Proposition 24 van Californië bevestigt het lot van gegevensprivacy

Klik voor meer informatie over auteur Kyle McNabb.

Het onweerstaanbare gedonder van dataregelgeving rommelt verder – tot grote ontsteltenis van bedrijven en tot grote vreugde van consumenten. De nieuwste regenmaker (of nemer) is Proposition 24 van Californië. Dit initiatief voor consumentenprivacy, dat de Consumer Privacy Rights Act (CPRA) bevat, werd op 3 november 2020 aangenomen en vestigde een nieuwe standaard voor gegevensprivacy in de staat. De CPRA bouwt voort op de California Consumer Privacy Act (CCPA), die de tekortkomingen van zijn voorganger aanpakt en de Californische wetgeving inzake gegevensprivacy versnelt.

Hoewel Proposition 24 de bijnaam CCPA 2.0 heeft gekregen, is het veel meer dan een zoveelste druppel in de regelgevende emmer. Het zal nieuwe vereisten afdwingen waar bedrijven nota van moeten nemen en waarop ze zich moeten voorbereiden, zowel met hun nalevingsstrategieën als met hun langetermijnaanpak data Privacy, wat duidelijk hier is om te blijven.

Wat betekent voorstel 24 voor gegevensprivacy?

Er is een belangrijk verschil tussen de CCPA, die pas maanden geleden afdwingbaar werd, en Proposition 24 (en de CPRA). Propositie 24 zal een staatswet worden zoals geschreven, niet wetgevend vastgesteld – wat betekent dat het niet kan worden gewijzigd zonder meer actie van de kiezer, zoals een ander steminitiatief. Waarom maakt dit uit?

Het aannemen van Proposition 24 in Californië is een verder bewijs dat consumenten zeggenschap willen hebben over hoe ze op internet worden gevolgd en hoe hun gegevens door bedrijven worden gebruikt. Ze staan ​​zo sterk achter deze rechten dat ze de CCPA al hebben verbeterd en ervoor hebben gezorgd dat deze verbeteringen meer wettelijk permanent waren. Dat is veelzeggend. Proposition 24 vertegenwoordigt meer dan een golf van regelgeving – het belichaamt het ontwaken van de moderne consument.

Met een grotere last voor bedrijven om op de hoogte te blijven van cyberbeveiligingsaudits en risicobeoordelingen, wordt het steeds belangrijker dat ze grip hebben op hoeveel gegevens er binnen hun organisatie leven, hoe gevoelig deze is en hoeveel risico’s er zijn verbonden aan hun omgang daarmee gegevens.

Hoe verandert Propositie 24 de CCPA?

De nieuwe wetgeving zal uiteindelijk de bestaande CCPA versterken en nieuwe tanden geven door nieuwe privacyrechten voor consumenten, verplichtingen voor bedrijven en handhavingsmechanismen te creëren via een nieuw overheidsagentschap. Onder Stelling 24, krijgen consumenten het recht om:

  1. Correcte persoonlijke informatie
  2. Weet hoe lang gegevens worden bewaard
  3. Afmelden voor adverteerders die nauwkeurige geolocatie gebruiken
  4. Beperk het gebruik van gevoelige persoonlijke informatie

Hoewel de nieuwe wetgeving de vereisten voor bedrijven om te reageren op individuele gegevensverzoeken en volledige datarapporten te verstrekken, terugdraait, verplicht andere wetten bedrijven nog steeds om individuen informatie te verstrekken over hoe hun gegevens worden gebruikt. Met andere woorden, bedrijven zouden niet moeten nadenken over het versoepelen van hun inspanningen op het gebied van gegevensprivacy en -beveiliging. In plaats daarvan moeten bedrijven uitkijken naar vier grote veranderingen ten opzichte van Proposition 24:

  1. Het definieert een nieuwe categorie van “gevoelige persoonlijke informatie”, die breder en strikter is dan alleen “persoonlijke informatie”. Nieuwe bepalingen omvatten bijvoorbeeld driemaal hogere straffen voor overtredingen met betrekking tot consumenten jonger dan 16 jaar.
  2. Het creëert een nieuw staatsagentschap: het California Privacy Protection Agency (CPPA), het eerste in zijn soort in de Verenigde Staten. De CPPA krijgt volledige administratieve bevoegdheid en toezicht op handhaving, inclusief audits.
  3. Het verbiedt nauwkeurige geolocatie-tracking naar een locatie binnen ongeveer 250 hectare. Om deze verandering op te vangen, zullen bedrijven hun gegevensverzamelingsprocessen moeten aanpassen.
  4. Het stelt consumenten in staat om het gebruik en de openbaarmaking van gevoelige persoonlijke informatie te beperken op basis van de bredere categorie.

