TermsBox
PrijzenBlog
InloggenAan de slag
PrijzenBlogInloggen
Aan de slag
  1. Home
  2. Blog
  3. Wat is CCPA? De privacywet van Californië uitgelegd
CCPA

Wat is CCPA? De privacywet van Californië uitgelegd

Ontdek wat CCPA betekent voor uw bedrijf. Volledige gids over CCPA-vereisten, consumentenrechten, CPRA-updates en hoe u een conform privacybeleid opstelt.

TermsBox Team|January 16, 202513 min read

Als u een bedrijf runt dat inwoners van Californië bedient, kan de California Consumer Privacy Act (CCPA) op u van toepassing zijn. Deze baanbrekende privacywet heeft veranderd hoe bedrijven in de Verenigde Staten met persoonlijke gegevens omgaan, en begrip ervan is cruciaal voor naleving.

In deze gids leggen we alles uit wat u over CCPA moet weten in heldere, praktische bewoordingen: van op wie de wet van toepassing is, tot welke rechten zij consumenten toekent, tot hoe u naleving kunt waarborgen.

Wat is CCPA?

De California Consumer Privacy Act (CCPA) is een privacywet op staatsniveau die inwoners van Californië meer zeggenschap geeft over de persoonlijke gegevens die bedrijven over hen verzamelen. De wet trad op 1 januari 2020 in werking, met handhaving die op 1 juli 2020 begon.

CCPA wordt vaak de "GDPR van de Verenigde Staten" genoemd, omdat het de eerste uitgebreide privacywet in Amerika was, hoewel er belangrijke verschillen zijn met zijn Europese tegenhanger.

CCPA versus CPRA: wat is er veranderd?

In november 2020 keurden de kiezers van Californië Proposition 24 goed, waarmee de California Privacy Rights Act (CPRA) werd gecreëerd. CPRA is in feite CCPA 2.0: het wijzigt en breidt de oorspronkelijke wet uit.

Belangrijke CPRA-wijzigingen die op 1 januari 2023 in werking traden:

  • Een nieuwe handhavingsinstantie opgericht: het California Privacy Protection Agency (CPPA)
  • De categorie "gevoelige persoonlijke gegevens" geïntroduceerd met aanvullende bescherming
  • Het recht om onjuiste gegevens te corrigeren uitgebreid
  • De terugkijkperiode voor gegevensverzoeken verlengd van 12 naar 15 maanden
  • De omzetdrempel verdrievoudigd van $25 million naar $25 million (gecorrigeerd voor inflatie)
  • Nieuwe beperkingen toegevoegd op geautomatiseerde besluitvorming
  • Risicobeoordelingen geïntroduceerd voor risicovolle gegevensverwerking

Wanneer mensen tegenwoordig naar "CCPA" verwijzen, bedoelen ze doorgaans de wet zoals gewijzigd door CPRA.

Op wie is CCPA van toepassing?

CCPA is van toepassing op commerciële bedrijven die zaken doen in Californië en aan minimaal een van deze drempels voldoen:

Omzetdrempel

Een jaarlijkse bruto-omzet van meer dan $25 million (jaarlijks gecorrigeerd voor inflatie, momenteel $26.45 million voor 2025)

Drempel voor consumentengegevens

Het kopen, verkopen of delen van de persoonlijke gegevens van 100.000 of meer consumenten of huishoudens in Californië per jaar

Omzet uit gegevensverkoop

50% of meer van de jaaromzet halen uit de verkoop of het delen van persoonlijke gegevens van consumenten

Niet zeker of CCPA op u van toepassing is? Stel een CCPA-conform privacybeleid op om er zeker van te zijn dat u gedekt bent, ongeacht de omvang van uw bedrijf.

Belangrijke opmerkingen

  • U hoeft niet in Californië gevestigd te zijn: het bedienen van inwoners van Californië is voldoende
  • Non-profitorganisaties zijn doorgaans vrijgesteld
  • Dienstverleners en aannemers hebben andere verplichtingen
  • De wet is van toepassing op persoonlijke gegevens die zowel online als offline worden verzameld

Welke persoonlijke gegevens beschermt CCPA?

