Pryvii
Alle artikelen
Case Studies
26 februari 2026

CA's Todd Snyder CCPA-boete: valkuilen bij het uitbesteden van opt-outs aan derden

Californië's schikking van $345K met Todd Snyder wegens het vertragen van opt-outs via niet-gemonitorde tools van derden waarschuwt websites om privacy-leveranciers te screenen en het verwerken van consumentenrechten onder CCPA te stroomlijnen.

Delen:

De $345K-waarschuwing: hoe de CCPA-misstappen van Todd Snyder uw privacystrategie moeten veranderen

In mei 2025 heeft de California Privacy Protection Agency (CPPA) een boete van $345.178 opgelegd aan Todd Snyder, Inc., een nationale kledingretailer, wegens systematische fouten bij het behandelen van opt-out-verzoeken van consumenten onder de California Consumer Privacy Act (CCPA).1 2 Op het eerste gezicht lijkt dit een andere privacy-handhavingsactie. Maar als je dieper graaft, vind je een waarschuwend verhaal over het beheer van leveranciers, technische toezicht en de niet-delegeerbare verantwoordelijkheid voor naleving.

De zaak onthult een kritieke kwetsbaarheid die e-commerce-sites over het hele land treft: de veronderstelling dat het uitbesteden van privacy-infrastructuur je vrijwaart van aansprakelijkheid. Dat is niet het geval. De beslissing van de CPPA stuurt een ondubbelzinnige boodschap: de verantwoordelijkheid ligt bij de onderneming die de privacy-tool gebruikt, niet bij de leverancier die deze levert.

Wat ging mis: de technische en procedurele fouten

Todd Snyders overtredingen draaiden om drie met elkaar verbonden problemen die consumenten verhinderden hun CCPA-rechten uit te oefenen.

De verdwijnende toestemmingsbanner

Ten eerste was de toestemmingsbanner van het bedrijf — de interface waar consumenten konden opteren om de verkoop of het delen van hun persoonsgegevens stop te zetten — onjuist geconfigureerd en zou onmiddellijk verdwijnen na het verschijnen.3 Gedurende 40 dagen maakte deze technische storing het functioneel onmogelijk voor gebruikers om opt-out-verzoeken in te dienen via het primaire mechanisme van de website.1 4 Consumenten zouden klikken om hun privacyvoorkeuren in te stellen, de banner zien flitsen en vervolgens zien verdwijnen voordat ze er interactie mee konden hebben.

Overmatige vereisten voor identiteitsverificatie

Ten tweede eiste Todd Snyder van consumenten die wilden opteren om hun identiteit te verifiëren door hun naam, e-mailadres, land van verblijfplaats en een foto van zichzelf met officiële overheidsidentificatiebewijzen zoals een rijbewijs te verstrekken.3 Dit creëerde een meerlagige barrière die ver buiten ging wat de CCPA toestaat.

Volgens de Californische wetgeving vereisen opt-out-verzoeken geen identiteitsverificatie, tenzij dit absoluut noodzakelijk is om fraude of misbruik te voorkomen.1 5 Daarentegen eiste Todd Snyder minder identificatie-informatie wanneer consumenten een aankoop deden — een duidelijke inconsistentie die de CPPA als bijzonder problematisch aanmerkte.3 De vereiste om foto's van overheids-ID's te uploaden introduceerde ook onnodige zorgen over gegevensminimalisatie, aangezien consumenten redelijkerwijs bang kunnen zijn voor identiteitsdiefstal wanneer ze gevoelige persoonsgegevens uploaden.3

Mismanagement van externe leveranciers

Ten derde besteedde Todd Snyder het beheer van zijn website en privacy-infrastructuur uit aan een derde partij zonder adequate controle of validatie.3 1 Het onderzoek van de CPPA onthulde dat het bedrijf "vertrouwde op privacybeheertools van derden zonder hun beperkingen te kennen of hun werking te valideren."1 Met andere woorden, Todd Snyder implementeerde een toestemmingsbeheerplatform maar controleerde nooit of het daadwerkelijk werkte.

Michael Macko, hoofd van de handhavingsafdeling van de CPPA, verwoordde deze verantwoordelijkheidskloof als volgt: "Ondernemingen moeten hun privacybeheeroplossingen zorgvuldig onderzoeken om ervoor te zorgen dat ze voldoen aan de wet en zoals bedoeld werken, omdat de verantwoordelijkheid bij de ondernemingen ligt die ze gebruiken."5 Het gebruik van een tool van een derde partij is geen vrijbrief voor naleving; het is een nalevingsverantwoordelijkheid die actief beheer vereist.

Het regelgevingskader: wat CCPA eigenlijk vereist

Om te begrijpen waarom deze fouten ertoe doen, is het de moeite waard om de relevante CCPA-verplichtingen te bekijken.

Het recht om uit te stappen (Cal. Civ. Code § 1798.120)

Californische consumenten hebben het recht om een onderneming te instrueren om de verkoop of het delen van hun persoonsgegevens stop te zetten. Ondernemingen moeten aan deze verzoeken voldoen en kunnen consumenten niet discrimineren omdat ze van dit recht gebruikmaken. De wet stelt uitdrukkelijk dat ondernemingen consumenten niet kunnen verplichten om een account aan te maken, een overheids-ID te verstrekken of hun identiteit te verifiëren als voorwaarde om een opt-out-verzoek in te dienen — tenzij verificatie noodzakelijk is om fraude te voorkomen.

