Connecticut verlaagt drempel voor privacywetgeving naar 35.000: uw site valt nu onder de wet
Vanaf medio 2026 breidt de privacywet van Connecticut haar reikwijdte drastisch uit van 100.000 naar 35.000 klanten, plus nieuwe beperkingen op de verkoop van gegevens van minderjarigen. Kleinere websites die dachten vrijgesteld te zijn, moeten nu mogelijk wel voldoen.
Connecticut verlaagt drempel voor privacywetgeving naar 35.000: uw site valt nu onder de wet
Stel je voor dat je een kleine e-commerce site runt die een niche publiek in het noordoosten bedient, en je bent ervan overtuigd dat je gebruikersbestand van minder dan 100.000 je vrijwaart van de privacywetgeving van de staat. Stel je nu voor dat het 1 juli 2026 is: diezelfde site valt plotseling onder de herziene Data Privacy Act (CDPA) van Connecticut omdat je 35.000 inwoners van Connecticut hebt bereikt - of zelfs maar één enkel stuk gevoelige data hebt verwerkt. Dit is geen ver-van-mijn-bed-show; het is de nieuwe realiteit voor duizenden bedrijven, aangezien wetsvoorstel 1295 de toepassingsdrempels drastisch verlaagt en de regels voor gegevens van minderjarigen aanscherpt.1 2 3
Deze veranderingen, die op 24 juni 2025 in wet zijn omgezet, breiden de reikwijdte van de CDPA drastisch uit en halen kleinere websites, apps en online diensten binnen die voorheen onder de radar vlogen.1 4 Als je bedrijfsvoering Connecticutse consumenten raakt - zelfs indirect - is het tijd om je naleving te controleren. Dit artikel breekt de belangrijkste veranderingen af, wie erdoor getroffen worden en praktische stappen om je voor te bereiden voordat de handhaving wordt opgevoerd.
Wat is er veranderd? Een overzicht van de belangrijkste updates van SB 1295
De wetgever van Connecticut heeft SB 1295 aangenomen om leemtes in de oorspronkelijke CDPA aan te pakken, met ingang van 1 juli 2026 (met enkele profileringregels die op 1 augustus ingaan).1 2 De meest ingrijpende aanpassing? De drempel voor wie moet voldoen, verlagen.
Drempels voor toepasselijkheid verlaagd
Voorheen richtte de CDPA zich op grotere spelers:
- Bedrijven die persoonlijke data verwerken van 100.000 of meer Connecticutse consumenten (exclusief alleen betalingsgegevens), of
- Degenen die data verwerken van 25.000 of meer consumenten en meer dan 25% van hun omzet halen uit de verkoop van data.2 5
Vanaf 1 juli 2026:
- Daalt naar 35.000 Connecticutse consumenten - geen omzetrelatie nodig.1 2 3 4 5 6
- Nul drempel als je gevoelige data verwerkt (bijv. precieze locatie, gezondheidsinformatie, financiële logingegevens).2 3 5
- Nul drempel als je persoonlijke data verkoopt van Connecticutse inwoners.2 4 5
Betalings transactiegegevens blijven vrijgesteld van tellingen, maar alles anders - zoals tracking cookies of gebruikersprofielen - telt mee.5 6 Dit haalt kleine winkels, lokale SaaS-tools en affiliesites binnen die de oude regels wisten te omzeilen.3
Uitgebreide categorieën gevoelige data
Gevoelige data activeert nu naleving, ongeacht het volume. Nieuwe toevoegingen omvatten:
- Psychische gezondheidsstoornissen of behandelingen
- Niet-binaire of transgenderstatus
- Afgeleide genetische/biometrische data
- Neurale data
- Financiele rekeningnummers, kaartgegevens of logingegevens (met toegangs informatie)7
Het verwerken van gevoelige data vereist toestemming, en het moet "redelijkerwijs noodzakelijk en evenredig" zijn aan de verklaarde doelen - strikter dan de oude "adequate, relevante" standaard.1 5 Het verkopen van gevoelige data vereist aparte toestemming.4
Verhoogde bescherming voor minderjarigen
Geen wiggle room hier:
- Volledig verbod op het verkopen van persoonlijke data van minderjarigen onder 18 (omhoog van 16; geen uitzondering voor toestemming voor 13-17).3 4 5
- Verboden gericht adverteren naar minderjarigen, met of zonder toestemming.3 5
- Verboden op designfuncties die minderjarigen verslaafd maken (bijv. oneindige scrolls die de betrokkenheid verhogen).5
- Striktere profilering regels voor minderjarigen, plus verplichte impactbeoordelingen.5
Deze weerspiegelen de privacywetten voor kinderen zoals COPPA, maar zijn rechtstreeks geïntegreerd in CDPA-verplichtingen.
Andere belangrijke aanpassingen
- Profileringrechten worden uitgebreid: Consumenten kunnen zich uitschrijven voor elke profilering die is gekoppeld aan geautomatiseerde beslissingen met "wettelijke of soortgelijke significante effecten" - inclusief beslissingen van derden.5
- Privacyberichten moeten openbaren: Categorieën data die worden verkocht, verwerking van gerichte advertenties, LLM-trainingsgebruik, kopers van derden en de laatste updatdatum. Materiële veranderingen vereisen opties voor intrekking van toestemming.4
- Universele uitschakelmogelijkheden erkend vanaf januari 2026 (bijv. Global Privacy Control).3
- Geen genezingsperiode voor overtredingen na de veranderingen - rechtstreeks naar handhaving.2
Raakt dit uw website of bedrijf?
Als je "bedrijfsactiviteiten uitvoert in Connecticut of producten/diensten produceert die zijn gericht op de inwoners", val je binnen het toepassingsgebied.2 Doelgroep omvat gelokaliseerde marketing, staatspecifieke verzending of IP-gebaseerde personalisatie - gebruikelijk voor e-com-sites.