CCPA heeft een brede definitie van persoonlijke gegevens. Het omvat alle gegevens die een bepaalde consument of huishouden in Californië identificeren, ermee verband houden of er redelijkerwijs aan kunnen worden gekoppeld.

Categorieën van persoonlijke gegevens

  1. Identificatiegegevens

    • Echte naam, alias, postadres, e-mail, telefoonnummer
    • Unieke persoonlijke identificatiecode, IP-adres, accountnaam
    • Burgerservicenummer, rijbewijs, paspoortnummer

  2. Klantgegevens

    • Aankoopgeschiedenis, betalingsgegevens
    • Werkgelegenheidsgegevens
    • Onderwijsgegevens

  3. Beschermde classificaties

    • Leeftijd, ras, geslacht, seksuele geaardheid
    • Burgerlijke staat, veteranenstatus
    • Handicapstatus

  4. Commerciële gegevens

    • Gekochte producten of diensten
    • Aankoop- of consumptiegeschiedenis
    • Neigingen of voorkeuren

  5. Biometrische gegevens

    • Vingerafdrukken, gezichtsherkenningsgegevens
    • Stemafdrukken, irisscans
    • Gedragspatronen

  6. Internetactiviteit

    • Browsegeschiedenis, zoekgeschiedenis
    • Informatie over interactie van consumenten met websites of apps
    • Clickstream-gegevens

  7. Geolocatiegegevens

    • Nauwkeurige locatiegegevens
    • Bewegingspatronen

  8. Zintuiglijke gegevens

    • Audio, elektronische, visuele of vergelijkbare informatie

  9. Professionele gegevens

    • Huidige of vroegere arbeidsgeschiedenis
    • Functioneringsbeoordelingen

  10. Conclusies

    • Profiel dat voorkeuren, kenmerken, gedrag en houdingen weergeeft

Gevoelige persoonlijke gegevens (onder CPRA)

CPRA creëerde een speciale categorie die aanvullende bescherming vereist:

  • Burgerservicenummers, rijbewijs- en paspoortnummers
  • Accountgegevens met wachtwoorden
  • Nauwkeurige geolocatie
  • Raciale of etnische afkomst, religieuze overtuigingen, vakbondslidmaatschap
  • Inhoud van post, e-mail en sms-berichten
  • Genetische gegevens
  • Biometrische gegevens voor identificatie
  • Gezondheidsinformatie
  • Seksleven of seksuele geaardheid

Consumentenrechten onder CCPA

CCPA kent consumenten in Californië verschillende afdwingbare rechten toe:

Recht op inzage

Consumenten kunnen verzoeken om:

  • Welke categorieën persoonlijke gegevens u hebt verzameld
  • Specifieke stukken persoonlijke gegevens die u bewaart
  • Bronnen van die gegevens
  • Zakelijke doeleinden voor de verzameling
  • Derden met wie u gegevens hebt gedeeld

U moet binnen 45 days reageren (met een mogelijke verlenging van 45 days).

Recht op verwijdering

Consumenten kunnen verzoeken om verwijdering van hun persoonlijke gegevens, met bepaalde uitzonderingen (bijvoorbeeld het voltooien van transacties, wettelijke verplichtingen, beveiligingsdoeleinden).

Recht om bezwaar te maken tegen verkoop/delen

Consumenten kunnen bezwaar maken tegen de verkoop of het delen van hun persoonlijke gegevens. U moet een duidelijke link "Do Not Sell or Share My Personal Information" op uw website plaatsen.

Recht op correctie

Onder CPRA kunnen consumenten verzoeken om correctie van onjuiste persoonlijke gegevens.

Recht om het gebruik van gevoelige persoonlijke gegevens te beperken

CPRA staat consumenten toe het gebruik en de openbaarmaking van hun gevoelige persoonlijke gegevens te beperken tot wat nodig is om goederen of diensten te leveren.

Recht op non-discriminatie

Bedrijven mogen consumenten niet discrimineren omdat zij hun CCPA-rechten uitoefenen. U mag echter financiële stimulansen aanbieden voor gegevensverzameling, mits dit correct wordt bekendgemaakt.

