In november hebben de Californiërs hun goedkeuring gehecht aan een stembiljet, Proposition 24, ook bekend als de California Privacy Rights Act (CPRA), waarmee een nieuw agentschap voor de privacy van consumentengegevens wordt opgericht. Hiermee loopt Californië weer een stap voor op andere staten als het gaat om privacybepalingen voor consumenten en gegevensbeveiligingseisen voor bedrijven. Californië had al een privacywet, de California Consumer Privacy Act (CCPA), aangenomen in 2018. Het ging in januari 2020 van kracht, en de handhaving begon officieel afgelopen juli.
De CCPA moest helpen voorkomen dat Californië een strenger privacyinitiatief via de stembus zou aannemen. “CCPA is waarschijnlijk een van de belangrijkste privacywetten in de VS die de consument vandaag beschermt,” zegt Christophe Bertrand, analist bij Enterprise Strategy Group, maar het was oorspronkelijk de bedoeling dat het restrictiever zou zijn. “Het was het product van veel politieke onderhandelingen die het eindproduct hebben afgezwakt.”
Dat gaat niet gebeuren met de nieuwe wet. Eenmaal aangenomen, kan het alleen worden versterkt, niet verzwakt. Het is aangenomen. De CPRA werd goedgekeurd door de kiezers met 56% tegen 44%.
Verrassend genoeg was er niet veel gelobbyd tegen het steminitiatief door de grote techbedrijven. “Ik denk dat een deel ervan de dumpster fire van 2020 en de pandemie en de aanloop naar de verkiezingen is,” zegt Jessica Lee, partner bij Loeb & Loeb en co-voorzitter van de privacy- en beveiligingspraktijk van het kantoor. “Er gebeurden een heleboel dingen tegelijkertijd. Ook hebben we de afgelopen jaren een terugslag gehad tegen de grote techbedrijven en een heleboel privacyschandalen. Dus voor een techbedrijf om zich uit te spreken tegen een privacywet, zijn er waarschijnlijk wat PR- en merkoverwegingen.”
Bovendien moeten de grootste bedrijven al voldoen aan de General Data Protection Regulation (GDPR) van Europa. “
- CPRA verscherpt sommige eisen, vermindert risico elders
- CPRA-impact minimaal voor voorbereide bedrijven
- Nieuwe eisen voor dataminimalisatie
- Nieuwe vereisten voor het delen van gegevens
- Meer blootstelling aan aansprakelijkheid voor datalekken
- Verwacht meer privacy-gerelateerde rechtszaken
- Kansen voor bedrijven de voldoen aan CPRA
CPRA verscherpt sommige eisen, vermindert risico elders
De CPRA verscherpt sommige eisen, brengt Californië meer in lijn met de GDPR, en creëert een nieuw staatsagentschap – het California Privacy Protection Agency. Voorheen hield de procureur-generaal van de staat zich bezig met privacykwesties van consumenten, bovenop al hun andere verantwoordelijkheden. Dataprivacy krijgt nu een speciaal agentschap met een basisbudget van $ 10 miljoen, plus het krijgt ook een deel van de boetes en schikkingen die het int van bedrijven die de wet overtreden.
De wet gaat in op 1 januari 2023, zegt Lee, en de handhaving zal zes maanden later beginnen. “Bedrijven hebben in wezen twee jaar om zich voor te bereiden”, zegt ze.
Die twee jaar kunnen veranderingen met zich meebrengen die resulteren in extra nauwkeurig onderzoek, boetes en handhavingsactiviteiten, zegt Orson Lucas, principal in cybersecurity-diensten bij KPMG. Dat kan een gevolg zijn van evolutie in het technologie- en bedrijfslandschap of van andere ontwikkelingen. “Bijvoorbeeld als er een reeks substantiële inbreuken zijn tussen nu en januari 2023,” zegt hij.
Een paar aspecten van de CPRA zullen de potentiële risico’s en aansprakelijkheden van bedrijven verminderen. Ten eerste is de CCPA van toepassing op bedrijven die ten minste 50.000 inwoners, huishoudens of apparaten in Californië bedienen. De CPRA verhoogt dit tot 100.000 en verwijdert “apparaten” uit die lijst, zegt Catherine Lyle, hoofd van claims bij Coalition, een cyberverzekeringsmaatschappij. Bedrijven zullen niet verantwoordelijk worden gehouden voor CPRA-overtredingen door derden als er bepaalde overeenkomsten zijn en de zakenpartner zelf de CPRA naleeft, zegt ze. “Het kan je potentiële aansprakelijkheid verminderen.”
CPRA-impact minimaal voor voorbereide bedrijven
Voor bedrijven die al in overeenstemming zijn met de CCPA van 2018 en vooral met de GDPR van Europa, zullen de veranderingen klein zijn. Dat is het geval voor Branch Metrics a, een wereldwijd online marketingbedrijf dat Airbnb, Target en Yelp tot zijn duizenden zakelijke klanten rekent. Het bedrijf verwerkt miljarden consumentengegevens, waardoor het precies in het vizier van de wet komt.
