Eind juni 2018 heeft Californië AB 375 aangenomen, een consumentenprivacywet die meer gevolgen kan hebben voor Amerikaanse bedrijven dan de Algemene verordening gegevensbescherming (GDPR) van de Europese Unie die in mei 2018 in werking is getreden. De Californische wet heeft niet enkele van de zwaarste vereisten van de GDPR, zoals het smalle venster van 72 uur waarin een bedrijf een inbreuk moet melden. In andere opzichten gaat het echter nog verder.
CCPA heeft een bredere kijk dan de GDPR op wat privégegevens zijn. De uitdaging voor beveiliging is dus om die privégegevens te lokaliseren en te beveiligen.
- Wat is de CCPA?
- Op welke bedrijven is de CCPA van toepassing?
- Wanneer moet mijn bedrijf voldoen aan de CCPA?
- Wat gebeurt er als mijn bedrijf niet voldoet aan de CCPA?
- Welke gegevens dekt de CCPA?
- Wat zijn de belangrijkste privacybepalingen in de CCPA?
- Wat betekent de CCPA voor de beveiliging?
- Een werk in uitvoering
Wat is de CCPA?
De California Consumer Privacy Act (CCPA) is een wet die elke Californische consument in staat stelt om te eisen dat hij alle informatie ziet die een bedrijf over hem heeft opgeslagen, evenals een volledige lijst van alle derde partijen waarmee die gegevens worden gedeeld. Bovendien stelt de Californische wet consumenten in staat om bedrijven aan te klagen als de privacyrichtlijnen worden geschonden, zelfs als er geen sprake is van een inbreuk.
Op welke bedrijven is de CCPA van toepassing?
Alle bedrijven die inwoners van Californië bedienen en een jaaromzet van ten minste 25 miljoen dollar hebben, moeten zich aan de wet houden. Daarnaast vallen bedrijven van elke omvang die persoonsgegevens van ten minste 50.000 personen hebben of die meer dan de helft van hun inkomsten uit de verkoop van persoonsgegevens halen, ook onder de wet. Bedrijven hoeven niet in Californië gevestigd te zijn of er een fysieke aanwezigheid te hebben om onder de wet te vallen. Ze hoeven zelfs niet in de Verenigde Staten gevestigd te zijn.
Een amendement van april stelt “verzekeringsinstellingen, agenten en ondersteunende organisaties” vrij, omdat ze al onderhevig zijn aan soortgelijke regelgeving onder de Insurance Information and Privacy Protection Act (IIPPA) van Californië.
Wanneer moet mijn bedrijf voldoen aan de CCPA?
De wet is op 1 januari 2020 in werking getreden, maar de handhaving begon op 1 juli.
Wat gebeurt er als mijn bedrijf niet voldoet aan de CCPA?
Bedrijven hebben 30 dagen de tijd om aan de wet te voldoen zodra regelgevers hen op de hoogte stellen van een overtreding. Als het probleem niet wordt opgelost, staat er een boete op van maximaal $7.500 per record. “Als je bedenkt hoeveel gegevens er bij een inbreuk in het geding zijn, loopt dat echt heel snel op”, zegt Debra Farber, senior director privacystrategie bij BigID. Aangezien het wetsvoorstel in slechts een week tijd is opgesteld en aangenomen, zal het waarschijnlijk nog worden aangepast, voegt ze eraan toe. “Dingen zoals de boetebedragen zullen waarschijnlijk veranderen.”
Er is ook een ander potentieel financieel risico, zegt Farber. “Het wetsvoorstel voorziet in het recht van een individu om te procederen, voor de eerste keer”, zegt ze. “En het maakt collectieve rechtszaken voor schadevergoeding mogelijk.”
Ook hier is er een venster van 30 dagen dat begint wanneer de consumenten een bedrijf schriftelijk op de hoogte stellen dat ze denken dat hun privacyrechten zijn geschonden. “Als het niet wordt verholpen, en de procureur-generaal weigert te vervolgen, dan kunnen ze een groepsgeding aanspannen,” zegt Farber. “En het is niet alleen rond inbreuken.”
