CCPA en CPRA: wat de privacywetgeving van Californië betekent voor IT-teams en MSP’s

De California Consumer Privacy Act (CCPA), die aanzienlijk is uitgebreid door de California Privacy Rights Act (CPRA), vormt de meest uitgebreide privacywetgeving op staatsniveau in de VS tot nu toe. Het privacykader van Californië, dat vaak wordt omschreven als AVG Amerikaanse AVG, heeft de privacywetgeving in het hele land beïnvloed en wordt nu door organisaties die op nationaal niveau met privacyverplichtingen te maken hebben, gebruikt als uitgangspunt voor naleving.

Volgens het Kaseya State of the MSP-rapport voor 2026 behoren naleving van regelgeving en rapportage tot de top tien van servicebehoeften van MSP-klanten in 2026. De CPRA van Californië is een van de meest onder de loep genomen onderdelen van elk Amerikaans nalevingsprogramma. Het platform van Kaseya ondersteunt MSP’s bij het beheren van naleving in meer dan 170 landen, waardoor we een goed beeld krijgen van waar de CPRA-verplichtingen de meeste operationele problemen veroorzaken.

CCPA en CPRA: wat is het verschil?

De CCPA, die in 2018 werd aangenomen en in januari 2020 van kracht werd, legde fundamentele privacyrechten voor consumenten vast voor inwoners van Californië. De CPRA, die in 2020 door de kiezers werd goedgekeurd en in januari 2023 volledig van kracht wordt, breidde deze rechten aanzienlijk uit en richtte een speciale handhavingsinstantie op, het California Privacy Protection Agency (CPPA).

Belangrijkste toevoegingen van de CPRA ten opzichte van de CCPA:

• Een nieuwe categorie van gevoelige persoonsgegevens (SPI) met versterkte beschermingsmaatregelen, waaronder nauwkeurige geolocatie, ras of etnische afkomst, gezondheidsgegevens, financiële rekeninggegevens, biometrische gegevens en de inhoud van communicatie.
• Nieuwe consumentenrechten: het recht om onjuiste persoonsgegevens te corrigeren; het recht om het gebruik en de openbaarmaking van gevoelige persoonsgegevens te beperken.
• Aangescherpte eisen inzake gegevensminimalisatie en doelbinding.
• Een speciale handhavingsinstantie (CPPA) ter ondersteuning van de procureur-generaal van Californië.

Wat naleving betreft, heeft de CPRA voorrang boven de CCPA. Organisaties moeten zich houden aan de CPRA-normen, en niet aan de oorspronkelijke basisnormen uit 2020.

Wie moet zich hieraan houden

De CPRA is van toepassing op commerciële ondernemingen die persoonsgegevens van inwoners van Californië verzamelen en aan een of meer van de volgende drempels voldoen:

• De jaarlijkse bruto-omzet bedraagt meer dan 25 miljoen dollar
• Jaarlijks voor commerciële doeleinden persoonsgegevens van 100.000 of meer consumenten of huishoudens kopen, verkopen, ontvangen of delen
• 50% of meer van de jaarlijkse inkomsten halen uit de verkoop of het delen van persoonlijke gegevens van consumenten

Non-profitorganisaties zijn over het algemeen vrijgesteld. Voor technologiebedrijven, waaronder SaaS-aanbieders, clouddiensten en MSP’s met een groot klantenbestand, is de drempel van 100.000 consumenten/huishoudens het criterium dat het vaakst van toepassing is. De wetgeving is extraterritoriaal: een bedrijf dat gevestigd is in New York of Londen en persoonsgegevens van 100.000 inwoners van Californië verwerkt, moet zich aan de wet houden, ongeacht waar het actief is.

Het is belangrijk om op te merken dat de CCPA volgens de regelgeving van 2026 van toepassing is op zowel arbeidsverhoudingen als B2B-situaties. Gegevens van werknemers, contractanten, sollicitanten en zakelijke contacten vallen onder de risicobeoordelingen en andere verplichtingen. Dit is een belangrijk verschil met veel andere privacywetten van Amerikaanse staten.

