Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archief Gegevensbescherming

    Klaar of niet, hier komt de Californische dataprivacywet

    Bedrijven over de hele wereld worden geconfronteerd met een deadline van 1 juli om te voldoen aan de California Consumer Privacy Act (CCPA). Als uw organisatie er nog niet klaar voor is, is dit het moment om te beginnen.

    by Mercedes Cardona
    900-getty-hand-on-mouse.jpg

    Hoofdpunten

    • Op 1 juli begint Californië de strengste dataprivacywet in de Verenigde Staten toe te passen, wat gevolgen kan hebben voor een groot aantal bedrijven die zaken doen met consumenten in de staat.
    • De California Consumer Privacy Act voorziet in belangrijke privacyrechten voor consumenten en aanzienlijke boetes voor bedrijven die zich niet aan de wet houden.
    • Bedrijven kunnen zich voorbereiden door een gegevensaudit uit te voeren, gebruik te maken van archiveringstechnologie en een passend beleid voor gegevensbeheer en -bewaring te voeren.

    Bedrijven over de hele wereld hebben te maken met een deadline van 1 juli, wanneer de California Consumer Privacy Act (CCPA) van kracht wordt. De wet bevat een aantal van de strengste gegevensbescherming voorschriften in de VS, en is van invloed op veel bedrijven buiten Californië, maar ook op bedrijven die in de staat gevestigd zijn. Sommige deskundigen zeggen zelfs dat de CCPA voor veel bedrijven dezelfde gevolgen kan hebben als de emissienormen van de staat hebben gehad voor autofabrikanten wereldwijd.[i]

    Californië besloot door te gaan met een handhavingsdatum in juli ondanks het pleidooi van een coalitie van bedrijfsorganisaties, die de staat had gevraagd om te wachten tot januari 2021 om bedrijven te helpen die werden getroffen door COVID-19 lockdowns. "Deze realiteit zal bedrijven aanzienlijk vertragen bij het opstellen van hun ultieme CCPA-nalevingsprogramma's," zei de coalitie in een brief ondertekend door 66 bedrijfsgroepen, variërend van de American Council of Life Insurers tot de Toy Association. [ii]

    De CCPA is van invloed op elke organisatie die persoonlijke informatie verzamelt en zaken doet met consumenten in Californië. De wet definieert "zaken doen" als het genereren van 25 miljoen dollar of meer aan inkomsten, het werken met meer dan 50.000 datapunten - huishoudens, individuen of apparaten - of het genereren van meer dan 50% van de inkomsten uit de verkoop van gegevens.[iii] Dit brede scala aan criteria betekent dat zelfs een startup die e-maillijsten verkoopt, onder het toezicht van de wet kan vallen. Bedrijven die zich niet aan de wet houden, kunnen boetes krijgen tot 7.500 dollar voor elke overtreding, wat kan oplopen tot miljoenen of zelfs miljarden dollars voor een bedrijf met gegevens over veel Californische consumenten.[iv]

    Kosten en productiviteitseffecten van de CCPA

    De wet op de bescherming van de persoonlijke levenssfeer geeft consumenten vier ruime rechten met betrekking tot hun gegevens: openbaarmaking, verwijdering, opt-out en non-discriminatie. Organisaties moeten de consumenten meedelen waarom zij hun gegevens verzamelen en welke soorten gegevens zij verzamelen. Het recht op wissen en de opt-outmogelijkheid geven gebruikers het recht te vragen dat hun gegevens worden gewist en te weigeren dat hun gegevens worden verkocht, terwijl non-discriminatie organisaties verbiedt deze consumenten anders te behandelen.

    "De gevolgen voor het bedrijfsleven zijn talrijk en vertalen zich in een grotere aanslag op de productiviteit en de financiële kosten", aldus Garth Landers, directeur productmarketing van Mimecast, Archiving. Hij wees op een effectbeoordeling door de overheid, die schatte dat iets meer dan de helft van de betrokken bedrijven tussen de 100.000 en 1 miljoen dollar zou uitgeven aan naleving, en bijna een op de vijf meer dan 1 miljoen dollar.[v] Landers merkte op dat de beoordeling bijna een jaar geleden werd uitgevoerd en "er is geen garantie dat de ondervraagde bedrijven voorzichtig optimistisch waren, of zelfs maar een idee hadden van de reikwijdte die de CCPA met zich meebrengt".