Snelle zelfbeoordelingschecklist:
- Volg je >35.000 CT-gebruikers via cookies, logs of formulieren? (Ja = voldoen.)
- Verwerk je gevoelige data (bijv. gezondheidsquizzes, locatie services)? (Ja = voldoen.)
- Verkoop je data (bijv. aan advertentienetwerken)? Zelfs één CT-record activeert het.2 4
- Bedien je minderjarigen (al dan niet via leeftijdsgrenzen)? Nieuwe verboden gelden universeel.5
Kleine sites met 40.000 gebruikers landelijk kunnen 5.000 CT-gebruikers verwerken - nu over de lijn. Non-profitorganisaties, B2B-tools en betalingsverwerkers zijn niet automatisch vrijgesteld; controleer drempels exclusief betalingen.5 6
Vergelijk met peers:
| Staats wet | Oude drempel | Nieuwe/laatste drempel | Gevoelige data activeert? |
|---|---|---|---|
| Connecticut (CDPA) | 100k consumenten | 35k consumenten (2026) | Ja, elke hoeveelheid 1 2 |
| Californië (CCPA/CPRA) | 100k consumenten of 50k apparaten | Geen verandering | Gedeeltelijk (uitschrijven voor gevoelige) |
| Colorado (CPA) | 100k consumenten | Geen verandering | Ja, maar hogere drempels |
| Virginia (VCDPA) | 100k consumenten | Geen verandering | Beperkt |
CT's daling is een van de steilste, rivaliserend met uitbreidingen in Montana of Oregon.3
Uitvoerbare stappen: voldoe voor 1 juli 2026
Raak niet in paniek - veel updates komen overeen met GDPR/CCPA-best practices. Begin nu voor een soepele rollout.
1. Controleer je datastromen (2-4 weken)
- Breng de verwerking van persoonlijke data in kaart: Wie, wat, waar? Gebruik tools zoals datastroomdiagrammen.
- Tel CT-consumenten: Controleer analyses (GA4, serverlogs) voor staatspecifieke verkeer. Exclusief pure betalingen.2
- Markeer gevoelige/minderjarigen data: Scan formulieren, trackers voor gezondheid, locatie of kindgerichte inhoud.7
Pro tip: Als je onder de 35k blijft maar data verkoopt, val je binnen - controleer ad pixels (bijv. Facebook Pixel verkoopt vaak via delen).4
2. Update beleid en berichten (1-2 weken)
- Herzie privacybeleid met SB 1295-openbaringen: Verkoopcategorieën, adverwerkingsgebruik, LLM-gebruik, updatadatum.4
- Voeg minderjarigenverboden en intrekking van toestemming toe voor veranderingen.
- Implementeer cookie banners die GPC/universele uitschakelmogelijkheden respecteren.3
Voorbeeld van openbarings taal:
"We verkopen persoonlijke data aan advertentienetwerken voor gerichte advertenties. Laatst bijgewerkt: [Datum]."
3. Implementeer consumentenrechten en -controles
- Bouw/versterk portals voor toegang, verwijdering, uitschrijven (profilering, verkoop, gerichte advertenties).
- Voor gevoelige data: Gebruik gedetailleerde toestemmingsschakelaars.
- Minderjarigen: Leeftijdsgrenzen + ontwerpcontroles om verslavende hooks te vermijden.5
Genummerd rolloutplan:
- Integreer uitschrijfknoppen sitebreed (bijv. "Verkoop/Target niet").
- Test profileringblokken voor geautomatiseerde beslissingen.
- Train teams over "evenredige" verzameling - trim onnodige trackers.1
4. Voer vereiste beoordelingen uit
- Data beschermingsbeoordelingen voor hoogrisicoverwerking (verkoop, profilering, gevoelige).5
- Impactbeoordelingen voor minderjarigen/profilering (vanaf aug 2026).2 5
- Documenteer alles - handhavers houden van audit trails.
5. Tech- en leverancierscontrole
- Scan derden: Verkoopt deze CT-data? Update DPAs.
- Cookie toestemming: Zorg ervoor dat deze nieuwe gevoelige categorieën dekt; tools zoals OneTrust helpen.
- Monitor voor neurale/genetische data (bijv. AI-fitnessapps).7
Budget 3-6 maanden als je van scratch begint. Multi-state operators: Harmoniseer met CCPA (vergelijkbare rechten) maar let op CT's lagere drempel.3
Potentiële valkuilen en handhavingsrisico's
Geen genezingsperiode betekent boetes vanaf de eerste dag - tot $7.500 per overtreding via CT AG.2 Vroege bewegers zoals Utah zagen snelle schikkingen; verwacht dat CT volgt.
Let op:
- Onder-telling van CT-gebruikers: IP-geofencing mist VPN's; gebruik probabilistische matching.
- Ad tech vallen: "Verkopen" omvat delen voor advertenties - veelvoorkomende Pixel-kwestie.4
- Globaal overlap: Als je GDPR-compliant bent (Art. 9 gevoelige verwerking), ben je al een stap voor; stem toestemmingen af.5
Belangrijkste conclusies
- Drempelcrash: 100k → 35k CT-consumenten; nul voor gevoelige/verkoop.1 2
- Minderjarigen op slot: Geen verkoop/advertenties naar onder-18s, nooit.3 4
- Act nu: Controleer data, update berichten, bouw uitschrijfknoppen - 1 juli komt eraan.
- Kleinere sites: Dit is je wake-up call. Naleving is beter dan boetes.
Met proactieve stappen kun je dit omzetten in een vertrouwensopbouwer. Blijf waakzaam - privacywetten evolueren snel.3