Het Californische privacykader begrijpen

Californië loopt in de Verenigde Staten voorop op het gebied van privacywetgeving voor consumenten, en de wetten hebben impact op websites wereldwijd. De California Consumer Privacy Act (CCPA), die in januari 2023 aanzienlijk is gewijzigd door de California Privacy Rights Act (CPRA), legt verplichtingen op aan elk bedrijf dat persoonsgegevens verzamelt van inwoners van Californië — ongeacht waar dat bedrijf fysiek is gevestigd.

Voor website-eigenaren draaien de praktische gevolgen vooral om cookies, trackingtechnologieën en de manier waarop gebruikersgegevens met derden worden gedeeld. Hoewel het Californische model fundamenteel verschilt van de Europese GDPR, vereist het nog steeds zorgvuldige aandacht voor toestemmingsmechanismen en gebruikersrechten.

CCPA/CPRA: op wie is de wet van toepassing?

De wet is van toepassing op commerciële bedrijven die aan ten minste één van de volgende drempels voldoen:

• Jaarlijkse bruto-omzet van meer dan $25 miljoen.
• Het kopen, verkopen of delen van persoonsgegevens van jaarlijks 100.000 of meer inwoners van Californië, huishoudens of apparaten.
• Het behalen van 50 procent of meer van de jaarlijkse omzet uit het verkopen of delen van persoonsgegevens van inwoners van Californië.

De tweede drempel is vooral belangrijk voor websites met advertenties. Als je site gebruikmaakt van cookies van derden voor gerichte advertenties en aanzienlijk verkeer uit Californië ontvangt, verwerk je mogelijk via die cookies alleen al de gegevens van ruim meer dan 100.000 gebruikers uit Californië per jaar.

Opt-out vs. opt-in: het fundamentele verschil met GDPR

Dit is het belangrijkste onderscheid dat websitebeheerders moeten begrijpen. Onder GDPR is de standaard opt-in: je mag geen niet-essentiële cookies plaatsen totdat de gebruiker actief toestemming geeft. Onder CCPA/CPRA is de standaard opt-out: je mag persoonsgegevens verwerken (ook via cookies) totdat de gebruiker aangeeft dat je daarmee moet stoppen.

Dit betekent dat de toestemmingservaring voor bezoekers uit Californië er fundamenteel anders uitziet:

• GDPR-benadering: Blokkeer alle niet-essentiële cookies. Toon een banner. Wacht op expliciete toestemming. Plaats pas daarna cookies.
• CCPA/CPRA-benadering: Cookies mogen standaard worden geplaatst. Bied een duidelijke en opvallende link "Do Not Sell or Share My Personal Information" aan. Wanneer een gebruiker dit recht uitoefent, stop je met het delen van zijn of haar gegevens met derden.

Er zijn echter belangrijke uitzonderingen. Voor minderjarigen onder de 16 jaar schakelt CCPA/CPRA over naar een opt-inmodel — je moet expliciete toestemming verkrijgen voordat je hun persoonsgegevens verkoopt of deelt. Voor kinderen jonger dan 13 jaar moet een ouder of voogd die toestemming geven.

De verplichting "Do Not Sell or Share"

CPRA heeft het oorspronkelijke CCPA-recht op "Do Not Sell" uitgebreid met "sharing" — dat specifiek is gericht op het soort gegevensuitwisseling dat plaatsvindt via advertentiecookies van derden. Wanneer een gebruiker je site bezoekt en jouw cookies zijn of haar browsegegevens naar advertentienetwerken sturen, vormt dat sharing onder CPRA, zelfs als er niet direct geld wordt uitgewisseld.

Je verplichtingen omvatten:

• Een duidelijke link met de titel "Do Not Sell or Share My Personal Information" op je homepage en in je privacyverklaring.
• Een mechanisme waarmee gebruikers dit recht eenvoudig kunnen uitoefenen, zonder dat ze een account hoeven aan te maken.
• Het honoreren van het verzoek binnen 15 werkdagen.
• Geen discriminatie van gebruikers die dit recht uitoefenen (bijvoorbeeld door hun ervaring te verslechteren).

Global Privacy Control (GPC)

Global Privacy Control is een browsersignaal dat gebruikers kunnen inschakelen om hun opt-outvoorkeur automatisch aan elke bezochte website door te geven. Grote browsers, waaronder Firefox en Brave, ondersteunen GPC standaard, en browserextensies voegen ondersteuning toe aan Chrome en andere browsers.

Volgens de CPRA-regels moeten bedrijven GPC-signalen honoreren als een geldig opt-outverzoek. Dit heeft belangrijke praktische gevolgen:

• Je website moet in staat zijn de HTTP-header Sec-GPC: 1 of de JavaScript-eigenschap navigator.globalPrivacyControl te detecteren.
• Wanneer dit wordt gedetecteerd, moet je het behandelen alsof de gebruiker op "Do Not Sell or Share" heeft geklikt.
• Cookies van derden die voor advertenties worden gebruikt, moeten voor deze gebruikers worden onderdrukt.