    "CCPA vereist aanzienlijke inspanningen van organisaties op het gebied van planning en rapportage om te bepalen welke gegevens over consumenten zij hebben, waar deze zich bevinden, waarom zij deze bewaren en hoe lang zij deze moeten bewaren," aldus Landers. "Bovendien moeten organisaties een planning maken voor de geplande vernietiging/bewaring van gegevens en de processen/technische middelen om dat uit te voeren. De hoeveelheid tijd, moeite en personeel om dit allemaal te documenteren moet ook worden overwogen."

    "Personeel en personeelsbezetting rond privacy waren in het verleden voor sommige organisaties misschien geen punt van zorg, maar nu zullen veel van hen moeten bepalen hoeveel investeringen en aanwervingen ze nodig hebben," voegde Landers eraan toe.

    CCPA-vereisten inzake gegevensbescherming zijn een bewegend doelwit

    De reikwijdte van de wet is een bewegend doelwit geweest. De CCPA werd oorspronkelijk in juni 2018 aangenomen en ging in op 1 januari 2020, waarbij 1 juli 2020 werd vastgesteld als datum voor de handhaving van de naleving. Maar veel van de precieze gegevensprivacyvereisten voor bedrijven zijn pas onlangs gedefinieerd, in regels die zijn ontwikkeld door het kantoor van de procureur-generaal van Californië. De definitieve regels werden pas op 1 juni gepubliceerd.[vi] Zij voegden biometrische informatie zoals vingerafdrukken en netvliesscans toe aan de gegevens die onder de wet vallen, en gaven meer richtsnoeren over de opt-in- en opt-outkennisgevingen die bedrijven moeten plaatsen om consumenten te informeren over welke gegevens worden verzameld en waarom.

    Sommige bedrijven zullen merken dat het werk dat ze al hebben gedaan om te voldoen aan de Algemene Verordening Gegevensbescherming (GDPR) van de Europese Unie, de weg naar naleving van de CCPA zal helpen effenen. "Het goede nieuws voor veel bedrijven met internationale activiteiten is dat veel hiervan zal lijken op de voorbereidingen die zij hebben getroffen om te voldoen aan de GDPR", zegt Josephine Wolff, assistent-professor cyberbeveiligingsbeleid aan de Tufts University. Sommige vereisten van de CCPA komen overeen met punten in de GDPR, zoals de noodzaak voor organisaties om bij te houden welke gegevens ze verzamelen en een opt-out aan te bieden, merkte ze op.

    Op basis van de ervaring met de GDPR is het mogelijk dat de CCPA geen seismische impact zal hebben op het consumentengedrag, zelfs als het bedrijven die zich voorbereiden op de naleving pijn zal doen, zei Wolff. "Ik weet gewoon niet of plotseling miljoenen mensen zich zullen haasten om zich overal voor af te melden," zei ze. "De meeste mensen zullen gewoon het internet blijven gebruiken en deze bedrijven toestaan hun gegevens op dezelfde manier te gebruiken als ze altijd al hebben gedaan."

    Net zoals de strenge Californische eisen voor de uitstoot van auto's de lat hoger legden voor autofabrikanten wereldwijd, kan de CCPA helpen om de norm voor gegevensprivacy vast te stellen voor veel bedrijven buiten de staat, zeggen deskundigen. Wolff ziet een mogelijke parallel met de meldingsplicht bij inbreuken. Er is geen federale wet aangenomen voor het melden van datalekken, maar de meeste staten hebben hun eigen wetten aangenomen, en de meeste organisaties zijn overgegaan tot naleving van de strengste norm - die van Californië, zei ze. Techbedrijven zullen ofwel lobbyen voor een federale wet die de CCPA vervangt, of ze zullen de CCPA als hun standaard overnemen, voorspelde ze.

    Gegevensbescherming begint met een audit

    Om zich voor te bereiden op naleving, moeten organisaties een gegevensaudit uitvoeren, als ze dat nog niet hebben gedaan, zei Wolff. "Zoek uit welke gegevens je verzamelt, naar wie ze gaan, met wie je ze deelt, hoe ze worden beschermd," zei ze. "Dat is een belangrijke voorwaarde."

