Wat de Delete Act feitelijk doet

De Delete Act is een structurele aanvulling op het bestaande Californische registratieregime voor datamakelaars dat al bestaat sinds 2020. Waar het oorspronkelijke kader makelaars enkel verplichtte jaarlijks te registreren bij de staat en hun categorieën van persoonsgegevens te vermelden, voegt de Delete Act een gecentraliseerd verwijderingsmechanisme toe met harde deadlines, auditverplichtingen en boetes bij niet-naleving.

Het gecentraliseerde verwijderingsregister

Het register is een door de CPPA beheerd platform waar Californische consumenten één verwijderingsverzoek indienen dat automatisch wordt doorgezonden naar alle geregistreerde datamakelaars. Makelaars moeten het register minstens elke vijfenveertig dagen controleren, nieuwe verzoeken identificeren die overeenkomen met personen in hun datasets, en de overeenkomende records verwijderen binnen de termijn die de regelgeving voorschrijft. Consumenten hoeven niet te weten welke makelaars hun gegevens bezitten — het register regelt de verspreiding.

Wie als datamakelaar geldt

De wet definieert een datamakelaar als een onderneming die bewust persoonsgegevens verzamelt en verkoopt over een consument met wie de onderneming geen directe relatie heeft. De definitie is beperkter dan zij klinkt — first-partyuitgevers die hun eigen doelgroep verkopen zijn geen makelaars, verwerkers die gegevens verwerken namens een verwerkingsverantwoordelijke zijn geen makelaars — maar zij omvat de aanbieders van identiteitsgraphs, de cross-contextreclameplatforms, de mensenzoekmachines en een groot deel van de doelgroepuitbreidingslaag waarlangs uitgevers programmatische gegevens laten lopen.

Registratie en de openbare lijst

Elke betrokken makelaar moet jaarlijks registreren, een vergoeding betalen en op een door de CPPA bijgehouden openbare lijst verschijnen. Tegen 2026 is de lijst het praktische referentiepunt voor uitgevers die hun downstream gegevensstromen controleren: elke leverancier op de lijst is een datamakelaar in de zin van de Delete Act, en de contractuele verplichtingen van de uitgever jegens die leverancier moeten de realiteit van verwijderingspropagatie weerspiegelen.

De vijfenveertig-daagse sweep en haar operationele gevolgen

De cruciale operationele regel is de cadans van de verwijderingssweep. Elke vijfenveertig dagen moet elke geregistreerde makelaar het register controleren en elk overeenkomend record verwijderen. Deze cadans creëert een nieuw soort identiteitsafname waar uitgevers hun systemen op moeten afstemmen.

Hoe doelgroepen afnemen door de sweep

Een doelgroep opgebouwd via datamakelaaraanvulling zal op een ruwweg zesweekse cyclus krimpen, naarmate Californische consumenten die verwijderingsverzoeken hebben ingediend zich door het makelaarsnetwerk verspreiden. Uitgevers die US-meting gebruiken die afhankelijk is van identiteitsresolutie — programmatische doelgroeptargeting, attributievensters die afhangen van cross-siteidentificatoren, lookalike-modellering met door makelaars geleverde seeds — zullen zien dat de Californische doelgroepomvang daalt in een zaagtandpatroon: elke sweep verwijdert een partij, waarna nieuwe bezoekers de doelgroep aanvullen tot de volgende sweep.

Heridentificatie is verboden

De wet verbiedt makelaars uitdrukkelijk om een verwijderde consument opnieuw te identificeren, zelfs als de makelaar nadien dezelfde gegevens van een andere bron verkrijgt. Dit verbod sluit de voor de hand liggende maas in de wet en betekent dat uitgevers niet kunnen steunen op hun eigen first-partydata om verwijderde consumenten terug te koppelen aan via makelaars geleide doelgroepen. De verwijdering is bedoeld om duurzaam te zijn, en het auditprogramma van de toezichthouder is ontworpen om heridentificatiepatronen te detecteren.

First-partydata van de uitgever valt buiten de sweep

De eigen first-partydata van de uitgever — geregistreerde gebruikers, nieuwsbriefabonnees, loyaliteitsleden — valt niet onder de sweep van de Delete Act, omdat de uitgever geen datamakelaar is voor die records. De uitgever blijft onderworpen aan de afzonderlijke verwijderingsrechten uit CCPA en CPRA. De twee regimes kunnen elkaar beïnvloeden: een verwijdering op grond van de Delete Act op het makelaarniveau kan het first-partyrecord van de uitgever onaangetast laten, en de uitgever moet het afzonderlijke CCPA-verwijderingsverzoek van de consument blijven honoreren via het eigen intakeproces van de uitgever.

Het Global Privacy Control-signaal in de nieuwe wereld

De Delete Act raakt aan de Global Privacy Control (GPC)-header die browsers en privacyextensies meesturen om aan te geven dat de gebruiker een universele opt-outvoorkeur heeft ingesteld. De CPPA-regelgeving bevestigt dat uitgevers en makelaars de GPC moeten respecteren als geldige CCPA-opt-out, en het gecentraliseerde register van de Delete Act voegt een parallelle route toe voor hetzelfde resultaat.

