CCPA, CPRA & Amerikaanse privacywetgeving: cookienaleving buiten Europa
De Verenigde Staten hanteren een fundamenteel andere benadering van cookieprivacy dan Europa. Er bestaat geen federale cookiewet, geen universele toestemmingsvereiste en geen enkele centrale toezichthouder voor gegevensbescherming. In plaats daarvan zorgt een groeiend lappendeken van privacywetten op statelijk niveau voor een steeds complexer landschap voor website-exploitanten. Inzicht in de Amerikaanse aanpak — en hoe die verschilt van de GDPR — is essentieel voor elk bedrijf met bezoekers aan weerszijden van de Atlantische Oceaan.
Het Amerikaanse privacylandschap: een overzicht
Het belangrijkste onderscheid tussen Amerikaanse en EU-cookiewetgeving zit in het regelgevingsmodel:
- EU-model: opt-in. U moet toestemming verkrijgen voordat u niet-essentiële cookies plaatst. De standaardinstelling is geen tracking.
- Amerikaans model: opt-out. U mag standaard persoonsgegevens verzamelen en delen, maar u moet consumenten de mogelijkheid bieden zich af te melden. De standaardinstelling is tracking, met een uitschakelknop.
Dit verschil in filosofie komt tot uiting in elk aspect van de cookieregelgeving. In de EU vraagt een cookiebanner om toestemming. In de VS informeert een cookiebanner (voor zover die er al is) gebruikers doorgaans over hun recht om zich af te melden.
Begin 2026 zijn er in minstens 15 staten uitgebreide privacywetten aangenomen, en meer worden er actief overwogen. Slechts een handvol daarvan heeft echter specifieke gevolgen voor cookienaleving.
Californië: CCPA en CPRA
Californië is de belangrijkste Amerikaanse staat op het gebied van privacyregelgeving. De California Consumer Privacy Act (CCPA), van kracht sinds 1 januari 2020, was de eerste uitgebreide privacywet op statelijk niveau. Deze werd ingrijpend gewijzigd door de California Privacy Rights Act (CPRA), die op 1 januari 2023 volledig in werking trad, met handhaving door de California Privacy Protection Agency (CPPA) vanaf 1 juli 2023.
Hoe cookies zich verhouden tot de CCPA/CPRA
De CCPA/CPRA reguleert cookies niet rechtstreeks. In plaats daarvan reguleert deze wet het verzamelen, verkopen en delen van persoonsgegevens, waaronder gegevens die via cookies worden verzameld. De belangrijkste begrippen zijn:
- "Persoonsgegevens" onder de CCPA/CPRA omvatten online-identificatoren, IP-adressen, browsegeschiedenis en informatie over de interactie van een consument met een website — alle zaken die vaak via cookies worden verzameld.
- "Verkoop" wordt ruim gedefinieerd als het beschikbaar stellen van persoonsgegevens aan een derde partij tegen een geldelijke of andere waardevolle tegenprestatie. Als advertentiecookies van derden op uw site bezoekersgegevens delen met advertentienetwerken, kan dit een "verkoop" onder de CCPA vormen.
- "Delen" (toegevoegd door de CPRA) omvat het beschikbaar stellen van persoonsgegevens aan derden voor cross-context gedragsgerichte reclame, ongeacht of er geld wordt uitgewisseld. Hiermee vallen advertentiecookies expliciet onder de reikwijdte.
Belangrijkste vereisten
- Link "Do Not Sell or Share My Personal Information": Als uw website persoonsgegevens verkoopt of deelt (wat de meeste scenario's met advertentiecookies omvat), moet u een duidelijk gelabelde link op uw homepage plaatsen waarmee consumenten zich kunnen afmelden. Dit is het Amerikaanse equivalent van een cookietoestemmingsmechanisme, hoewel het op opt-out- in plaats van opt-in-basis werkt.
- Global Privacy Control (GPC): Onder de door de CPPA gefinaliseerde CPRA-regels moeten bedrijven GPC-signalen die door de browser van een gebruiker worden verzonden, behandelen als een geldig opt-outverzoek. GPC is een signaal op browserniveau (qua concept vergelijkbaar met het oude Do Not Track, maar juridisch bindend onder de CCPA/CPRA). Als de browser van een gebruiker een GPC-signaal verzendt, moet u het verkopen of delen van hun persoonsgegevens stopzetten — wat betekent dat u advertentie- en trackingcookies voor die gebruiker moet uitschakelen.
- Bekendmaking in het privacybeleid: Uw privacybeleid moet de categorieën verzamelde persoonsgegevens vermelden, de doeleinden van de verzameling, de categorieën derden met wie informatie wordt gedeeld, en of informatie wordt verkocht of gedeeld.
- Gevoelige persoonsgegevens: De CPRA introduceert een recht om "het gebruik van mijn gevoelige persoonsgegevens te beperken". Als cookies gevoelige informatie verzamelen (zoals nauwkeurige geolocatie), moeten consumenten het gebruik ervan kunnen beperken.
- Minderjarigen: Voor consumenten jonger dan 16 jaar schakelt de CCPA/CPRA over naar een opt-inmodel. U mag de persoonsgegevens van een consument van wie u weet dat die jonger is dan 16 jaar niet verkopen of delen zonder uitdrukkelijke toestemming (van de consument zelf bij 13-15 jaar, of van een ouder/voogd bij jonger dan 13 jaar).
Wie moet voldoen
De CCPA/CPRA is van toepassing op winstgevende bedrijven die zaken doen in Californië en aan een van de volgende drempels voldoen: een jaarlijkse bruto-omzet van meer dan 25 miljoen dollar; het kopen, verkopen of delen van de persoonsgegevens van 100.000 of meer consumenten of huishoudens; of het halen van 50% of meer van de jaaromzet uit het verkopen of delen van persoonsgegevens van consumenten.
Andere Amerikaanse privacywetten op statelijk niveau
Diverse andere staten hebben uitgebreide privacywetten aangenomen die gevolgen hebben voor cookienaleving. Hoewel geen ervan zo gedetailleerd is als de CCPA/CPRA, hanteren ze consistente uitgangspunten rond opt-outrechten en gegevenstransparantie.
Colorado Privacy Act (CPA)
Van kracht sinds: 1 juli 2023. Gehandhaafd door: Attorney General van Colorado.
Vereist opt-outrechten voor gerichte reclame en de verkoop van persoonsgegevens. Bedrijven moeten universele opt-outmechanismen (zoals GPC) honoreren. De regels van Colorado vereisen specifiek een "duidelijke en opvallende" opt-outmethode en erkennen universele opt-outsignalen, waardoor GPC-naleving voor onder de wet vallende bedrijven feitelijk verplicht is.
Connecticut Data Privacy Act (CTDPA)
Van kracht sinds: 1 juli 2023. Gehandhaafd door: Attorney General van Connecticut.
Vergelijkbaar met de wet van Colorado. Vereist opt-out voor gerichte reclame, verkoop van persoonsgegevens en profilering. Vereist erkenning van universele opt-outmechanismen vanaf 1 januari 2025. Biedt specifieke bescherming voor gevoelige gegevens waarvoor opt-intoestemming vereist is.
Virginia Consumer Data Protection Act (VCDPA)
Van kracht sinds: 1 januari 2023. Gehandhaafd door: Attorney General van Virginia.
Biedt opt-outrechten voor gerichte reclame en verkoop van persoonsgegevens. Vereist geen erkenning van universele opt-outsignalen (in tegenstelling tot Californië, Colorado en Connecticut). Vereist toestemming voor het verwerken van gevoelige gegevens.
Texas Data Privacy and Security Act (TDPSA)
Van kracht sinds: 1 juli 2024. Gehandhaafd door: Attorney General van Texas.
Opvallend breed van reikwijdte zonder omzetdrempel — de wet is van toepassing op elke entiteit die zaken doet in Texas en persoonsgegevens verwerkt en geen kleine onderneming is zoals gedefinieerd door de SBA. Vereist opt-out voor gerichte reclame en gegevensverkoop. Vereist erkenning van universele opt-outmechanismen.
Oregon Consumer Privacy Act (OCPA)
Van kracht sinds: 1 juli 2024. Gehandhaafd door: Attorney General van Oregon.
Van toepassing op bedrijven die de gegevens van meer dan 100.000 Oregonese consumenten beheren of verwerken, of meer dan 25.000 consumenten als zij meer dan 25% van hun omzet uit gegevensverkoop halen. Biedt standaard opt-outrechten en vereist een hersteltermijn van 30 dagen voor overtredingen.
