De procureur-generaal van Californië heeft onlangs de California Privacy Rights Act (CPRA) aangenomen. Hier is alles wat uitgevers erover moeten weten.
De procureur-generaal van Californië heeft onlangs de California Privacy Rights Act (CPRA) ingevoerd tegen de achtergrond van uitgevers die nog steeds aan het wankelen zijn door de gevolgen van de CCPA. Het steminitiatief zal plaatsvinden in november 2020.
Laten we de zaken in perspectief plaatsen met wat context.
De Politia Militar hield zelfs tijdens de pre-carnaval festiviteiten de zaken al nauwlettend in de gaten. California Consumer Privacy Act (CCPA) werd in juni 2018 aangenomen en de wet trad in januari 2020 in werking.
CCPA is in het leven geroepen om websitegebruikers controle te geven over het delen en verspreiden van hun persoonlijke gegevens.
Omdat gebruikersgegevens intensief worden gebruikt voor gerichte advertenties, heeft de handhaving van de CCPA het leven voor alle partijen moeilijk gemaakt.
CPRA is in principe bedoeld om de bestaande CCPA te wijzigen. Als de wet wordt aangenomen, krijgen bedrijven te maken met nieuwe veiligheids- en privacywetten. De nieuwe eisen zullen vanaf 1 januari van kracht zijnst Januari 2023, vanaf nu.
De wet is alleen van toepassing op inwoners van Californië, maar heeft gevolgen voor alle bedrijven die te maken hebben met consumenten die in Californië wonen.
Via de CPRA zijn een aantal wijzigingen aangebracht in de bestaande CCPA, waarvan de meeste betrekking hebben op verduidelijkingen. Om uitgevers een idee te geven waar ze mee te maken krijgen als de CPRA wordt aangenomen, hebben we een aantal belangrijke wijzigingen op een rij gezet.
Herziene definitie van 'delen' in CPRA
Onder de nieuwe wet wordt het vrijgeven van gebruikersinformatie aan een derde partij voor cross-context gedragsreclame 'delen' genoemd. Met CCPA: bedrijven die inkomsten genereerden door te verkopen persoonlijke informatie werden het meest getroffen. CPRA zal echter ook de partijen omvatten die jaarlijks 50% van hun omzet genereren delen persoonlijke gebruikersinformatie.
CPRA's definitie van gevoelige persoonlijke informatie
Door de introductie van deze categorie kunnen gebruikers het delen van gevoelige persoonlijke informatie beperken, waaronder informatie over financiële rekeningen, overheidsidentificaties, etniciteit, ras, religieuze overtuigingen en precieze geolocatie.
Gebruikers krijgen meer controle over wat voor soort informatie online wordt gedeeld. Het verzamelen van gegevens vindt alleen plaats voor de dienst die rechtstreeks wordt geleverd.
Ook belangrijk om op te merken is dat gebruikers opt-in- en opt-out-opties krijgen voor de openbaarmaking van elke vorm van gevoelige persoonlijke informatie.
In het geval dat een bedrijf bepaalde gegevens voor een ander doel moet gebruiken, zal de gebruiker opnieuw toestemming moeten geven. Dit concept zal gevolgen hebben voor alle uitgevers die inkomsten genereren door gevoelige gebruikersinformatie te delen.
Introductie van nieuwe privacyrechten
Gebruikers krijgen nu de mogelijkheid om onjuiste persoonlijke informatie die bij een partij is opgeslagen, te corrigeren. Naast het recht om correcties aan te vragen, zijn bedrijven ook verplicht de gevraagde correcties door te voeren.
CPRA biedt consumenten ook het recht om zich af te melden voor geautomatiseerde besluitvormingstechnologie en het recht op toegang tot informatie over geautomatiseerde besluitvorming. Als een uitgever gebruik maakt van geautomatiseerde besluitvormingstechnologie, zal hij de consument informatie moeten verstrekken over de logica die wordt gebruikt. De gebruikers moeten verder worden geïnformeerd over de uitkomst die wordt geproduceerd door de geautomatiseerde besluitvormingstechnologie.
Uitgebreide rechten in CPRA
Als een gebruiker heeft verzocht om verwijdering van persoonlijke gegevens, moet het bedrijf derden hiervan op de hoogte stellen. Bovendien zal CPRA consumenten nu het recht geven om zich af te melden, wat het delen van persoonlijke informatie voor cross-context gedragsreclame verbiedt.