Consumentenrechten en wat deze betekenen voor IT-systemen

De CPRA kent consumenten in Californië een aantal rechten toe die specifieke eisen aan IT-systemen stellen.

Recht op inzage. Consumenten kunnen verzoeken om inzicht in welke persoonsgegevens worden verzameld, gebruikt, doorgegeven of verkocht. IT-systemen moeten een volledig overzicht kunnen geven van welke persoonsgegevens er over een specifieke persoon bestaan. Dit vereist een gegevensinventarisatie en zoekmogelijkheden in alle systemen, niet alleen in het primaire CRM- of ERP-systeem.

Recht op verwijdering. Consumenten kunnen verzoeken om verwijdering van hun persoonsgegevens. IT-systemen moeten deze gegevens in alle systemen opsporen en verwijderen, inclusief back-ups en externe verwerkers. Zonder een gestructureerd programma voor gegevensbeheer is dit operationeel gezien een complexe aangelegenheid. Een middelgrote MSP die gegevens beheert in 30 klantomgevingen, elk met een eigen ticketsysteem, documentatieplatform en back-uparchief, staat voor een aanzienlijke operationele uitdaging zonder tools die gegevensstromen in kaart brengen en beheersen.

Recht op correctie. Consumenten kunnen verzoeken om correctie van onjuiste persoonsgegevens. Systemen moeten het corrigeren van gegevens in alle relevante gegevensopslagplaatsen ondersteunen, niet alleen in de front-end-interface.

Recht om bezwaar te maken tegen verkoop of het delen van gegevens. Consumenten kunnen bezwaar maken tegen de verkoop of het delen van hun persoonsgegevens. Systemen moeten deze bezwaarmarkeringen in alle workflows voor gegevensverwerking en -uitwisseling respecteren. Marketingpixels en retargetingtools die gegevens delen met advertentieplatforms worden volgens de CPRA beschouwd als „delen“, zelfs als er geen directe betaling plaatsvindt.

Recht om het gebruik van gevoelige persoonsgegevens te beperken. Consumenten kunnen beperkingen opleggen aan de manier waarop bedrijven gevoelige persoonsgegevens gebruiken. Deze beperkingen moeten via technische maatregelen op systeemniveau worden afgedwongen, en niet alleen via beleidsdocumentatie.

Om binnen de reactietermijn van 45 dagen te kunnen reageren op verzoeken in het kader van consumentenrechten, zijn drie zaken nodig: een gegevensinventaris (weten waar persoonsgegevens zich bevinden), zoekmogelijkheden (het vinden van de gegevens van een specifieke persoon in alle systemen) en de mogelijkheid om gegevens te verwijderen of te corrigeren bij alle verwerkers.

De IT- en beveiligingseisen

De CPRA verplicht bedrijven om redelijke beveiligingsprocedures en -maatregelen te implementeren die aansluiten bij de aard en de gevoeligheid van persoonsgegevens. De procureur-generaal van Californië heeft aangegeven dat naleving van CIS Controls IG1 een redelijke interpretatie vormt van de minimumnorm voor „redelijke beveiliging“.

Meer concreet schrijft de CPRA het volgende voor.

Gegevensminimalisatie. Verzamel en bewaar alleen wat nodig is voor het aangegeven doel. Stel systemen zo in dat er zo min mogelijk persoonsgegevens worden verzameld. Dit geldt voor formuliervelden, het bewaren van logbestanden, analysetools en elke integratie waarbij persoonsgegevens tussen systemen worden uitgewisseld.

Bewaartermijnen. Bewaar persoonsgegevens alleen zo lang als redelijkerwijs nodig is voor het beoogde doel. Geautomatiseerde handhaving van bewaartermijnen (verwijderingsschema’s) is een operationele vereiste, niet louter een beleidsverklaring. Organisaties hebben een bewaarschema nodig waarin de gegevenscategorie, het systeem, de eigenaar, de bewaartermijn en de verwijderingsmethode worden vastgelegd.

Risicobeoordelingen. Voor verwerkingsactiviteiten die een aanzienlijk risico vormen voor de privacy van consumenten (geautomatiseerde besluitvorming, grootschalige profilering, het delen van gevoelige gegevens) is een gedocumenteerde risicobeoordeling vereist. Volgens de regelgeving van 2026 moet voor nieuwe verwerkingsactiviteiten die na 1 januari 2026 worden gestart, een risicobeoordeling worden uitgevoerd voordat de activiteit van start gaat.

Cyberbeveiligingsaudits. Bedrijven die een aanzienlijk risico vormen voor de privacy van consumenten, kunnen worden verplicht om jaarlijks cyberbeveiligingsaudits uit te voeren. De indieningstermijnen bij de CPPA zijn gespreid op basis van omzet: 1 april 2028 voor bedrijven met een omzet van meer dan 100 miljoen dollar, 1 april 2029 voor bedrijven met een omzet tussen 50 en 100 miljoen dollar, en 1 april 2030 voor bedrijven met een omzet van minder dan 50 miljoen dollar. Het is verstandig om nu al te beginnen met de voorbereidingen voor de audit, ongeacht de indieningsdeadline.

Wat is er in 2026 veranderd?

De CPPA heeft in september 2025 een omvangrijk pakket wijzigingen in de regelgeving vastgesteld, dat op 1 januari 2026 van kracht wordt. Dit betekent de meest ingrijpende uitbreiding van de privacyverplichtingen in Californië sinds de CPRA zelf van kracht werd.

Technologie voor geautomatiseerde besluitvorming (ADMT). Bedrijven die geautomatiseerde systemen gebruiken om belangrijke beslissingen over consumenten te nemen (kredietgoedkeuringen, sollicitatieprocedures, toegang tot gezondheidszorg, verzekeringspremies) moeten vooraf een kennisgeving verstrekken waarin wordt uitgelegd hoe de technologie werkt, welke gegevens er worden gebruikt en wat de mogelijke gevolgen voor consumenten zijn. Consumenten hebben het recht om zich hiervoor af te melden. Voor de meeste bedrijven moeten deze ADMT-kennisgevingen uiterlijk op 1 januari 2027 zijn ingevoerd.

Verplichte risicobeoordelingen. Voor nieuwe verwerkingsactiviteiten die op of na 1 januari 2026 van start gaan, is een gedocumenteerde risicobeoordeling vereist voordat daarmee wordt begonnen. Voor verwerkingsactiviteiten die vóór die datum al plaatsvonden, moeten de beoordelingen uiterlijk op 31 december 2027 zijn afgerond.

Omgang met Global Privacy Control (GPC). Er zijn meerdere handhavingsmaatregelen in het kader van de CPPA genomen tegen bedrijven die geen gehoor gaven aan GPC-browsersignalen, die fungeren als een automatische afmelding voor de verkoop of het delen van gegevens. Het configureren van systemen om GPC-signalen te respecteren is nu een basisvereiste voor naleving en niet langer optioneel.

Meldingsplicht binnen 30 dagen. De meldingsplicht bij datalekken in Californië is met ingang van 1 januari 2026 aangescherpt tot 30 dagen.

Verplichtingen van dienstverleners voor MSP’s

Volgens de CPRA is een MSP die diensten verleent aan een onder de CPRA vallende onderneming een dienstverlener, het equivalent van een AVG . De belangrijkste verplichtingen:

• Verwerk persoonsgegevens uitsluitend met het oog op het verlenen van de overeengekomen diensten.
• Verkoop of deel geen persoonlijke gegevens die u van de klant hebt ontvangen.
• Verwijder of retourneer persoonlijke gegevens bij het aflopen van het contract.
• Zorg voor passende beveiligingsmaatregelen.
• Sluit een schriftelijke dienstverleningsovereenkomst waarin de verplichtingen uit hoofde van de CPRA zijn vastgelegd.

