August 11, 2025
5 min read
Waarin verschillen de GDPR en de CCPA?
| Aspect | GDPR (General Data Protection Regulation) | CCPA (California Consumer Privacy Act) |
|---|---|---|
| Geografische reikwijdte | Inwoners van de EU (ongeacht de locatie van het bedrijf) | Inwoners van Californië (ongeacht de locatie van het bedrijf) |
| Wettelijke grondslag | Vereist een wettelijke grondslag voor gegevensverwerking | Geen wettelijke grondslag vereist voor het verzamelen van gegevens |
| Toepasselijkheid voor bedrijven | Alle bedrijven die voldoen aan de wettelijke grondslag | Bedrijven met >$25 miljoen jaaromzet, of andere criteria |
| Rechten van de consument | Inzage, rectificatie, verwijdering, beperking, bezwaar, overdraagbaarheid | Inzage, verwijdering, opt-out van verkoop, non-discriminatie |
| Gevoelige gegevens | Specifiek: omvat genetische/biometrische gegevens | Algemeen: de overkoepelende term “persoonlijke informatie” |
| Boetes/Handhaving | Tot €20 miljoen of 4% van de wereldwijde omzet | Tot $7.500 per overtreding, civiele procedures mogelijk |
| Gegevens van kinderen | Toestemming van ouders voor kinderen onder de 16 | Toestemming van ouders voor kinderen onder de 13 |
| Verkoop van gegevens | Geen expliciete bepaling over “verkoop”, maar dekt wel overdrachten | Recht op opt-out van de verkoop van persoonlijke informatie |
De GDPR en de CCPA vertegenwoordigen twee belangrijke kaders in de wetgeving inzake gegevensprivacy, maar ze verschillen fundamenteel in reikwijdte, vereisten en handhaving. Deze verschillen bepalen de nalevingsstrategieën voor bedrijven die internationaal of binnen de Verenigde Staten actief zijn.
De GDPR vereist dat bedrijven een duidelijke wettelijke grondslag hebben voordat ze persoonsgegevens van EU-inwoners verwerken. De verordening identificeert zes wettelijke grondslagen voor verwerking, zoals toestemming, contractuele noodzaak of gerechtvaardigde belangen. In tegenstelling hiermee vereist de CCPA geen wettelijke grondslag voor het verzamelen of verwerken van persoonlijke informatie. Dit creëert een hogere drempel voor naleving onder de GDPR, met name voor organisaties die gevoelige categorieën gegevens verwerken.
De CCPA is alleen van toepassing op bepaalde bedrijven: die met een jaarlijkse bruto-omzet van meer dan $25 miljoen, die de persoonlijke informatie van 50.000 of meer consumenten/huishoudens/apparaten kopen/verkopen, of die ten minste 50% van hun jaaromzet halen uit de verkoop van persoonlijke informatie van consumenten. De GDPR is van toepassing op elke organisatie (ongeacht de omvang) die persoonsgegevens van EU-inwoners verwerkt als zij voldoen aan de vereiste van een wettelijke grondslag.
De consumentenrechten onder beide wetten zijn robuust, maar verschillen in de nadruk. De GDPR verleent individuen rechten zoals inzage, rectificatie, wissing (“recht om vergeten te worden”), beperking van de verwerking, gegevensoverdraagbaarheid en bezwaar tegen verwerking. De CCPA biedt rechten zoals het recht om te weten welke informatie wordt verzameld en verkocht, het recht op verwijdering (met uitzonderingen), het recht om zich af te melden voor de verkoop van persoonlijke informatie en bescherming tegen discriminatie bij het uitoefenen van deze rechten. Zoals de CCPA stelt:
“Een bedrijf mag een consument niet discrimineren omdat de consument een van zijn rechten onder deze titel heeft uitgeoefend.”
Wat gevoelige gegevens betreft, is de GDPR specifieker. Het definieert en reguleert speciale categorieën zoals “genetische gegevens”, “biometrische gegevens” en “gezondheidsgegevens”. Voor het verwerken van dit soort gegevens is uitdrukkelijke toestemming of een andere specifieke wettelijke grondslag vereist. De CCPA gebruikt een bredere term—“persoonlijke informatie”—die een breed scala aan identificatoren dekt, maar genetische of biometrische gegevens niet met dezelfde duidelijkheid apart benoemt.
Handhaving en boetes verschillen aanzienlijk. Overtredingen van de GDPR kunnen resulteren in boetes tot €20 miljoen of 4% van de wereldwijde omzet (het hoogste van de twee). Recente handhavingsacties suggereren dat toezichthouders bereid zijn aanzienlijke boetes op te leggen voor ernstige inbreuken. Hoewel de wettelijke boetes onder de CCPA lager zijn (tot $7.500 per opzettelijke overtreding), stelt deze wet consumenten op unieke wijze in staat om civiele rechtszaken aan te spannen voor bepaalde inbreuken, wat kan leiden tot aanzienlijke schikkingen of kosten voor groepsvorderingen.
Gegevens van kinderen krijgen in beide wetten extra bescherming, maar met verschillende leeftijdsdrempels: de GDPR vereist over het algemeen toestemming van de ouders voor het verwerken van gegevens van personen onder de 16 (lidstaten kunnen dit verlagen tot 13), terwijl de CCPA toestemming van de ouders vereist voor het “verkopen” van de gegevens van kinderen onder de 13.
Een belangrijk onderscheid is het concept van “verkoop” in de CCPA, dat consumenten het recht geeft om bedrijven op te dragen hun persoonlijke informatie niet te verkopen. De GDPR gebruikt deze terminologie niet, maar reguleert alle vormen van gegevensuitwisseling en -overdracht tussen organisaties.
Samenvattend, hoewel er overeenkomsten zijn—zoals de focus op transparantie en individuele rechten—is de GDPR over het algemeen breder in zijn toepassing en strenger in zijn vereisten, vooral met betrekking tot de wettelijke grondslag en de bescherming van gevoelige gegevens. De CCPA, hoewel beperkter in reikwijdte en toepasbaarheid, introduceert unieke concepten zoals het recht om af te zien van de verkoop van gegevens en bescherming tegen discriminatie bij het uitoefenen van privacyrechten. Organisaties die aan beide wetten onderworpen zijn, moeten de nalevingsverplichtingen zorgvuldig analyseren en erkennen dat naleving van de ene wet geen garantie is voor naleving van de andere. Aangezien de privacyregelgeving blijft evolueren, is het begrijpen van deze kernverschillen cruciaal voor risicobeheer en het opbouwen van consumentenvertrouwen.
