Het lange wachten om te zien of een staat net als Californië een alomvattende privacywet zou aannemen, loopt eindelijk ten einde, aangezien de Senaat van Virginia op 3 februari de Virginia Consumer Data Protection Act (CDPA) heeft goedgekeurd. Een identieke versie van het wetsvoorstel was op 29 januari al goedgekeurd door het Huis van Afgevaardigden van Virginia, wat betekent dat het op elkaar afstemmen van de twee versies van het wetsvoorstel vóór de uiterste termijn van 11 februari waarschijnlijk niet meer dan een formaliteit zal zijn. Het wetsvoorstel zal dan naar de gouverneur van Virginia worden gezonden voor zijn handtekening. Als de wet wordt ondertekend, zal de CDPA van Virginia op 1 januari 2023 in werking treden, op dezelfde dag als de California Privacy Rights Act (CPRA).
De CDPA leent beginselen van de CPRA, de California Consumer Privacy Act (CCPA) en de General Data Protection Regulation (GDPR), maar verschilt ook van alle drie in belangrijke opzichten. Hieronder hebben we de belangrijkste bepalingen van de CDPA samengevat. We zullen updates blijven geven naarmate het wetsvoorstel door de wetgevende macht van Virginia beweegt.
1. Toepasselijkheid. De CDPA leent van de CCPA wat betreft het gebruik van drempelvereisten om de toepasselijkheid te bepalen. De wet is van toepassing op “personen die zaken doen in [Virginia] of die producten of diensten produceren die gericht zijn op inwoners van [Virginia] en die: 1) gedurende een kalenderjaar persoonsgegevens beheren of verwerken van ten minste 100.000 inwoners van Virginia of 2) persoonsgegevens beheren of verwerken van ten minste 25.000 inwoners van Virginia en meer dan 50 procent van hun bruto-inkomsten halen uit de verkoop van persoonsgegevens.”
2. Vrijstellingen. Hoewel de CDPA als een “alomvattende” privacywet wordt bestempeld, kent zij een aantal uitzonderingen (net als de CCPA en de CPRA). Sommige van deze vrijstellingen zijn vergelijkbaar met die in de CCPA en CPRA, maar in sommige gevallen zijn ze ruimer dan die in de andere twee wetten. In plaats van alleen informatie vrij te stellen die valt onder de Gramm-Leach-Bliley Act (GLBA) of beschermde gezondheidsinformatie krachtens de Health Information Portability and Accountability Act (HIPAA), is de CDPA bijvoorbeeld niet van toepassing op “financiële instellingen . . die onder [de GLBA] vallen” of op een “bevoegde entiteit of zakenpartner die onder [de HIPAA] valt”. De wet stelt ook informatie vrij die onderworpen is aan de meeste andere federale wetten, zoals informatie die valt onder de Family Education and Privacy Act, de Fair Credit Reporting Act, de Farm Credit Act, de Children’s Online Privacy Protection Act (COPPA), en de Driver’s Privacy Protection Act.
Cookie Consent Manager | Gratis Trial van 2 weken
Neem een Gratis proefperiode van 2 weken voor onze betaalde plans of maak een Gratis account aan …
3. Onderscheid tussen verwerkingsverantwoordelijke en verwerker. Net als de GDPR (en in tegenstelling tot de CCPA, die een onderscheid maakt tussen “bedrijven” en “dienstverleners”) maakt de CDPA gebruik van een tweedeling tussen voor de verwerking verantwoordelijke en verwerker om een onderscheid te maken tussen entiteiten die verantwoordelijk zijn voor het bepalen van de doeleinden van en de middelen voor de verwerking van persoonsgegevens en de entiteiten die namens hen persoonsgegevens verwerken. Net als de GDPR schept de CDPA specifieke verplichtingen voor zowel de voor de verwerking verantwoordelijken als de verwerkers (en beide kunnen op grond van de wet aansprakelijk worden gesteld).
4. Brede definitie van persoonsgegevens. Net als de andere drie besproken privacywetten hanteert de CDPA een ruime definitie van “persoonsgegevens”. De term wordt gedefinieerd als “alle informatie die gekoppeld is of redelijkerwijs kan worden gekoppeld aan een geïdentificeerde of identificeerbare natuurlijke persoon”. De definitie van persoonsgegevens sluit uitdrukkelijk publiek beschikbare informatie en ongeïdentificeerde gegevens uit (en de wet heeft specifieke normen voor de manier waarop bedrijven ongeïdentificeerde gegevens moeten behandelen).
5. Opname van de categorie gevoelige gegevens. De CDPA kent een aparte categorie “gevoelige gegevens” die wordt omschreven als 1) persoonsgegevens waaruit de raciale of etnische afkomst, de godsdienstige overtuiging, de geestelijke of lichamelijke gezondheidstoestand, de seksuele geaardheid, of het staatsburgerschap of de immigratiestatus blijkt; 2) genetische of biometrische gegevens (die worden gebruikt om een natuurlijke persoon te identificeren); 3) persoonsgegevens die van een kind zijn verzameld; of 4) precieze geolocatiegegevens. Voor de verwerking verantwoordelijken mogen gevoelige gegevens alleen verwerken met toestemming van de consument (of met toestemming van de ouders in overeenstemming met COPPA, in het geval van gegevens van kinderen).
Ben je een agency, webdesigner of een andere reseller?
Verdien 30% commissie, neem een kijkje bij ons reseller model of neem contact op voor aantallen boven 500 klanten
6. Individuele rechten. Net als de drie eerder besproken wetten, creëert de CDPA individuele rechten voor inwoners van Virginia die door de wet worden beschermd. Het gaat onder meer om 1) het recht op toegang; 2) het recht om gegevens te wijzigen; 3) het recht om gegevens te wissen; 4) het recht op gegevensoverdraagbaarheid; en 5) het recht om af te zien van de verwerking van persoonsgegevens voor doeleinden van gerichte reclame, verkoop en profilering ter bevordering van besluiten die wettelijke of soortgelijke belangrijke gevolgen hebben voor de consument.
7. Beoordelingen van gegevensbescherming. Net als de GDPR en de CPRA vereist de CDPA dat entiteiten beoordelingen van de gegevensbescherming uitvoeren wanneer zij in bepaalde contexten gegevens verwerken. Meer bepaald vereist de CDPA een beoordeling van de gegevensbescherming wanneer een voor de verwerking verantwoordelijke 1) persoonsgegevens verwerkt met het oog op gerichte reclame; 2) persoonsgegevens verkoopt; 3) persoonsgegevens verwerkt met het oog op profilering (in bepaalde contexten); 4) gevoelige gegevens verwerkt; en 5) een verwerkingsactiviteit uitvoert die een verhoogd risico op schade voor consumenten inhoudt.
8. Handhaving. Net als de CCPA is de CDPA afdwingbaar via civiele procedures die door de procureur-generaal worden aangespannen en bevat zij ook een herstelbepaling van 30 dagen. Sancties in het kader van de CDPA voor zowel controllers als processors kunnen oplopen tot $7.500 per overtreding. In tegenstelling tot de CCPA voorziet de CDPA niet in een particulier vorderingsrecht, zelfs niet voor beveiligingsincidenten.
