Ameesh Divatia is medeoprichter & CEO van Baffle, Inc, met een bewezen track record van het omzetten van innovatieve ideeën in succesvolle bedrijven.
Californië’s aanname van de California Privacy Rights Act (CPRA) op 3 november bouwt voort op de California Consumer Privacy Act (CCPA). De EU privacy verordening, GDPR, is de gouden standaard in termen van data privacy wetten, en CPRA komt dichter bij die standaard door het weerspiegelen van de toegenomen maatschappelijke verlangen naar data privacy. Bovendien geeft CPRA consumenten nog meer controle over en toegang tot persoonlijke gegevens die door bedrijven zijn verzameld dan wat CCPA deed.
Voor gedekte entiteiten kan dit aanvoelen als een regelgevende “een-tweetje”, omdat CCPA net in januari in de wet is ondertekend, waarbij de handhaving in juli van start is gegaan. Het goede nieuws voor bedrijven is dat CPRA pas in 2023 in werking zal treden, wat bedrijven de tijd geeft om de nodige infrastructuur op te zetten om te voldoen. Hoewel CPRA veel facetten heeft die moeten worden onderzocht, zoals uitgelegd door IAPP in mei, denk ik dat er drie gebieden van de nieuwe wet zijn die aanzienlijke uitdagingen met zich meebrengen als ze betrekking hebben op gegevensbescherming:
– Oprichting van het Californische privacybeschermingsagentschap (CalPPA).
– Invoering van de categorie gevoelige persoonlijke informatie.
– Uitbreiding van de consumentenrechten en naleving door de voor de verwerking verantwoordelijke.
Oprichting van de CalPPA
Onder CPRA verschuift de verantwoordelijkheid voor de handhaving van de wet van de procureur-generaal naar de nieuw opgerichte CalPPA. Het bureau zal bestaan uit een vijfkoppige raad van bestuur die de privacyrechten van mensen zal beschermen, de bewustwording van het publiek zal bevorderen en richtsnoeren zal geven aan consumenten en bedrijven in het kader van de wet. Zij zullen ook bevoegd zijn om de wet uit te voeren en te handhaven en boetes op te leggen voor overtredingen.
Met deze verschuiving van de verantwoordelijkheid naar een agentschap dat zich uitsluitend bezighoudt met CPRA, denk ik dat het handhavingsproces waarschijnlijk een stuk strenger en duidelijker gedefinieerd zal zijn. Als gevolg hiervan zullen organisaties nog meer toegewijd moeten zijn om ervoor te zorgen dat ze de juiste infrastructuur implementeren om op de eerste dag aan de wet te voldoen.
Sensitive Personal Information
CPRA heeft de formaten van beschermde gegevens uitgebreid met een nieuwe classificatie: gevoelige persoonlijke informatie. Volgens IAPP omvat deze informatie details zoals de exacte geolocatie van een consument, ras, etniciteit, religie, seksuele geaardheid, lidmaatschap van een vakbond, persoonlijke communicatie, genetische gegevens en biometrische of gezondheidsinformatie.
De bescherming van gevoelige persoonlijke informatie kan op twee fronten een uitdaging zijn. Ten eerste neemt de hoeveelheid gegevens die moet worden beschermd exponentieel toe, wat meer waakzaamheid op het gebied van gegevensidentificatie zal vereisen. De tweede uitdaging is genuanceerder in die zin dat gevoelige persoonsgegevens geen traditionele identificatieformaten volgen – zoals socialezekerheidsnummers, krediet- en debetkaartnummers en adressen. Dit betekent dat gedekte entiteiten mogelijk geavanceerde gegevensidentificatie- en beschermingstechnieken moeten toepassen waarmee veel organisaties momenteel niet vertrouwd zijn.
Uitgebreide consumentenrechten en naleving van gegevensverzamelaar
De CPRA vereist nu dat gedekte entiteiten met consumenten communiceren over hoe lang ze van plan zijn om consumentengegevens te bewaren. Bovendien beperkt de wet officieel hoe lang bedrijven gegevens mogen bewaren. Naleving van dit facet van de CPRA vereist dat bedrijven hun protocollen voor het toezicht op en het bijwerken van bewaargegevens verder verbeteren om ervoor te zorgen dat ze deze informatie op een compliant manier met consumenten communiceren.
De CPRA vereist ook dat dienstverleners, contractanten en derden die met gedekte bedrijven werken, zich aan de nieuwe wetgeving houden, waardoor ze zich in feite aan de CPRA-vereisten houden, ongeacht of ze er zelf direct aan onderworpen zijn. Deze organisaties mogen de gegevens die zij ontvangen voor geen enkel ander doel gebruiken dan wat oorspronkelijk was overeengekomen. Ze kunnen die informatie niet verkopen, en ze zullen waarschijnlijk strengere en uitgebreidere privacypraktijken moeten toepassen dan ze anders zouden toepassen.
Hoe organisaties zich moeten voorbereiden op CPRA
Hoewel het CPRA-compliant worden veel inspanning zal vergen voor de meeste gedekte entiteiten, zullen ze twee jaar hebben om zich voor te bereiden, wat hen de tijd zou moeten geven om hun huis op orde te krijgen. Overweeg de volgende suggesties om ervoor te zorgen dat ze klaar zijn voor CPRA in 2023:
– Controleer nu het beleid voor identificatie, bescherming en bewaring van gegevens. Neem nota van eventuele inconsistenties in het huidige beleid tegen de achtergrond van CPRA en begin met het aanbrengen van de juiste aanpassingen. Naar alle waarschijnlijkheid hebben organisaties deze stap onlangs gezet voor CCPA-naleving, dus de sprong naar CPRA-naleving zou deze keer gemakkelijker moeten zijn. Elke organisatie die GDPR-naleving heeft nagestreefd, zal al een voorsprong hebben op CPRA-naleving.
– Begin discussies met dienstverleners, aannemers en derde partijen. Nu partners verantwoordelijk zullen worden gehouden voor de gegevens die gedekte entiteiten met hen delen, moeten ze beter begrijpen welke stappen ze moeten nemen om deze te beschermen. En bij het doorlichten van potentiële partners zult u moeten nagaan hoe zij van plan zijn aan de CPRA-vereisten te voldoen. Stel compliance-vragenlijsten op voor deze entiteiten, zodat het proces gemakkelijker te beheren is.
– Vraag om CPRA-ready oplossingen. Er zijn waarschijnlijk veel oplossingen die organisaties gebruiken die moeten worden herzien om eenvoudiger aan de CPRA te voldoen – bijv. cloudbeveiliging, gegevensbeheer, gegevensprivacy en tools voor het delen van gegevens. Wees proactief in het delen van uw zorgen met leveranciers als wat zij aanbieden u niet zal helpen effectief CPRA-conform te blijven.
Wetgeving inzake de privacy van consumentengegevens wint in alle regio’s en sectoren aan momentum, en CPRA dient als het meest recente voorbeeld. Door nu de investeringen in de uitdagende aspecten op te voeren, kunnen gedekte entiteiten klaar staan om de naleving te handhaven wanneer de wet van kracht wordt en flexibeler zijn wanneer ze toekomstige privacywetten moeten aanpakken.
Forbes Technology Council is een invitation-only community voor CIO’s van wereldklasse, CTO’s en technologie-executives. Kom ik in aanmerking?
Volg me op Twitter of LinkedIn. Bekijk mijn website.