    Bekendmakingen en een privacybeleid in duidelijk Engels zijn ook belangrijke kenmerken van CCPA-naleving. "Niet alleen het standaarddocument dat zegt dat we veel gegevens verzamelen en dat we die gebruiken om onze service te verbeteren, maar een document dat echt iets zegt," zei Wolff. Ze stelde voor om samen te werken met uw juridische afdeling om de vereiste opt-in en opt-out mechanismen op te stellen, en deze duidelijk en toegankelijk te maken.

    Organisaties moeten nagaan in hoeverre hun interne auditprocessen kunnen reageren op governance-gebeurtenissen zoals de CCPA, met de nadruk op voortdurende verbetering en verfijning, aldus Landers. "Nieuwe business units, nieuwe technologie, nieuwe producten en diensten hebben allemaal een impact." Hij stelde voor dat organisaties een aantal belangrijke stappen nemen, waaronder:

    • Voer een inhoudsinventarisatie uit: Het is belangrijk om de omvang van relevante bedrijfsgegevens te begrijpen.
    • Informatiegovernancepraktijken en -technologieën benutten: Gegevensbeveiligings- en privacyvereisten hebben enkele overeenkomsten met informatiegovernance-inspanningen zoals e-Discovery, waarbij organisaties voor een krappe deadline inhoud moeten vinden die relevant is voor een persoon of transactie door enorme hoeveelheden digitale gegevens te doorzoeken. Een bedrijfsarchief dat bedrijfskritische gegevens verzamelt en bewaart, vormt de basis van inspanningen op het gebied van gegevensprivacygovernance. De volgende laag is met behulp van een case review-applicatie om zoekopdrachten uit te voeren, wettelijke bewaarplichten toe te passen en extracten en exports uit te voeren. Goede informatiegovernance vereist ook de nodige mensen, samenwerking en bijbehorende processen - zoals het handhaven van het bewaarbeleid - om op de lange termijn te slagen.
    • Plan gegevensminimalisering: De privacywetgeving zal organisaties ertoe brengen zich af te vragen waarom ze informatie bewaren, en met welk doel. Hoe groter het oppervlak, hoe groter het risico op een datalek en hoe groter de kans op achterhaalbare gegevens tijdens rechtszaken en andere bestuurlijke gebeurtenissen. Organisaties moeten systematisch te werk gaan met een retentiebeleid: werk zo veel mogelijk samen om een dergelijk beleid op te stellen, zorg ervoor dat het consistent wordt toegepast en kies de juiste archiveringstechnologie om het af te dwingen.

    De kern van de zaak

    CCPA zal een aanzienlijke impact hebben op veel organisaties - maar het is nog niet te laat om u voor te bereiden. Begin met een evaluatie van de consumentengegevens die u opslaat en hoe u ze gebruikt, en bouw vervolgens een systeem van beleidslijnen en technologie op dat u de weg kan wijzen naar succesvolle naleving.

    [i] " Californië ziet druk op nieuwe gegevensprivacy," Roll Call

    [ii] "Verzoek om tijdelijk uitstel van handhaving van de CCPA," Insights Association

    [iii] "In 2020 zullen privacywetten de VS van kust tot kust bedekken" Cyber Resilience Insights

    [iv] "Top 5 Operational Impacts of CCPA-Part 5: Penalties and Enforcement Mechanisms," International Association of Privacy Professionals

    [v] "Standardized Regulatory Impact Assessment: California Consumer Privacy Act of 2018 Regulations," State of California Department of Justice

    [vi] "Pakket met voorstellen voor verordeningen ingediend bij OAL," Ministerie van Justitie van de Staat Californië

    gettyimages-838089884.jpg
    Up Next
    Archief Gegevensbescherming |
    Waarom E-discovery nu een alomtegenwoordige vereiste is

    Verwante Artikelen

    Archief Gegevensbescherming
    What Is Data Backup and Backup Storage?
    Archief Gegevensbescherming
    Best Practices for Secure Backups and Archives   
    Archief Gegevensbescherming
    Limiting the Blast Radius of a Data Breach  

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven