August 9, 2025
2 min read
De California Privacy Rights Act (CPRA) introduceert nieuwe vereisten voor bedrijven met betrekking tot de privacy van consumenten, met name wat betreft de verkoop of het delen van persoonlijke informatie. In tegenstelling tot sommige privacywetten die expliciete cookiebanners verplichten, vereist de CPRA niet expliciet een cookiebanner voor naleving. Het vereist echter dat bedrijven een mechanisme bieden waarmee consumenten zich kunnen afmelden voor de verkoop of het delen van hun persoonlijke gegevens, wat ook gegevens kan omvatten die via cookies worden verzameld.
De conceptregeling verduidelijkt dat een eenvoudige opt-in cookiebanner onvoldoende is voor naleving van de CPRA. In plaats daarvan moet een aanvaardbaar afmeldmechanisme:
De link “Mijn persoonlijke informatie niet verkopen/delen” (DNSMPI) wordt gespecificeerd als een duidelijke en conforme methode om deze afmelding te bieden. Deze link kan worden geïntegreerd met het beheer van cookievoorkeuren om ervoor te zorgen dat gebruikers de verzameling en het delen van gegevens kunnen beheren. Bovendien zijn bedrijven verplicht om afmeldsignalen zoals de Global Privacy Control (GPC) te respecteren, die de privacyvoorkeuren van gebruikers automatisch faciliteert.
Platformen voor toestemmingsbeheer zoals CookieYes worden genoemd als praktische hulpmiddelen die voldoen aan de CPRA-vereisten. Zij stellen websites in staat om afmeldbanners met DNSMPI-links weer te geven, waardoor bezoekers hun rechten onder de CPRA kunnen uitoefenen door zich af te melden voor de verkoop of het delen van hun persoonlijke informatie.
Samenvattend, hoewel een cookiebanner alleen niet verplicht is, vereist naleving onder de CPRA:
Deze genuanceerde aanpak weerspiegelt de focus van de CPRA op de controle van de consument over gegevens in plaats van op eenvoudige kennisgeving.