Bedrijfsverplichtingen onder CCPA

Als CCPA op uw bedrijf van toepassing is, moet u:

1. Een privacybeleid verstrekken

Uw privacybeleid moet het volgende bevatten:

  • Categorieën van verzamelde persoonlijke gegevens
  • Bronnen van persoonlijke gegevens
  • Zakelijke doeleinden voor de verzameling
  • Categorieën van derden met wie u gegevens deelt
  • Consumentenrechten onder CCPA
  • Hoe deze rechten uit te oefenen
  • Categorieën van verkochte of gedeelde gegevens (indien van toepassing)
  • Categorieën van verzamelde gevoelige persoonlijke gegevens

2. Vereiste links toevoegen

U moet het volgende verstrekken:

  • Een duidelijke, opvallende link met de titel "Do Not Sell or Share My Personal Information" (als u gegevens verkoopt/deelt)
  • Een link naar "Limit the Use of My Sensitive Personal Information" (indien van toepassing onder CPRA)
  • Links in uw privacybeleid om toegang tot of verwijdering van gegevens aan te vragen

3. Verzoeken van consumenten honoreren

Stel een proces op om:

  • De identiteit van de consument te verifiëren
  • Binnen 45 days op verzoeken te reageren
  • Gegevens te verstrekken in een overdraagbaar, direct bruikbaar formaat
  • Gegevens van verzoeken 24 maanden te bewaren

4. Medewerkers opleiden

Zorg ervoor dat medewerkers die vragen of verzoeken van consumenten afhandelen, zijn opgeleid in de CCPA-vereisten en consumentenrechten.

5. Contracten met dienstverleners bijwerken

Contracten met dienstverleners moeten:

  • De verkoop van persoonlijke gegevens verbieden
  • Bewaring of gebruik buiten het contract verbieden
  • Een certificering van naleving vereisen

6. Risicobeoordelingen uitvoeren (CPRA)

Voer voor risicovolle verwerkingsactiviteiten cyberbeveiligingsaudits en risicobeoordelingen uit en dien deze in bij de CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Klaar om te voldoen? Genereer een CCPA-conform privacybeleid dat alle vereiste openbaarmakingen dekt.

CCPA-sancties en handhaving

CCPA kent zowel handhaving via toezichthouders als een privaat recht op rechtsvordering:

Administratieve sancties

De procureur-generaal van Californië (en nu de CPPA onder CPRA) kan het volgende opleggen:

  • Tot $2,500 per overtreding
  • Tot $7,500 per opzettelijke overtreding

Toezichthouders bieden doorgaans een hersteltermijn van 30 dagen voor eerste overtredingen voordat zij boetes opleggen.

Privaat recht op rechtsvordering (datalekken)

Consumenten kunnen rechtstreeks een rechtszaak aanspannen voor datalekken waarbij het volgende betrokken is:

  • Niet-versleutelde of niet-gemaskeerde persoonlijke gegevens
  • Wettelijke schadevergoedingen van $100 tot $750 per consument, per incident
  • Werkelijke schade indien hoger

Opmerkelijke CCPA-handhavingsacties

  • Sephora - schikking van $1.2 million voor het niet bekendmaken van de verkoop van persoonlijke gegevens en het niet honoreren van opt-outverzoeken
  • DoorDash - schikking voor onvoldoende kennisgeving van gegevensverkoop
  • Detailhandelaren - meerdere schikkingen voor ontbrekende "Do Not Sell"-links

De CPPA begon in 2023 met actieve handhaving en heeft aangegeven in de toekomst agressiever op te treden.

Hoe voldoet u aan CCPA?

Hier is een praktisch stappenplan voor CCPA-naleving:

Stap 1: Bepaal of CCPA van toepassing is

Bereken:

  • Jaaromzet
  • Aantal consumenten in Californië van wie u gegevens verwerkt
  • Omzetpercentage uit gegevensverkoop

Stap 2: Gegevens in kaart brengen

Voer een gegevensinventarisatie uit:

  • Welke persoonlijke gegevens verzamelt u?
  • Uit welke bronnen?
  • Voor welke doeleinden?
  • Met wie deelt u ze?
  • Hoe lang bewaart u ze?