Dit betekent dat elke MSP die klanten bedient die onder de CPRA vallen, een aanvullende overeenkomst inzake gegevensbescherming nodig heeft met de juiste CPRA-bepalingen. Het betekent ook dat de MSP moet kunnen aantonen dat zijn eigen beveiligingsprogramma is geïmplementeerd en gedocumenteerd, omdat een klant die te maken krijgt met een onderzoek door de toezichthouder, niet alleen om een beleidsdocument zal vragen, maar ook om bewijs van de beveiligingsstatus van de MSP.

Ontdek hoe Compliance Manager GRC het beheer van de naleving van de CCPA/CPRA Compliance Manager GRC

Handhaving en sancties

Zowel de procureur-generaal van Californië als de CPPA kunnen de CPRA handhaven. Boetes per overtreding voor 2025-2026, gecorrigeerd voor inflatie:

• Onopzettelijke overtredingen: 2.663 dollar per overtreding
• Opzettelijke overtredingen: 7.988 dollar per overtreding
• Overtredingen met betrekking tot gegevens van minderjarigen: 7.988 dollar per overtreding

Elke getroffen consument telt als een afzonderlijke overtreding, waardoor de boetes snel oplopen. De hoogste boete die de CPPA tot nu toe heeft opgelegd, bedroeg 1,35 miljoen dollar. Deze werd in oktober 2025 opgelegd aan Tractor Supply, nadat de link „Verkoop mijn persoonlijke gegevens niet“ niet daadwerkelijk had voorkomen dat gegevens werden gedeeld. In het eerste kwartaal van 2026 werden handhavingsmaatregelen genomen tegen onder meer Disney, Ford en Honda, wat in totaal enkele miljoenen dollars aan boetes en verplichte herstelmaatregelen opleverde.

Particuliere consumenten beschikken ook over een individueel vorderingsrecht in geval van beveiligingsinbreuken die het gevolg zijn van het niet toepassen van redelijke beveiligingsmaatregelen: 100 tot 750 dollar per consument per incident, of de werkelijke schade indien deze hoger is. Dit brengt een aanzienlijk risico op collectieve rechtszaken met zich mee voor elke organisatie die te maken krijgt met een inbreuk terwijl zij niet voldoet aan een verdedigbare beveiligingsnorm.

De CPPA heeft verklaard dat zij gedragingen kan onderzoeken die teruggaan tot 1 januari 2020, de oorspronkelijke ingangsdatum van de wet. De handhaving wordt steeds strenger, in plaats van milder.

Hoe Compliance Manager GRC CPRA-programma’s Compliance Manager GRC

Compliance Manager GRC de workflows voor het verzamelen, beoordelen en documenteren van bewijsmateriaal die vereist zijn voor naleving van de CPRA. Voor MSP’s die de naleving voor meerdere klanten beheren, vervangt het handmatige bijhouden via spreadsheets door een platform dat de status van de controles continu bewaakt, beoordelingstaken naar de juiste verantwoordelijken doorstuurt en nalevingsdocumentatie genereert die klaar is voor controle door toezichthouders of klanten.

Ondersteunde kaders zijn onder meer HIPAA, CMMC, PCI DSS, NIST CSF, CIS Controls en de FTC Safeguards Rule, naast specifieke kaders voor Californië en op maat gemaakte kaders. Dankzij IT Glue worden nalevingsrapporten automatisch naar de documentatie van elke klant verzonden, waardoor alles up-to-date blijft zonder dat er handmatig hoeft te worden geëxporteerd en geüpload.

Ontdek Compliance Manager GRC