De wet specificeert bijvoorbeeld dat bedrijven een duidelijk zichtbare voettekst op websites moeten hebben die consumenten de optie biedt om zich af te melden voor het delen van gegevens. Als die voettekst ontbreekt, kunnen consumenten naar de rechter stappen. Zij kunnen ook een rechtszaak aanspannen als zij niet kunnen achterhalen hoe hun informatie is verzameld of als zij geen kopieën van die informatie kunnen krijgen. “Het kan om van alles gaan,” zegt Farber.
De wet wijst specifieke straffen toe in geval van onbevoegde toegang, hetzij door een inbreuk, exfiltratie, diefstal, of “openbaarmaking als gevolg van de schending door het bedrijf van de plicht om redelijke beveiligingsprocedures en -praktijken toe te passen en te handhaven,” Zoals momenteel geschreven, staat AB 375 straffen toe van $ 100 tot $ 750 per consument per incident, of werkelijke schade, afhankelijk van welke groter is.
“Voeg daarbij alle andere kosten in verband met inbreuken – IT-respons, forensisch onderzoek en herstel, juridische kosten, kennisgeving, enzovoort – en dit kan een inbreuk in de richting duwen van een existentiële bedreiging voor veel bedrijven”, zegt Chris Prevost, hoofd van runtime security solutions architecture bij Imperva.
In het algemeen, als een bedrijf de stappen heeft genomen die nodig zijn om te voldoen aan de GDPR, dan is het al een heel eind op weg voor de California Consumer Privacy Act. Althans, het is dichterbij dan wanneer het niet klaar is voor de GDPR, zegt Eric Dieterich, data privacy practice leader bij Focal Point Data Risk, LLC. “Sommige multinationals hebben wijzigingen aangebracht voor hun Europese markten, maar hebben het misschien niet uitgerold naar activiteiten in de VS, dus er kan een scopingwijziging zijn,” zegt hij.
Welke gegevens dekt de CCPA?
De Californische wet benadert wat gevoelige gegevens zijn breder dan de GDPR. Olfactorische informatie valt er bijvoorbeeld onder, evenals browsegeschiedenis en gegevens over de interacties van een bezoeker met een website of applicatie. Dit is wat AB 375 beschouwt als “persoonlijke informatie”:
- Identifiers zoals een echte naam, alias, postadres, unieke persoonlijke identificator, online identificator IP-adres, e-mailadres, accountnaam, sofinummer, rijbewijsnummer, paspoortnummer, of andere soortgelijke identificatoren
- Karakteristieken van beschermde classificaties onder Californische of federale wetgeving
- Commerciële informatie waaronder records van persoonlijke eigendommen, producten of diensten die zijn gekocht, verkregen of overwogen, of andere aankoop- of consumptiegeschiedenis of -neigingen
- Biometrische informatie
- Internet of andere elektronische netwerkactiviteiteninformatie waaronder, maar niet beperkt tot browsegeschiedenis, zoekgeschiedenis en informatie over de interactie van een consument met een website, toepassing of advertentie
- Geolocatiegegevens
- Audio-, elektronische, visuele, thermische, olfactorische of soortgelijke informatie
- Professionele of werkgerelateerde informatie
- Onderwijskundige informatie, gedefinieerd als informatie die geen openbaar beschikbare persoonlijk identificeerbare informatie (PII) is zoals gedefinieerd in de Family Educational Rights and Privacy Act (20 U.S.C. sectie 1232g, 34 C.F.R. Deel 99)
- Inconclusies die worden getrokken uit de in deze onderverdeling vermelde informatie om een profiel over een consument op te stellen dat de voorkeuren, kenmerken, psychologische trends, voorkeuren, predisposities, gedrag, attitudes, intelligentie, capaciteiten en bekwaamheden van de consument weergeeft
Een amendement, AB 874, dat momenteel wacht op de handtekening van de gouverneur, zou openbaar beschikbare, geanonimiseerde en geaggregeerde consumenteninformatie vrijstellen van classificatie als PII. Openbaar beschikbare informatie wordt gedefinieerd als gegevens die beschikbaar zijn en worden bijgehouden in registers van de overheid.