Vergelijking: Amerikaanse staten versus GDPR
| Vereiste | GDPR/ePrivacy | CCPA/CPRA | Andere Amerikaanse staten |
|---|---|---|---|
| Toestemmingsmodel | Opt-in (voorafgaande toestemming) | Opt-out | Opt-out |
| Cookietoestemming vereist vóór plaatsing | Ja | Nee | Nee |
| Cookiebanner vereist | In feite ja | Nee (opt-outlink vereist) | Nee |
| Granulaire toestemming per categorie | Ja | Nee | Nee |
| Recht om af te melden voor tracking | Ja (door geen toestemming te geven) | Ja ("Do Not Sell/Share") | Ja (gerichte reclame/gegevensverkoop) |
| GPC/universele opt-out vereist | Niet gespecificeerd | Ja | Varieert (CA, CO, CT, TX: ja) |
| Privacybeleid vereist | Ja | Ja | Ja |
| Gevoelige gegevens: opt-in vereist | Ja (uitdrukkelijke toestemming) | Recht om gebruik te beperken | Varieert (meeste: opt-in) |
| Handhaving | Toezichthouders + private actie (beperkt) | CPPA + AG + privaat vorderingsrecht (datalekken) | Alleen Attorney General |
| Maximale boetes | 4% wereldwijde omzet / €20 mln | $2.500/overtreding; $7.500/opzettelijk | Varieert; doorgaans $7.500-$10.000 |
Praktische aanpak: GDPR-naleving dekt de meeste Amerikaanse vereisten
Als uw website al voldoet aan de GDPR, bent u goed voorbereid op Amerikaanse naleving. Het opt-inmodel van de GDPR is strenger dan het opt-outmodel van welke Amerikaanse staat dan ook. Er zijn echter specifieke Amerikaanse vereisten waarin de GDPR niet voorziet:
- Link "Do Not Sell or Share": De GDPR vereist toestemmingsbeheer, maar geen specifieke "Do Not Sell or Share"-link. Als u Californische bezoekers heeft en aan de CCPA-drempels voldoet, heeft u deze link nodig.
- Erkenning van het GPC-signaal: Hoewel de GDPR geen erkenning van browsersignalen vereist, stellen meerdere Amerikaanse staten dit verplicht. Het implementeren van GPC-erkenning is eenvoudig en toont respect voor gebruikersvoorkeuren.
- Specifieke bekendmakingen in het privacybeleid: De CCPA/CPRA vereist bekendmakingen die op specifieke wijze zijn opgemaakt (categorieën informatie verzameld in de voorgaande 12 maanden, categorieën bronnen, enz.) die verschillen van de vereisten voor GDPR-privacyverklaringen.
- "Do Not Track" versus GPC: Het oude Do Not Track (DNT)-browsersignaal was nooit juridisch bindend. GPC is de opvolger daarvan en is juridisch bindend onder de CCPA/CPRA en diverse andere statelijke wetten. Zorg ervoor dat uw consentmanagementplatform GPC-signalen herkent en erop reageert.
Het vooruitzicht van een federale Amerikaanse privacywet
De American Data Privacy and Protection Act (ADPPA) kwam dichter bij aanname dan enig eerder federaal privacywetsvoorstel toen deze in juli 2022 door de House Energy and Commerce Committee kwam, maar uiteindelijk strandde het. In latere zittingen van het Congres zijn er nieuwe voorstellen gedaan, maar begin 2026 is er nog geen federale privacywet aangenomen.
De belangrijkste obstakels blijven:
- Voorrang (preemption): De vraag of een federale wet voorrang moet hebben op statelijke wetten (Californië verzet zich tegen voorrang die de CCPA/CPRA zou verzwakken).
- Privaat vorderingsrecht: De vraag of individuen bedrijven rechtstreeks moeten kunnen aanklagen voor privacyschendingen.
- Opt-in versus opt-out: De vraag of de federale norm een opt-inmodel voor gevoelige gegevens moet hanteren of de opt-outbenadering moet behouden.
Totdat een federale wet is aangenomen, moeten bedrijven zich een weg banen door het lappendeken van staat tot staat. Het praktische advies blijft: bouw een consentmanagementsysteem dat de strengste vereisten aankan (GDPR opt-in) en voeg daar naar behoefte Amerika-specifieke functies aan toe (opt-outlinks, GPC-ondersteuning).
Aanbevelingen voor wereldwijde naleving
Voor websites die zowel EU- als Amerikaanse bezoekers bedienen, is de efficiëntste aanpak:
- Implementeer GDPR-conform toestemmingsbeheer als uitgangspunt. Dit geeft u het strengste model, dat inherent voldoet aan minder strenge vereisten.
- Voeg een "Do Not Sell or Share"-mechanisme toe als u aan de CCPA-drempels voldoet of aanzienlijk verkeer uit Californië heeft.
- Implementeer erkenning van het GPC-signaal voor alle bezoekers. Het is een eenvoudige technische implementatie met aanzienlijke juridische voordelen.
- Gebruik geolocatie om passende toestemmingservaringen te bieden. EU-bezoekers zien een opt-inbanner; Amerikaanse bezoekers zien een minder opdringerige melding met opt-outopties. Dit brengt naleving en gebruikerservaring in balans.
- Onderhoud uitgebreide privacybekendmakingen die voldoen aan zowel de GDPR- als de CCPA/CPRA-vereisten.
De wereldwijde trend gaat onmiskenbaar richting een betere privacybescherming en meer gebruikerscontrole over trackingtechnologieën. Nu een robuust toestemmingsbeheer opzetten is een investering die zich zal terugbetalen naarmate er nieuwe regelgeving blijft ontstaan.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis