Californië's DROP-wet treedt in werking op 1 augustus: automatisering van verwijderingsverzoeken

Californië's DROP-wet treedt in werking op 1 augustus: automatisering van verwijderingsverzoeken

Stel je een inwoner van Californië voor die gefrustreerd is door de eindeloze circulatie van hun persoonlijke gegevens over data brokers - profielen opgebouwd uit online winkelgedrag, browsegeschiedenis en afgeleide interesses. Met een enkel verzoek via het nieuwe Delete Request and Opt-Out Platform (DROP) van de staat kunnen ze verwijdering van honderden brokers tegelijk eisen. Vanaf 1 augustus 2026 moeten data brokers dit proces elke 45 dagen automatiseren of hoge boetes riskeren, waardoor de manier waarop bedrijven met consumentengegevens omgaan, verandert.^{1 2}

Dit is niet alleen een Californisch probleem. Als uw website Californische gebruikers bedient en gegevensverzameling, -deling of -verkoop betreft - zelfs indirect - kunt u worden beïnvloed. De Delete Act (SB 362), ondertekend in oktober 2023, schrijft dit gecentraliseerde systeem voor om consumenten meer macht te geven en tegelijkertijd strikte operationele vereisten aan data brokers op te leggen.^{3 2} Met DROP live voor consumentenverzoeken sinds 1 januari 2026 en verwerkingsverplichtingen die binnenkort ingaan, is het nu tijd om de naleving te beoordelen.^{4 5}

Wat is de Delete Act en DROP?

De Delete Act bouwt voort op het Californische data broker-register van 2019 door DROP te introduceren, een eerst-van-zijn-platform beheerd door de California Privacy Protection Agency (CalPrivacy). Het stelt consumenten in staat om één verifieerbaar verzoek in te dienen om hun persoonlijke informatie te verwijderen van alle geregistreerde data brokers, plus om uit te stappen uit toekomstige verkopen of deling.^{1 6 7}

Belangrijke tijdlijnen:

• Januari 2024 en verder: Jaarlijkse registratie van data brokers bij CalPrivacy, inclusief vergoedingen om het register en DROP te financieren.^{6 3}
• 1 januari 2026: DROP opent voor consumenteninzendingen; data brokers maken accounts aan en voltooien registratie vóór 31 januari.^{4 5 2}
• Lente 2026: API-integratie beschikbaar voor geautomatiseerde toegang.⁴
• 1 augustus 2026: Data brokers moeten verzoeken elke 45 dagen ophalen en verwerken.^{1 4 5}
• Januari 2028: Driejaarlijkse onafhankelijke audits beginnen.³

DROP gebruikt gestandaardiseerde identifiers en een gespecificeerd hashing-algoritme voor het matchen van verzoeken met records, waardoor nauwkeurige verwijderingen worden gegarandeerd.^{1 4} Regelgeving die in 2026 wordt afgerond, vereist dat data brokers serviceproviders, contractanten en filialen instrueren om gegevens ook te verwijderen.¹

Dit weerspiegelt bredere privacytrends, zoals het recht op verwijdering van CCPA (Civil Code § 1798.105), maar schaalt het via automatisering voor data brokers.¹

Wie telt als een data broker?

Californië definieert een data broker breed: elke entiteit die "wetenlijk verzamelt en verkoopt aan derden de persoonlijke informatie van een consument met wie de onderneming geen directe relatie heeft."^{4 5} Dit omvat aggregators, verrijkers en wederverkopers van gegevens die buiten directe consumenteninteracties zijn verzameld, zoals uit openbare bronnen of aankopen van derden.^{4 7}

• Websites of apps die verkopen of delen van gebruikersgegevens voor profilering, reclame of verrijking - zelfs als dit niet uw kernactiviteit is - kunnen in aanmerking komen.^{4 5}
• Uitzonderingen gelden voor openbare overheidsgegevens, FCRA-gedekte kredietrapportage, HIPAA-gezondheidsgegevens en bedrijven die al onder die wetten in overeenstemming zijn.⁷
• Als u gegevens downstream deelt (bijv. met analyseleveranciers), controleer dan of dat de status van broker activeert.⁴

Website-eigenaren: Verkeer van Californische gebruikers maakt u niet automatisch een broker, maar als u persoonlijke informatie verwerkt (bijv. e-mails, IP's, gedragsgegevens) en verkoopt/deelt, registreer dan nu. Niet-Californische bedrijven vallen binnen het bereik als ze Californische gegevens targeten of verwerken.^{4 5}

Kernvereisten voor naleving vanaf 1 augustus 2026

Vanaf 1 augustus moeten data brokers DROP ten minste elke 45 dagen controleren via de CalPrivacy-website of API.^{1 4 5} Hier is het stapsgewijze proces:

1. Accountinstelling: Registreer een beveiligd DROP-account, selecteer relevante lijsten voor verwijdering van consumenten (vermijd duplicaten) en onderhoud toegangscontroles. Stel CalPrivacy onmiddellijk op de hoogte van inbreuken.¹
2. Verzoeken ophalen: Download lijsten die overeenkomen met uw gegevensidentificeerders (bijv. gehashte e-mails, namen).^{1 4}
3. Matchen en verwijderen: Gebruik gestandaardiseerd hashing om overeenkomsten te bevestigen. Verwijder alle bijbehorende persoonlijke informatie, inclusief gevolgtrekkingen, uit uw systemen, serviceproviders en contractanten. Geef hen instructies om te voldoen.^{1 4 5}
4. Tijdlijn: Voltooi binnen 90 dagen na ophaal. Geen contact opnemen met consumenten voor verificatie - verboden onder Sectie 7616.^{1 5}
5. Registratie: Documenteer beslissingen, onderhoud onderdrukkingslijsten en bewaar records. Rapporteer status terug via DROP.^{4 5}
6. Voortdurend: Update accountgegevens, verwijder DROP-gebruikersgegevens als u de status van broker verlaat (binnen 30 dagen na registratie/audit) en deactiveer account.¹

Automatisering is essentieel: Handmatige controles riskeren het missen van de 45-dagen cyclus. API-integratie, beschikbaar sinds de lente van 2026, maakt programmatische ophaal, matching en propagatie mogelijk.⁴

Boetes zijn streng: $200 per gemist verzoek per dag. Een enkel overgeslagen verzoek kan snel escaleren.¹

Leverancierspropagatie: de verborgen uitdaging voor websites

Data brokers vertrouwen vaak op leveranciers voor opslag, analyse of marketing. DROP vereist het propageren van verwijderingen naar alle serviceproviders en contractanten die de gegevens vasthouden.^{1 4} Dit weerspiegelt de verplichtingen van verwerkers onder GDPR (Artikel 28) en de regels voor serviceproviders onder CCPA (Civil Code § 1798.140(v)).¹

Praktische tips voor naleving:

• Inventariseer uw ecosysteem: Inventariseer alle leveranciers die Californische persoonlijke gegevens aanraken. Classificeer als serviceproviders (beperkt gebruik) versus degenen die verkopen/deling mogelijk maken.⁴
• Contractupdates: Pas overeenkomsten aan om DROP-naleving, geautomatiseerde verwijderings-API's en auditbevoegdheden te eisen. Neem vrijwaring op voor boetes.¹
• Technische implementatie:
  • Integreer DROP-API voor verzoekopname.
  • Bouw interne verwijderingsworkflows: Hash-matching → Gegevensscan → Propagatie via leveranciers-API's.
  • Gebruik onderdrukkingslijsten om herverwerving te blokkeren.
• Testen: Maak gebruik van CalPrivacy's sandbox voor API-proeven vóór 1 augustus.⁵
• Uitzonderingen: Verwijder niet als gegevens openbare overheidsinformatie zijn of zijn vrijgesteld onder andere wetten (bijv. financiële records).⁷

Voor websites: Als u geen broker bent maar data brokers gebruikt (bijv. voor advertentietargeting), zorg er dan voor dat uw contracten DROP-naleving eisen om indirecte aansprakelijkheid te vermijden.