Twee signalen, één uitkomst

Een Californische consument heeft twee manieren om het commerciële data-ecosysteem te verlaten: de GPC-header sturen vanuit elke browser die zij gebruiken, of één verwijderingsverzoek indienen via het register van de Delete Act. De twee routes leveren voor de meeste toepassingen gelijkwaardige resultaten op, maar verschillen in reikwijdte. De GPC regelt de doorlopende verkoop en het delen op elke site die de consument bezoekt. Het register verwijdert bestaande records bij makelaars. Uitgevers moeten beide als gezaghebbende signalen behandelen, en de CMP moet zodanig worden geconfigureerd dat zij beide herkent.

De rol van de CMP bij het ontsluiten van beide routes

De compliant CMP voor Californische doelgroepen in 2026 toont de GPC-honoringsstatus (de bezoeker heeft GPC ingesteld, opt-out is actief), de eigen opt-outlink van de uitgever (de consument kan verkoop en delen op deze site specifiek weigeren) en een duidelijke verwijzing naar het CPPA-register voor consumenten die verwijdering bij makelaars willen bewerkstelligen. De architectuur is technisch niet veeleisend — drie bedieningselementen in de toestemmings-UI in plaats van één — maar de bewoording is belangrijk en de CPPA-handhaving is actief geweest op misleidende of verborgen opt-outroutes.

Wat uitgevers moeten doen

De Delete Act is een regulering gericht op makelaars, niet op uitgevers, maar de operationele gevolgen voor uitgevers zijn reëel en vereisen specifieke wijzigingen in de toestemmings- en dataarchitectuur.

Controleer de leveranciersstack aan de hand van het makelaarsregister

Elke leverancier in de advertentie- en analysestack van de uitgever moet worden vergeleken met de openbare makelaarslijst van de CPPA. Leveranciers op de lijst zijn onderworpen aan het Delete Act-regime, en de contracten van de uitgever met die leveranciers moeten verwijderingspropagatie, auditlogressentie en de vijfenveertig-daagse sweepcadans weerspiegelen. De meeste grote identiteitsresolutieleveranciers en diverse grote SSP's staan nu op de lijst; de audit is niet belastend, maar moet wel minstens jaarlijks plaatsvinden.

Actualiseer de privacyverklaring en de toestemmings-UI

De privacyverklaring van de uitgever moet de Delete Act-registerroute uitleggen naast het bestaande CCPA-verwijderingsrecht, met een directe link naar het CPPA-register. De toestemmings-UI moet de GPC-honoringsstatus weergeven wanneer de bezoeker de header heeft ingesteld, en de opt-outbedieningselementen moeten even prominent worden weergegeven als de acceptatiebedieningselementen — de handhavingsbeslissingen van de procureur-generaal in 2024 en 2025 maakten de dark-patterntest expliciet.

Plan voor het zaagtandpatroon van de doelgroep

De meet- en doelgroeptargetingteams moeten weten dat de Californische doelgroepmetrics een zesweeks zaagtandpatroon zullen volgen dat wordt gedreven door de sweepcadans. De dashboards en de bod-pacingmodellen moeten worden afgestemd op dit patroon in plaats van elke dip als een fout te beschouwen. Uitgevers die rigoureuze attributie toepassen moeten ook het verwijderingspad via makelaars modelleren als een afzonderlijke afnamebron, zodat de cijfers na de sweep netjes kunnen worden afgestemd.

Veelgemaakte Delete Act-fouten die tot bevindingen leiden

De eerste golf van CPPA-handhaving onder de Delete Act in 2025 heeft een duidelijk patroon van uitgeversgebonden bevindingen opgeleverd. De privacyverklaring van de uitgever beschrijft de CCPA-opt-outroute maar vermeldt nooit het Delete Act-register. Het toestemmingsbanner respecteert de GPC voor verkoop en delen, maar geeft het signaal niet door aan het eigen first-partyverwijderingsproces van de uitgever. De uitgever sluit een contract met een geregistreerde makelaar en actualiseert het contract nooit om de verwijderingspropagatieverplichtingen van de Delete Act te weerspiegelen. De CMP biedt een paneel 'voorkeuren beheren' dat de opt-out drie klikken diep verbergt achter een donkerdere knop dan alles accepteren. Elk van deze gevallen is een documentatie- of UX-correctie en geen ingrijpende architectuuraanpassing — maar elk is ook precies waarmee de CPPA een onderzoek opent.

De kern van de zaak

De Delete Act geeft Californische consumenten één knop waarmee zij het commerciële data-ecosysteem verlaten, en tegen 2026 is het register operationeel, is de makelaarslijst openbaar en is het handhavingsprogramma actief. Voor uitgevers zijn de gevolgen reëel maar begrensd: de Delete Act vereist niet dat uitgevers iets drastisch doen, maar zij vereist wel dat uitgevers weten welke downstream leveranciers makelaars zijn, de privacyverklaring en de toestemmings-UI bijwerken om de nieuwe route zichtbaar te maken, de GPC consequent respecteren en plannen voor het zaagtandpatroon dat de vijfenveertig-daagse sweep veroorzaakt. Niets hiervan is technisch moeilijk. Alles is operationeel specifiek. De uitgevers die in 2024 en 2025 een zorgvuldige audit hebben uitgevoerd, werken nu op basis van een gevestigde architectuur; uitgevers die de Delete Act behandelden als een datamakelaarsprobleem dat hen niet aanging, brengen 2026 door met het schrijven van reactiebrieven en het herzien van privacyverklaringen onder druk van een toezichthoudersdeadline.