De adoptie van GPC groeit gestaag. Schattingen suggereren dat 5 tot 10 procent van het webverkeer nu een GPC-signaal meedraagt, en dit percentage ligt hoger bij privacybewuste gebruikers in Californië.

Wanneer heb je daadwerkelijk een cookiebanner nodig voor Californië?

Hier raken veel bedrijven in de war. Strikt genomen vereist CCPA/CPRA geen Europese cookiebanner in GDPR-stijl vanwege het opt-outmodel. Je hebt echter wél nodig:

• Een "Do Not Sell or Share"-link die gemakkelijk toegankelijk is.
• Een mechanisme om het delen van gegevens met derden te onderdrukken wanneer een gebruiker zich afmeldt of een GPC-signaal verstuurt.
• Een privacyverklaring die de categorieën persoonsgegevens die worden verzameld, de doeleinden en de derden met wie gegevens worden gedeeld, openbaar maakt.
• Voor sites die ook Europese bezoekers bedienen, een GDPR-conforme toestemmingsbanner die naast het CCPA-opt-outmechanisme kan bestaan.

In de praktijk implementeren de meeste websites die zowel Europese als Californische doelgroepen bedienen een uniforme toestemmingsinterface die haar gedrag aanpast op basis van de locatie van de bezoeker. Dit voorkomt dat je twee volledig gescheiden toestemmingssystemen moet onderhouden.

Praktische overwegingen bij de implementatie

Het implementeren van CCPA/CPRA-naleving naast GDPR-naleving creëert een duale modus-uitdaging. Je consent management platform moet:

1. De locatie van de bezoeker nauwkeurig detecteren met behulp van IP-geolocatie.
2. Het juiste juridische kader toepassen — opt-in voor bezoekers uit de EER/VK, opt-out voor bezoekers uit Californië en mogelijk geen vereisten voor bezoekers uit andere regio's.
3. De "Do Not Sell or Share"-link beheren voor bezoekers uit Californië, hetzij binnen de banner, hetzij als een losse pagina-element.
4. GPC-signalen detecteren en honoreren voordat er cookies van derden worden geplaatst.
5. Het cookiegedrag dienovereenkomstig aansturen — advertentiecookies van derden blokkeren voor gebruikers die zich hebben afgemeld, terwijl first-party analytics kunnen blijven draaien.

De technische implementatie moet ook rekening houden met het onderscheid tussen first-party analytics-cookies (over het algemeen toegestaan onder CCPA/CPRA als bedrijfsdoel) en advertentiecookies van derden (die sharing vormen en onder het opt-outrecht vallen).

FlexyConsent-geo-targeting voor bezoekers uit Californië

FlexyConsent lost de duale modus-uitdaging op via automatische geo-targeting. Wanneer een bezoeker uit Californië op je site komt, past FlexyConsent zijn gedrag aan om te voldoen aan de CCPA/CPRA-vereisten:

• Activering van de opt-outmodus: In plaats van alle cookies vooraf te blokkeren, toont FlexyConsent de vereiste optie "Do Not Sell or Share My Personal Information" duidelijk en prominent.
• Detectie van GPC-signalen: FlexyConsent controleert automatisch op het Global Privacy Control-signaal en onderdrukt, wanneer dit aanwezig is, het delen van gegevens met derden zonder dat gebruikers iets hoeven te doen.
• Categorie-bewuste blokkering: Wanneer een gebruiker uit Californië zich afmeldt, blokkeert FlexyConsent selectief advertentie- en cross-site trackingcookies, terwijl first-party analytics-functionaliteit behouden blijft die onder de uitzondering voor bedrijfsdoeleinden valt.
• Naadloze GDPR-co-existentie: Dezelfde FlexyConsent-installatie ondersteunt beide kaders. Europese bezoekers zien een GDPR-conforme opt-inbanner met gedetailleerde categorie-instellingen. Bezoekers uit Californië zien het juiste opt-outmechanisme. Bezoekers uit niet-gereguleerde regio's krijgen een minimale melding of helemaal geen banner, afhankelijk van je configuratie.

Als een Google-gecertificeerde CMP met ondersteuning voor IAB TCF 2.3 en Consent Mode V2 zorgt FlexyConsent ervoor dat toestemmingssignalen correct worden doorgegeven aan Google-diensten, ongeacht welk juridisch kader van toepassing is. Dit betekent dat je Google Analytics- en Google Ads-configuraties correct werken voor zowel ingestemde Europese gebruikers als niet-afgemelde gebruikers uit Californië.

Belangrijkste inzicht: Het opt-outmodel van Californië lijkt misschien minder beperkend dan de opt-inbenadering van GDPR, maar de praktische vereisten — vooral rond GPC-signalen en de brede definitie van "sharing" — betekenen dat de meeste advertentie-ondersteunde websites een geavanceerde consent management-oplossing nodig hebben. Het implementeren van geo-gerichte toestemming die zich aan beide kaders aanpast, is veel betrouwbaarder dan proberen één uniforme aanpak wereldwijd toe te passen.