“Een ding dat leuk is aan CPRA is dat het, in sommige opzichten, nauwer aansluit bij GDPR dan CCPA doet,” zegt Branch Metrics CEO Alex Austin. “Het is dus minder zwaar als je bedrijf zich heeft voorbereid op GDPR.” Dat betekent dat de incrementele veranderingen die het zal moeten doorvoeren om te voldoen aan de CPRA “relatief klein” zullen zijn, zegt hij. “Het helpt ook dat we veel tijd hebben om alle vereiste wijzigingen door te voeren,” voegt hij eraan toe. “De wet wordt pas in 2023 van kracht, en heeft over het algemeen alleen invloed op gegevens die teruggaan tot 2022, wat meer dan een jaar betekent om je huis op orde te krijgen.”
In het algemeen, zegt Austin, hoe meer harmonisatie tussen de verschillende privacywetten die over de hele wereld opduiken, hoe beter. “Voor bedrijven die wereldwijd opereren, zoals Branch, is een dergelijke nauwere afstemming een goede zaak.”
Nieuwe eisen voor dataminimalisatie
Voor sommige bedrijven zullen de veranderingen tussen de CCPA en de CPRA significant zijn, zegt Dan Frank, leider privacy en gegevensbescherming in de VS bij Deloitte. Neem bijvoorbeeld gegevensminimalisatie. De nieuwe regels verbieden bedrijven om persoonlijke informatie “langer dan absoluut noodzakelijk” te bewaren, zegt hij. Dat is een probleem, want als het op het wissen van gegevens aankomt, mijden bedrijven dat als de pest, zegt hij. “Sommige gegevens zijn goed, meer gegevens zijn beter, alle gegevens zijn het beste.” Gegevens kunnen worden geanalyseerd door machine learning en AI-systemen en kunnen bedrijven helpen bij het ontwikkelen van nieuwe producten, diensten en toepassingen.
Het verwijderen van gegevens is een netelige kwestie. Ten eerste zijn er wettelijke bewaarplichten en andere regelgevings- en nalevingsvereisten om gegevens te bewaren. Dan is er nog de technische kant. “Je hebt al die onderlinge afhankelijkheden tussen systemen die het verwijderen van gegevens beangstigend maken,” zegt hij. “We willen niets kapotmaken.”
Wat de meeste organisaties van plan zijn, is om verlopen gegevens te anonimiseren, zegt Frank. Op die manier kan het nog steeds worden gebruikt om AI-systemen te trainen en kunnen er minder afhankelijkheidsproblemen ontstaan. “We zullen zien hoe dat op de lange termijn uitpakt”, zegt hij. “Als die gegevens op een of andere manier kunnen worden teruggevoerd op een individu – direct of door gevolgtrekking – dan zijn ze niet langer geanonimiseerd. Het is een uitdaging.”
Het gebruik van het woord “redelijk” door de wet is ook een rode vlag. Wie bepaalt wat redelijk is? Een sterk data governance-systeem kan bedrijven ook helpen een ander aspect van de nieuwe wet aan te pakken — consumenten in staat stellen onjuiste gegevens over zichzelf te corrigeren.
“Dit is een uitdaging als een bedrijf zijn master data management niet echt heeft gestroomlijnd en geen gouden record van die gegevens heeft,” zegt Angela Saverice-Rohan, Amerika’s privacyleider bij Ernst & Young. “
Nieuwe vereisten voor het delen van gegevens
Bedrijven zullen er nu ook voor moeten zorgen dat zakelijke partners met wie ze gegevens delen, zich ook aan de CPRA houden. Aangezien een deel van de wet inhoudt dat er redelijke cyberbeveiligingsmaatregelen moeten worden genomen, kan het nodig zijn dat CISO’s zich ermee gaan bemoeien, zegt Saverice-Rohan. “
Een andere grote verandering heeft te maken met hoe consumenten toestaan dat hun informatie wordt gedeeld. Onder de eerdere CCPA moesten bedrijven Californische klanten de mogelijkheid bieden om ervoor te kiezen dat hun gegevens niet aan derden werden verkocht. Nu omvat dat alle vormen van uitwisseling, niet alleen verkoop, aldus Frank van Deloitte. “Consumenten moeten zich kunnen afmelden voor bepaalde vormen van gebruik van persoonlijke informatie”, zegt hij. “Als ze dat doen, moet je het gebruik ervan kunnen stopzetten, wat, als je erover nadenkt, een behoorlijk lastige taak is. Daarom is data governance zo belangrijk. Het zal fijnkorrelig toestemmingsbeheer vereisen.”
Meer blootstelling aan aansprakelijkheid voor datalekken
Een ander verschil is dat bedrijven zich extra zorgen zullen maken over datalekken, zegt Frank. De aansprakelijkheid voor inbreuken dekt nu bijvoorbeeld e-mailadressen wanneer die worden gebruikt in combinatie met een beveiligingsvraag. Als een datalek informatie over minderjarigen betreft, kunnen de boetes verdrievoudigd worden. “
Zowel de oorspronkelijke CCPA-wet als de nieuwe CPRA staan individuele consumenten toe bedrijven aan te klagen na een datalek. Nu zullen mensen meer potentiële redenen hebben om deze rechtszaken aan te spannen, zegt hij. “Misschien heb je meer informatie verzameld dan ik je toestond,” zegt hij.