Stap 3: Werk uw privacybeleid bij

Zorg ervoor dat uw beleid het volgende bevat:

  • Alle vereiste CCPA-openbaarmakingen
  • Duidelijke, eenvoudige taal
  • Een gemakkelijk te vinden locatie (link in de footer)
  • Een update-cyclus van 12 maanden

Stap 4: Implementeer mechanismen voor consumentenrechten

Stel het volgende in:

  • Webformulier voor toegangs-/verwijderingsverzoeken
  • Gratis telefoonnummer (voor bedrijven met een online aanwezigheid)
  • E-mailcontact voor verzoeken
  • Proces voor identiteitsverificatie
  • Responsworkflow met bewaking van de termijn van 45 days

Stap 5: Vereiste links toevoegen

Op uw website:

  • Link "Do Not Sell or Share My Personal Information" (indien van toepassing)
  • Link "Limit the Use of My Sensitive Personal Information" (indien van toepassing)
  • Link naar privacybeleid in de footer

Stap 6: Beoordeel relaties met derden

Voor dienstverleners:

  • Werk contracten bij met CCPA-bewoordingen
  • Verkrijg certificeringen van naleving
  • Controleer praktijken voor het delen van gegevens

Stap 7: Leid uw team op

Zorg ervoor dat het personeel het volgende begrijpt:

  • Wat CCPA is en op wie het van toepassing is
  • Consumentenrechten onder CCPA
  • Hoe verzoeken af te handelen
  • Wat een "verkoop" van gegevens inhoudt

Stap 8: Implementeer technische maatregelen

Stel het volgende in:

  • Beheer van cookietoestemming (voor opt-out van verkopen)
  • Workflows voor gegevensverwijdering
  • Hulpmiddelen voor gegevensoverdraagbaarheid
  • Herkenning van opt-outsignalen (Global Privacy Control)

Hulp nodig met cookies? Stel een cookiebeleid op dat uw trackingpraktijken uitlegt en opt-outverzoeken honoreert.

CCPA versus GDPR: belangrijkste verschillen

Hoewel beide wetten de privacy van consumenten beschermen, zijn er belangrijke verschillen:

Aspect CCPA GDPR
Reikwijdte Inwoners van Californië Inwoners van de EU
Bedrijfsomvang Omzet-/gegevensdrempels Alle bedrijven die EU-gegevens verwerken
Toestemmingsmodel Opt-out (behalve minderjarigen) Opt-in vereist
Gegevensverkoop Moet opt-out toestaan Over het algemeen verboden
Sancties Tot $7,500/overtreding Tot 4% van de wereldwijde omzet
Functionaris voor gegevensbescherming Niet vereist Vereist voor sommige
Rechtsgrondslag Niet vereist Moet voor elk doel worden vastgesteld
Handhaving Procureur-generaal van de staat, CPPA, consumenten Toezichthoudende autoriteiten

Belangrijkste conclusie

GDPR is over het algemeen uitgebreider en strikter. Als u al voldoet aan GDPR, bent u goed op weg naar CCPA-naleving, maar u zult nog steeds CCPA-specifieke vereisten moeten aanpakken, zoals de "Do Not Sell"-link en de CCPA-openbaarmakingsbewoordingen.

Veelvoorkomende fouten bij CCPA-naleving

Vermijd deze veelvoorkomende fouten:

  1. De "Do Not Sell"-link ontbreekt - vereist, zelfs als u beweert dat u in de traditionele zin geen gegevens "verkoopt"
  2. Onvoldoende privacybeleid - moet alle 11 vereiste categorieën van openbaarmakingen bevatten
  3. Geen verificatieproces - u moet de identiteit van de consument verifiëren voordat u op verzoeken reageert
  4. Kosten in rekening brengen voor verzoeken - u mag geen kosten in rekening brengen voor de eerste twee verzoeken per jaar
  5. Verzoekers discrimineren - u mag geen dienst weigeren of verschillende prijzen rekenen aan consumenten die hun rechten uitoefenen
  6. Gemachtigde agenten negeren - u moet verzoeken van door consumenten gemachtigde agenten honoreren
  7. Global Privacy Control niet honoreren - CPRA vereist het herkennen van browsergebaseerde opt-outsignalen
  8. Ontbrekende contractupdates - overeenkomsten met dienstverleners moeten specifieke CCPA-bewoordingen bevatten