Uitvoerbare stappen voor website-eigenaren en bedrijven

Met zes maanden tot handhaving (per februari 2026), prioriteert u deze:

• Zelfbeoordeling (nu): Beoordeel gegevensstromen tegen Delete Act-definites. Gebruik CalPrivacy's register om peers te controleren.^{5 2}
• Registreren indien nodig (januari 2026): Jaarlijks proces met vergoeding; inclusief verbeterde openbaarmakingen per SB 361-wijzigingen.^{6 2}
• Automatisering opbouwen:

  Stap	Actie	Tijdlijn
  1. Accountcreatie	Via CalPrivacy-site	1-31 jan 20264
  2. API-installatie	Integreer sandbox	Lente 20264 5
  3. Verwijderingspijplijn	Hash, scan, propageer	Testen vóór juli 2026
  4. Eerste controle	Ophaal/verwerk	1 aug 20261

• Auditvoorbereiding: Plan voor audits in 2028; documenteer alles.³
• Teams opleiden: Informeer juridische, technische en operationele teams over verboden (bijv. geen contact met consumenten).¹
• Updates monitoren: Regelgeving evolueerde van 2024-voorstellen; blijf CalPrivacy volgen voor verduidelijkingen.^{3 2}

Vergelijk met andere wetten:

Wet	Verwijderingsmechanisme	Frequentie/Automatisering
CCPA §1798.105	Individuele verzoeken	45-90 dagen, handmatig1
GDPR Art. 17	Recht op wissen	Onmiddellijk, propagatie naar verwerkers
DROP (Delete Act)	Gecentraliseerd, geautomatiseerd	Elke 45 dagen1 4

Deze automatisering vermindert consumentenvrije tijd maar vereist robuuste technische stacks.

Potentiële uitdagingen en risico's

• Schaal: Grote brokers ontvangen duizenden verzoeken; handmatige processen zullen niet schalen.⁴
• Matchingnauwkeurigheid: Hashingfouten kunnen leiden tot over- of onderverwijdering, wat boetes of rechtszaken uitlokt.¹
• Weerstand van leveranciers: Niet-nalevende partners brengen u in aansprakelijkheid.¹
• Handhaving: Recente acties van CPPA signaleren agressieve controle; audits beginnen in 2028.^{6 3}

Bedrijven die de status van broker verlaten, moeten binnen 45 dagen kennis geven en gegevens verwijderen.¹

Belangrijkste conclusies

• 1 augustus 2026 is live: Automatiseer 45-dagen DROP-controles of riskeer boetes van $200 per dag per verzoek.^{1 5}
• Breed bereik: Elke verkoper/deler van Californische gegevens kan kwalificeren als broker - beoordeel nu.^{4 5}
• Automatisering wint: API-integratie en leverancierspropagatie zijn niet-negatief voor efficiëntie.⁴
• Plan vooruit: Zelfaudit, update contracten, test pijplijnen en documenteer voor audits.⁵
• Consumentenkracht: DROP vereenvoudigt verwijderingen, in overeenstemming met CCPA/GDPR maar uniek gecentraliseerd.^{7 2}

Naleving is niet optioneel - het is een concurrentievoordeel in privacy-eerste Californië. Blijf waakzaam terwijl CalPrivacy de implementatie verfijnt.^{1 2}

Sources

Footnotes

1. troutmanprivacy.com

2. privacy.ca.gov

3. en.wikipedia.org

4. onetrust.com

5. clarkhill.com

6. bairdholm.com

7. bytebacklaw.com