De CPRA breidt het potentieel voor inbreukgerelateerde rechtszaken ook op een andere manier uit, volgens Alan Friel, een partner bij het BakerHostetler advocatenkantoor. Onder de CCPA hadden bedrijven een venster met mogelijkheden om problemen op te lossen nadat consumenten een klacht hadden ingediend, zegt hij. De wet was een beetje verwarrend in wat voor soort problemen precies op deze manier konden worden “genezen”.
Nu verduidelijkt de CPRA dat het recht om te genezen niet de mogelijkheid inhoudt om boetes te vermijden door beveiligingslekken te dichten nadat een inbreuk heeft plaatsgevonden. “Als je er niet in slaagt om een adequate beveiliging te handhaven, en je hebt een inbreuk, en vervolgens herstel je wat de oorzaak van die inbreuk was, je bent nog steeds onderworpen aan particuliere rechtsvorderingen en wettelijke schadevergoeding,” zegt Friel. Friel: “Dat is zeker iets dat door de aanklagers zal worden verwelkomd.”
Een andere verandering is dat consumenten niet langer hoeven aan te tonen dat ze schade hebben geleden door een inbreuk. “Je kon eerder aanklagen, maar je moest schade aantonen,” zegt Friel.
BakerHostetler verdedigt momenteel bedrijven tegen verschillende privacy-gerelateerde rechtszaken in Californië. “We waren veel succesvoller in het afslaan van de rechtszaken waar er een schadestandaard was,” zegt Friel. “De meeste consumenten kunnen geen geldelijke schade van een datalek aantonen, daarom krijgen ze gratis kredietmonitoring. Het zijn de banken en detailhandelaren die uiteindelijk de out-of-pocket kosten dragen — de consumenten, over het algemeen, niet zo veel. Het feit alleen al dat de inbreuk heeft plaatsgevonden, is voldoende om een rechtszaak aan te spannen.”
Verwacht meer privacy-gerelateerde rechtszaken
Bedrijven hebben al privacy-gerelateerde rechtszaken gezien. Vorige maand stemde kinderkledingverkoper Hanna Andersson in met een schikking van $ 400.000 als reactie op een class-action rechtszaak als gevolg van een datalek in 2019. Andere bedrijven die al zijn aangeklaagd onder de CCPA zijn onder meer Salesforce, Walmart, online stationery retailer Minted, de Sunshine Behavioral Health Group, TikTok, Zoom, en Houseparty.
Het zijn niet alleen consumenten en hun advocaten waartegen bedrijven zich zullen moeten verdedigen, zegt Ernst & Young’s Saverice-Rohan. Hoewel de CPRA zelf pas in 2023 zal worden gehandhaafd, wordt verwacht dat het nieuwe agentschap meteen aan de slag gaat met het handhaven van bestaande wetten. “In januari zal het nieuwe agentschap de mogelijkheid hebben om de bestaande CCPA te handhaven,” zegt ze. “En ze zullen op zoek gaan naar acties. Handhaving is niet alleen waarschijnlijk. Het is op handen — en het gebeurt in 2021.”
Middelgrote bedrijven zullen bijzonder hard worden getroffen, voorspelt Benjamin Wright, Amerikaans advocaat en senior instructeur bij het SANS Institute. Voor bedrijven met minder dan $ 25 miljoen aan jaarlijkse beoordelingen, zijn de eisen minder zwaar, zegt hij. “Gigantische bedrijven kunnen legers advocaten en compliance-professionals inzetten bij geschillen.” Middelgrote bedrijven hebben niet het soort schaalvoordelen waarmee ze legers advocaten zouden kunnen inhuren, zegt hij.
Plus, afhankelijk van hoeveel steun het nieuwe agentschap krijgt van andere ambtenaren en wetgevers in Californië, heeft het misschien niet de middelen of het talent om achter de grootste doelwitten aan te gaan. Dit gebeurt al in Europa onder de GDPR, zegt Wright, waarbij toezichthouders vaak meer geneigd zijn om acties te ondernemen tegen kleinere en middelgrote bedrijven.
“De gigantische bedrijven kunnen jarenlang in de rechtbank vechten, of het nu in Europa of in Californië is,” zegt Wright. “Voor regelgevers is het zeer uitputtend en duur om jarenlang rechtszaken uit te vechten. Een zwak agentschap dat jarenlang een rechtszaak uitvecht tegen een machtige tegenstander kan veel personeelsverloop lijden.”
Kansen voor bedrijven de voldoen aan CPRA
CPRA is niet allemaal slecht voor bedrijven. “Verwacht dat slimme bedrijven dit proberen aan te grijpen als een kans om hun compliance en steun voor privacy aan te tonen,” zegt Steve Durbin, managing director bij het Information Security Forum.