De CCPA had oorspronkelijk betrekking op zowel werknemers- als consumentengegevens. Een in april aangenomen amendement stelt echter werknemersgegevens vrij van de verordening. Een ander amendement, AB 25, stelt gedeeltelijk persoonlijke informatie vrij die is verzameld van sollicitanten, eigenaars, directeuren, functionarissen, medisch personeel en contractanten. Deze vrijstelling zou op 1 januari 2021 aflopen. AB 25 was bij dit schrijven in afwachting van de handtekening van de gouverneur.
Wat zijn de belangrijkste privacybepalingen in de CCPA?
Bedrijven moeten consumenten de mogelijkheid bieden om ervoor te kiezen dat hun gegevens niet worden gedeeld met derde partijen. Dat betekent dat bedrijven de gegevens die zij verzamelen nu moeten kunnen scheiden op basis van de privacykeuzes van de gebruikers.
Daarnaast kan een bedrijf gebruikers weliswaar geen gelijke service weigeren, maar wel stimulansen bieden aan gebruikers die persoonlijke informatie verstrekken. “Deze bepaling is misschien aan verandering onderhevig, maar zoals het nu staat, geeft het je de mogelijkheid om kortingen aan te bieden aan mensen die bereid zijn om hun gegevens te laten delen of verkopen aan derden,” zegt Dieterich. “Traditioneel zijn systemen niet zo ontworpen dat je prijsstructuur kan veranderen afhankelijk van je privacykeuzes. Dat is een nieuw concept dat zeer technische implicaties heeft.”
Een ander groot verschil met GDPR is dat de Californische wet klanten veel meer toegang geeft tot hun gegevens, zegt Subra Ramesh, SVP van producten bij Dataguise. Een Californische consument heeft het recht om uit te zoeken welke informatie een bedrijf over hem verzamelt. De meeste bedrijven zullen moeite hebben om die informatie bij elkaar te krijgen. “Ten eerste is de hoeveelheid gegevens die ze verzamelen al enorm en blijft groeien, vaak in de honderden tot duizenden terabytes, en met organisaties op ondernemingsniveau die petabytes aan gegevens verwerken,” zegt hij.
Die gegevens bevinden zich in meerdere opslagplatforms, in verschillende bestandstijden. “De meeste file search tools missen de mogelijkheid om te zoeken in de moderne file repository ecosystemen die vandaag de dag zo gangbaar zijn”, zegt Aaron Ganek, CEO van Cloudtenna. “Cross-silo bestandsbeheer is een grote uitdaging. Het is moeilijk om de context van elk bestand te begrijpen als ze verspreid zijn in verschillende repositories.” Bovendien zijn er compliance-issues verbonden aan het samenbrengen van gegevens, zegt hij. “Legacy enterprise tools hebben moeite om de verschillende permissies en beveiligingsmodellen in acht te nemen, waardoor ze in strijd zijn met de wet- en regelgeving waaraan ze moeten voldoen.”
Dan is er nog de tijdslimiet. “Na het verzoek om toegang heeft een bedrijf 45 dagen om hen een uitgebreid rapport te geven over welk type informatie ze hebben, is het verkocht en aan wie, en als het in de afgelopen 12 maanden aan derden is verkocht, moet het de namen en adressen geven van de derden aan wie de gegevens zijn verkocht”, zegt John Tsopanis, privacy product manager bij 1touch.io. “Dat kan niet in Europa.”
Since the rule covers the previous 12 months of records, companies have to start complying six months from now, zegt hij. Daarna, op 1 januari 2020, moet elk bedrijf elk ander bedrijf waaraan ze gegevens verkopen bekendmaken. “Het zal het privacylandschap in Amerika voor altijd veranderen”, zegt Tsopanis.
Wat betekent de CCPA voor de beveiliging?
AB 375 is licht op vereisten rond beveiliging en inbreukreactie in vergelijking met de GDPR. Zoals eerder gezegd, stelt de wet wel sancties vast voor bedrijven die consumentengegevens onthullen als gevolg van een inbreuk of een beveiligingsfout. De wet staat rechtbanken ook toe om “een voorlopige of declaratoire uitspraak” te doen, of “elke andere voorziening die de rechtbank passend acht.”
