privacy Act (CCPA) wet geworden (link). Hierin staat dat met ingang van 1 januari 2020 regels gelden voor het opslaan, verkrijgen, verwerken en verhandelen van persoonsgegevens. De scope van de wet betreft de burgers van deze staat. Aangezien die informatie over de hele wereld opvragen en daar ook zaken mee doen heeft deze wet dus een mondiale impact.
De wet is van kracht, maar de afgelopen zes maanden was er geen controle op handhaving. Dat is komt regelmatig voor en heeft dus niet specifiek met deze wet te maken. De zes maanden periode van overgang is per gisteren voorbij. De staat Californië kan nu overgaan tot handhaving.
Iedere ondernemer in die staat kan sinds gisteren benaderd worden door de Attorney General met het verzoek om uitleg over data die het heeft. Pogingen van het bedrijfsleven en lobbyisten de wet te laten verzanden hebben niet geholpen. Zelfs de verwijzingen naar onmogelijkheid compliant te worden door het Covid-19 virus zijn van tafel geveegd. Iedereen had immers twee volle jaren de tijd de passende maatregelen te treffen.
CCPA en AVG
Het begrip passende maatregelen kan de Nederlandse lezer bekend voorkomen. De term wordt immers regelmatig gebruikt als het over de AVG/ GDPR gaat. Dat is geen toeval. De gestelde eisen, scope en doelgroepen komen behoorlijk overeen. De Amerikanen hebben goed naar de AVG geschiedenis en teksten gekeken. Zie ook de eerdere aritkelen over de CCPA op Technite.
Er zijn natuurlijk wel de nodige verschillen aan te wijzen. Zo kent de wet uit Californië de mogelijkheid per incident een boete tot $7.500 op te leggen. Incident is in deze context een record, de gegevens van één klant.
De overeenkomst tussen de twee wetten heeft overigens grote voordelen. Elke ondernemer die serieus werk heeft gemaakt van AVG compliant te zijn heeft het meeste werk voor CCPA compliancy al verricht.
Echter
Echter, AVG !=CCPA. Nog steeds blijven er verschillen en moet elke ondernemer die gegevens van burgers uit Californië in zijn databases, klantsystemen of zelfs analoge Rolodexen heeft kunnen aantonen aan alle CCPA regels te voldoen.
Waarschijnlijk is in Nederland door de Covid-19 lockdowns de afgelopen maanden heel weinig aandacht besteed aan dit onderwerp. Bedrijven hadden echt andere zaken aan het hoofd dan de warme, lauwe en koude databases te controleren op de aanwezigheid van NAW gegevens uit Californië. Of het daarbij gaat om leads, data uit een reguliere klant-leverancier relatie dan wel eenmalige transacties maakt niets uit. Net als bij de AVG moet duidelijk zijn waar de data staat, wie er toegang toe heeft, of er bewerkingen zijn et cetera.
Net als dat de EU AVG boetes kan opleggen aan Facebook kan de Attorney General uit Californië voor de CCPA handhaving uithalen naar een Nederlandse ondernemer. Wees dat voor. Zorg dat je binnen de lijnen van de CCPA bent en blijft.