CCPA en andere privacywetten van staten

CCPA heeft als inspiratie gediend voor soortgelijke wetten in de Verenigde Staten:

  • Virginia (VCDPA) - van kracht op 1 januari 2023
  • Colorado (CPA) - van kracht op 1 juli 2023
  • Connecticut (CTDPA) - van kracht op 1 juli 2023
  • Utah (UCPA) - van kracht op 31 december 2023
  • Iowa, Montana, Oregon, Tennessee, Texas - diverse data van inwerkingtreding in 2024-2025

Veel bedrijven hanteren een landelijke aanpak waarbij ze CCPA als uitgangspunt gebruiken om te voorkomen dat ze voor elke staat afzonderlijke nalevingsprogramma's moeten onderhouden.

Aan de slag met CCPA-naleving

De belangrijkste eerste stap is het opstellen van een conform privacybeleid dat:

  1. Uw gegevenspraktijken duidelijk bekendmaakt - wat u verzamelt, waarom en hoe
  2. Consumentenrechten uitlegt - alle rechten die beschikbaar zijn onder CCPA/CPRA
  3. Contactmechanismen biedt - hoe consumenten hun rechten kunnen uitoefenen
  4. Gegevensverkoop/-deling vermeldt - indien van toepassing, welke categorieën u verkoopt of deelt
  5. Jaarlijks bijwerkt - beoordeel en werk minstens eens per 12 maanden bij

Implementeer van daaruit de technische en operationele processen om consumentenrechten te honoreren en naleving te handhaven.

Veelgestelde vragen

Waar staat CCPA voor?

CCPA staat voor California Consumer Privacy Act. Het is een uitgebreide wet op het gebied van gegevensbescherming die op 1 januari 2020 in werking trad en inwoners van Californië zeggenschap geeft over hun persoonlijke gegevens.

Op wie is CCPA van toepassing?

CCPA is van toepassing op commerciële bedrijven die zaken doen in Californië en aan minimaal een van deze drempels voldoen: een jaaromzet van meer dan $25 million, het kopen/verkopen van persoonlijke gegevens van 100.000 of meer consumenten in Californië, of 50% of meer van de omzet halen uit de verkoop van persoonlijke gegevens.

Wat zijn de sancties bij CCPA-overtredingen?

CCPA-overtredingen kunnen leiden tot boetes tot $2,500 per overtreding of $7,500 per opzettelijke overtreding. Overtredingen bij datalekken kunnen leiden tot rechtszaken van consumenten met schadevergoedingen van $100-$750 per incident, per consument.

Wat is het verschil tussen CCPA en CPRA?

CPRA (California Privacy Rights Act) is een wijziging op CCPA die op 1 januari 2023 in werking trad. Het breidt de consumentenrechten uit, richt het California Privacy Protection Agency op en introduceert striktere vereisten voor gevoelige persoonlijke gegevens.

Moet ik voldoen aan zowel CCPA als GDPR?

Als u zowel inwoners van Californië als inwoners van de EU bedient, moet u aan beide wetten voldoen. CCPA is over het algemeen minder strikt dan GDPR, dus als u al voldoet aan GDPR, bent u waarschijnlijk dicht bij CCPA-naleving.

Conclusie

CCPA vertegenwoordigt een belangrijke verschuiving in de Amerikaanse privacywetgeving en geeft consumenten in Californië betekenisvolle zeggenschap over hun persoonlijke gegevens. Hoewel naleving inspanning vereist, zoals het bijwerken van beleid, het implementeren van verzoekmechanismen en het opleiden van personeel, is het kernprincipe eenvoudig: wees transparant over gegevenspraktijken en respecteer de keuzes van consumenten.

Voor de meeste bedrijven is de grootste inspanning het initiële nalevingswerk. Zodra u uw privacybeleid hebt bijgewerkt, verzoekworkflows hebt geïmplementeerd en de vereiste links hebt toegevoegd, wordt doorlopende naleving routine.