De sleutel hier is dat de wetgeving consumenten nog steeds gegevensrechten geeft die ze voorheen niet hadden, en bedrijven zullen actief wijzigingen moeten aanbrengen in hun gegevensverzamelingspraktijken.

Hoe moeten bedrijven zich voorbereiden op voorstel 24?

Hoewel de nieuwe wetgeving pas begin 2023 van kracht wordt, zal het recht van consumenten op toegang tot hun persoonlijke informatie teruggaan tot gegevens die door bedrijven zijn verzameld op of na 1 januari 2022. Dat geeft bedrijven slechts een jaar om zich hierop voor te bereiden. enorme veranderingen, dus het is van cruciaal belang dat ze nu met hun voorbereidingen beginnen. Staatsspecifieke wetgeving zal er zelfs toe leiden dat de regelgeving voor gegevensprivacy nationaal wordt. Om zich op de toekomst voor te bereiden, moeten bedrijven investeren in tools die het gemakkelijker maken om de privacy van consumenteninformatie te beschermen en die informatie in overeenstemming met de regelgeving te beheren.

Organisaties moeten vertrouwen opbouwen met hun gegevens – weten waar het leeft, waar het vandaan komt en wie het heeft aangeraakt. Voor veel bedrijven begint vertrouwen met het bouwen van een geautomatiseerde ‘as is’-gegevensinventaris, die metagegevens verzamelt van bronnen binnen en buiten het bedrijf. Propositie 24 vereist, net als andere gegevensprivacyregelgeving, dat bedrijven snel alle gevoelige persoonlijke informatie kunnen vinden om te reageren op verzoeken van gegevensconsumenten of opt-outs. Een gegevensinventarisatie automatiseert het scannen en identificeren van gevoelige persoonlijke gegevens in de hele organisatie, waardoor bedrijven een volledig beeld krijgen van de informatie die ze hebben en waar deze zich bevindt.

Dat gezegd hebbende, data-intelligentie is niet voldoende voor naleving alleen – bedrijven hebben ook inzicht nodig in waar gevoelige persoonlijke informatie zich bevindt in hun documenten, inhoud en records. Dit is een grote wegversperring voor bedrijven. De meeste bedrijven missen het vermogen om zowel gevoelige informatie in inhoud te vinden als om die informatie aan een specifieke persoon te koppelen – en het wordt alleen maar erger met werken op afstand en de wildgroei aan inhoud. Bedrijven moeten privacy-compliance operationaliseren om te voldoen aan verzoeken van consumenten rond hun gegevens. Ze hebben een bestuursstrategie die persoonlijke informatie overal in de onderneming kunnen vinden. Het hebben van oplossingen met mogelijkheden zoals op regels gebaseerde retentie, redactie en controleerbaarheid van toegang, maakt dit proces veel gemakkelijker, vooral bij het beantwoorden van vragen / verzoeken van consumenten.

Door een privacybewuste informatiebeheerstrategie te implementeren – voor zowel gestructureerde als ongestructureerde data – kunnen organisaties hun hele ecosysteem begrijpen. Op weg naar 2021 zal het steeds belangrijker worden om proactief op zoek te gaan naar dark data, compliance aan te pakken en je voor te bereiden op huidige en toekomstige regelgeving op het gebied van gegevensprivacy, zoals Proposition 24.

Het is niet langer voldoende om alleen gegevens en inhoud te beheren. Zoals de GDPR, CCPA en nu CPRA hebben aangetoond, zullen de regels voor gegevensprivacy alleen maar blijven komen – en ze zullen steeds doelgerichter, opzettelijker en misschien zelfs strenger worden. Bedrijven buiten Californië, of overigens de EU, moeten de neiging weerstaan ​​om een ​​oogje dicht te knijpen, terwijl ze niet direct onderwerp zijn van dataregelgeving. Want hoewel de gegevensprivacywetten tegenwoordig misschien als een onweer in de verte klinken, is de bliksem onderweg.