Bedrijven zijn niet verplicht om inbreuken te melden onder AB 375, en consumenten moeten klachten indienen voordat boetes mogelijk zijn. De beste manier van handelen voor beveiliging is dan ook te weten welke gegevens AB 375 definieert als privé-gegevens en stappen te ondernemen om deze te beveiligen. Nogmaals, elke organisatie die voldoet aan de GDPR hoeft waarschijnlijk geen verdere actie te ondernemen om te voldoen aan AB 375 in termen van het beveiligen van gegevens.
De AB 375-eisen rond het bijhouden van, toegang tot en opslaan van gegevens betekenen dat beveiligingsteams nauw zullen moeten samenwerken met databasebeheerders, zegt Terry Ray, senior vice president en fellow bij Imperva, een cybersecurity-leverancier. Tools die worden geselecteerd om te helpen omgaan met AB 375 moeten niet alleen volledig inzicht bieden in gegevens die zijn opgeslagen in de gehele heterogene bedrijfsomgeving, maar er ook voor zorgen dat de toegang tot deze gegevens goed is beveiligd. “Ten slotte zullen ze deze tools nodig hebben om samen te werken met het nieuwe consumentenportaal door specifieke consumentengegevens te delen met de verifieerbare consument die erom vraagt,” zegt hij.
Als de gegevens worden opgeslagen bij cloudproviders, wordt het probleem alleen maar groter. Werknemers zouden bijvoorbeeld een account voor het delen van bestanden kunnen opzetten om marketing- of verkoopcontacten bij te houden. “Het is niet verrassend dat de grote techbedrijven zoals Google en Facebook tegen het wetsvoorstel waren”, zegt Kevin Bocek, VP beveiligingsstrategie en dreigingsinformatie bij Venafi. “Het controleren van de privacy en persoonlijke informatie die tussen machines stroomt is ongelooflijk moeilijk, en een grote uitdaging voor alle bedrijven.”
Een werk in uitvoering
Het wetsvoorstel werd in slechts zeven dagen in elkaar gezet omdat wetgevers een stembusinitiatief wilden vermijden om een nog strengere wet aan te nemen die door veel techbedrijven werd tegengewerkt. “Op dit moment zijn veel van de bepalingen en definities met elkaar in strijd”, zegt Andy Dale, general counsel en VP van global privacy bij SessionM.
Een problematisch gebied is de vraag of een bedrijf consumenten verschillende prijzen in rekening mag brengen op basis van hun privacy-instellingen. Veel bedrijven hebben bijvoorbeeld een optie waarbij een consument kan upgraden naar een betaalde tier waar ze geen advertenties zien. Hier is de wet zoals die nu is geschreven een beetje tegenstrijdig.
“Als de consument zijn rechten onder de verordening uitoefent, kunnen bedrijven niet een ander niveau of een andere kwaliteit van product, goederen of diensten aan de consument leveren”, zegt Pravin Kothari, CEO van CipherCloud. “Aan de andere kant van de medaille is het bedrijven volgens de verordening niet verboden om een consument een andere prijs of tarief in rekening te brengen, of om een ander niveau of een andere kwaliteit van goederen of diensten aan de consument te leveren, als dat verschil redelijkerwijs verband houdt met de waarde die de gegevens van de consument aan de consument hebben geleverd.”
Het lijkt erop dat Californië een kader probeert te definiëren waarin consumenten betaald kunnen krijgen voor het delen van hun gegevens, zegt Kothari. “Op dit gebied is de wetgeving een beetje visionair,” zegt hij. “We zullen in de praktijk zien hoe dit daadwerkelijk uitpakt.”
Meer over CCPA:
- 9 CCPA-vragen die elke CISO moet kunnen beantwoorden
- De CCPA is een kans om uw databeveiligingshuis op orde te krijgen
- Wat is “redelijke beveiliging”? En hoe kunt u aan die eis voldoen
- Maak serieus werk van de bescherming van consumentengegevens
- Hoe de eigendom van gegevens door burgers het bedrijfsleven beïnvloedt