Het belangrijkste is om nu te beginnen. Nu de CPPA actief handhaaft en consumenten zich steeds bewuster worden van hun rechten, is CCPA-naleving niet langer optioneel voor bedrijven die inwoners van Californië bedienen.

Klaar om uw CCPA-conforme privacybeleid op te stellen? Gebruik onze gratis generator om in enkele minuten een uitgebreid beleid op te stellen dat aan alle CCPA-vereisten voldoet.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Vereisten voor een e-commerce privacybeleid: wat onlinewinkels moeten opnemen

Volledige gids voor de vereisten van een privacybeleid voor e-commercewebsites. Ontdek welke vermeldingen onlinewinkels nodig hebben voor betalingen, verzending en marketing.

January 17, 20259 min read
Legal Compliance

GDPR vs CCPA: belangrijkste verschillen uitgelegd

Vergelijk de privacywetten GDPR en CCPA. Leer de belangrijkste verschillen in reikwijdte, toestemmingsmodellen, consumentenrechten en boetes om ervoor te zorgen dat uw bedrijf compliant blijft.

January 17, 202511 min read
Mobile Apps

Vereisten voor privacybeleid van mobiele apps: nalevingsgids voor iOS en Android

Leer de vereisten voor het privacybeleid van mobiele apps. Behandelt de regels van Apple App Store en Google Play Store en de juridische naleving voor iOS- en Android-apps.

January 16, 202511 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • Wat is CCPA?
  • CCPA versus CPRA: wat is er veranderd?
  • Op wie is CCPA van toepassing?
  • Omzetdrempel
  • Drempel voor consumentengegevens
  • Omzet uit gegevensverkoop
  • Belangrijke opmerkingen
  • Welke persoonlijke gegevens beschermt CCPA?
  • Categorieën van persoonlijke gegevens
  • Gevoelige persoonlijke gegevens (onder CPRA)
  • Consumentenrechten onder CCPA
  • Recht op inzage
  • Recht op verwijdering
  • Recht om bezwaar te maken tegen verkoop/delen
  • Recht op correctie
  • Recht om het gebruik van gevoelige persoonlijke gegevens te beperken
  • Recht op non-discriminatie
  • Bedrijfsverplichtingen onder CCPA
  • 1. Een privacybeleid verstrekken
  • 2. Vereiste links toevoegen
  • 3. Verzoeken van consumenten honoreren
  • 4. Medewerkers opleiden
  • 5. Contracten met dienstverleners bijwerken
  • 6. Risicobeoordelingen uitvoeren (CPRA)
  • CCPA-sancties en handhaving
  • Administratieve sancties
  • Privaat recht op rechtsvordering (datalekken)
  • Opmerkelijke CCPA-handhavingsacties
  • Hoe voldoet u aan CCPA?
  • Stap 1: Bepaal of CCPA van toepassing is
  • Stap 2: Gegevens in kaart brengen
  • Stap 3: Werk uw privacybeleid bij
  • Stap 4: Implementeer mechanismen voor consumentenrechten
  • Stap 5: Vereiste links toevoegen
  • Stap 6: Beoordeel relaties met derden
  • Stap 7: Leid uw team op
  • Stap 8: Implementeer technische maatregelen
  • CCPA versus GDPR: belangrijkste verschillen
  • Belangrijkste conclusie
  • Veelvoorkomende fouten bij CCPA-naleving
  • CCPA en andere privacywetten van staten
  • Aan de slag met CCPA-naleving
  • Veelgestelde vragen
  • Conclusie
TermsBox

Scan je website, genereer automatisch juridische documenten, voeg een toestemmingsbanner toe en blijf compliant. Eén platform voor alles.

Product

  • Cookie-scanner
  • Toestemmingsbanner
  • Generator voor cookiebeleid
  • Prijzen

Generatoren

  • Generator voor privacybeleid
  • Generator voor algemene voorwaarden
  • EULA-generator
  • Disclaimergenerator
  • Generator voor retour- en restitutiebeleid

Bedrijf

  • Over ons
  • Contact
  • Privacybeleid
  • Servicevoorwaarden
  • Cookiebeleid
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Alle rechten voorbehouden.