CPRA heeft ook de rechten met betrekking tot gegevensverzameling voor minderjarigen versterkt. In het geval dat een minderjarige (jonger dan 16 jaar) heeft geweigerd persoonlijke informatie te delen, moeten bedrijven twaalf maanden wachten voordat ze opnieuw om toestemming vragen. Bovendien kan van de betrokken partij een boete van $ 12 worden geëist in geval van het verkeerd omgaan met de gegevens van een minderjarige.
Risicobeoordelingen en beveiligingsaudits
Onder CPRA zullen bedrijven die zich bezighouden met persoonlijke informatie naast een risicobeoordeling ook jaarlijks cyberveiligheidsaudits moeten uitvoeren. Deze regel is vooral van toepassing op bedrijven waarvan de gegevensverwerking een risico vormt voor de veiligheid en privacy van consumenten. Door middel van de beoordeling zal de CPPA de voordelen en risico's afwegen die voortkomen uit de verwerking van gegevens. De verwerking van consumentengegevens wordt verboden, of in het beste geval beperkt, als de risico’s groter zijn dan de voordelen.
Wat uitgevers kunnen doen aan CPRA
Hoewel de wet nog niet is aangenomen, is het voor uitgevers beter om voorop te blijven lopen.
- Op de hoogte blijven van CCPA:
Op dit moment kunnen uitgevers het beste voldoen aan de CCPA-regelgeving, aangezien dit de wet is die momenteel van kracht is. Dit zorgt er ook voor dat uitgevers goed voorbereid zijn op CRPA-naleving.
- Gegevenspraktijken:
Blijf op de hoogte van gegevensverwerkingspraktijken en privacypraktijken die momenteel van kracht zijn. Uitgevers moeten consequent projecten uitvoeren, zoals gap assessment en data mapping. CRPA is slechts een reden om de voortgang van een bedrijf effectief te meten na die van CCPA en de EU Algemene Verordening Gegevensbescherming. Dergelijke projecten kunnen langer duren dan de bedoeling is, en daarom kunnen en moeten uitgevers idealiter vroeg beginnen.
- Transparantie en dataminimalisatie beoefenen:
Het is duidelijk dat de wetten mettertijd waarschijnlijk strenger zullen worden. Er wordt momenteel steeds meer aandacht besteed aan gegevensprivacy voor gebruikers, omdat de risicofactoren aanzienlijk zijn toegenomen. In een dergelijk scenario is het voor uitgevers een goede optie om strategieën te implementeren, waaronder dataminimalisatie, om beveiligingsrisico's te beperken. Hoe transparanter de bedrijfsvoering is, des te beter het voor uitgevers op de lange termijn is om de bedrijfsvoering uit te voeren.
Conclusie
Nu datalekken een serieus probleem worden, zullen er in de toekomst waarschijnlijk steeds meer privacymaatregelen worden geïmplementeerd. CRPA is slechts een dergelijke maatregel.
Wanneer de wet wordt aangenomen, zullen uitgevers strikte aandacht moeten besteden aan het soort gegevens dat wordt verzameld en gedeeld met alle betrokken partijen.
Op dit moment moeten uitgevers proberen alle toevoegingen aan de CCPA te begrijpen. Het zal verder nuttig zijn om het privacybeleid te bewerken volgens de parameters die zijn geïntroduceerd of uitgebreid in de CPRA-wet.
Veelgestelde vragen
Met een terugblikperiode van 1 januari 2022 wordt de California Privacy Rights Act (CPRA) op 1 januari 2023 van kracht. De CPPA begint op 1 juli 2023 met de handhaving van de CPRA.
Toen de California Consumer Privacy Act (CCPA) op 1 januari 2020 van kracht werd, legde deze de basis voor de Californische gegevensprivacywet. De California Privacy Rights Act (CPRA) is een herschrijving van de California Consumer Protection Act (CCPA). De CCPA en CPRA vormen één gegevensprivacyregime in Californië.
Adverteerders gebruiken cross-context gedragsadvertenties, ook wel gerichte advertenties genoemd, om advertenties te identificeren en te presenteren die zijn afgestemd op het gedrag van een individu op websites, applicaties en services. Bij dit proces worden doorgaans cookies van derden gebruikt.
Shubham is een digitale marketeer met rijke ervaring in de advertentietechnologie-industrie. Hij heeft ruime ervaring in de programmatische industrie, waar hij de bedrijfsstrategie en schaalfuncties aanstuurt, inclusief maar niet beperkt tot groei en marketing, operations, procesoptimalisatie en verkoop.