Gegevensminimalisatie en verificatiestandaarden (Cal. Code Regs. § 999.308)

De uitvoeringsregels van de CPPA verduidelijken dat wanneer een onderneming verificatie vereist, deze de minst ingrijpende methode moet gebruiken die redelijkerwijs beschikbaar is. De regels benadrukken ook dat ondernemingen niet meer informatie mogen vereisen om een privacyverzoek te verwerken dan ze vereisen voor een commerciële transactie.

Leveranciersaansprakelijkheid

Hoewel de CCPA niet expliciet melding maakt van "externe leveranciers", maken de wet en de regels duidelijk dat ondernemingen verantwoordelijk zijn voor het waarborgen dat hun dienstverleners voldoen aan de wet. De CPPA heeft handhavingsadviezen uitgegeven waarin wordt gewaarschuwd tegen buitensporige verificatie en waarin wordt geëist dat ondernemingen hun privacy-infrastructuur actief controleren.

Belangrijkste conclusies: wat dit betekent voor uw onderneming

1. Controleer uw privacyleverancier vóór implementatie

Ga er niet van uit dat uw toestemmingsbeheerplatform (CMP) of privacybeheertool correct werkt. Controleer vóór de inzet:

  • Vraag een technische audit of beveiligingsbeoordeling aan bij de leverancier
  • Test het opt-out-mechanisme zelf op verschillende apparaten en browsers
  • Controleer of de tool de opt-out-voorkeurssignalen respecteert, inclusief de Global Privacy Control (GPC)-standaard6
  • Bevestig dat de gegevensverzamelpraktijken van de tool in overeenstemming zijn met de CCPA-vereisten
  • Stel een serviceovereenkomst op die nalevingsverplichtingen en vrijwaringsclausules bevat

2. Implementeer voortdurende monitoring en tests

De CPPA benadrukte dat Todd Snyder "zou hebben geweten dat consumenten hun CCPA-rechten niet konden uitoefenen als het bedrijf zijn website had gemonitord."1 Dit betekent:

  • Voer elk kwartaal of halfjaar tests uit van uw opt-out-mechanismen
  • Monitor de indiening en verwerkingstijd van privacyverzoeken door gebruikers
  • Stel waarschuwingen in voor mislukte opt-out-indieningen of ongebruikelijke patronen
  • Documenteer uw testprocedures en resultaten voor regelgevingsdoeleinden

3. Vereenvoudig uw verificatieproces

Als u identiteitsverificatie moet uitvoeren voordat u opt-out-verzoeken verwerkt (wat zeldzaam zou moeten zijn), gebruik dan de minst ingrijpende methode die beschikbaar is:

  • E-mailverificatie is over het algemeen voldoende
  • Telefoonverificatie is acceptabel maar omslachtiger
  • Het vereisen van foto's van overheids-ID's is buitensporig en creëert onnodige blootstelling van gegevens
  • Eis nooit meer informatie om uit te stappen dan u vereist om een verkoop te voltooien

4. Bied CCPA-nalevingsopleiding aan

De schikking vereist dat Todd Snyder CCPA-nalevingsopleiding aanbiedt aan zijn werknemers.2 Dit is niet alleen een straf — het is een beste praktijk. Zorg ervoor dat uw juridische, product-, engineering- en klantenserviceteams begrijpen:

  • Wat een "verkoop" of "delen" van persoonsgegevens onder CCPA inhoudt
  • Hoe opt-out-verzoeken correct te verwerken
  • Verificatiestandaarden en -beperkingen
  • De verplichtingen van het bedrijf om externe leveranciers te controleren

5. Documenteer uw nalevingsprogramma

De CPPA en andere toezichthouders verwachten dat ondernemingen schriftelijke beleidslijnen en procedures bijhouden. Uw documentatie moet betrekking hebben op:

  • Procedures voor het behandelen van privacyverzoeken (ontvangst, verificatie, verwerking, bevestiging)
  • Criteria voor de selectie en monitoring van leveranciers
  • Technische testprotocollen
  • Opleidingsgegevens voor werknemers
  • Procedures voor gegevensretentie en -verwijdering

De bredere context: handhavingstrends van de CPPA

De boete van Todd Snyder is de tweede handhavingsactie van de CPPA onder de CCPA en weerspiegelt de opkomende handhavingsdoelstellingen van het agentschap.7 Eerder in 2025 schikte de CPPA ook met Honda wegens soortgelijke fouten bij opt-out en leveranciersbeheer. Deze zaken suggereren dat de CPPA zich richt op:

  • Toezicht op en aansprakelijkheid van leveranciers — Ondernemingen kunnen zich niet verschuilen achter tools van derden
  • Oververificatie — Buitensporige identiteitsverificatiebarrières schenden CCPA-beginselen
  • Gegevensminimalisatie — Het verzamelen van meer informatie dan nodig is, zelfs voor nalevingsdoeleinden, is problematisch
  • Technische functionaliteit — Privacytools moeten daadwerkelijk werken; kapotte implementaties zijn overtredingen

Deze handhavingstraject is van belang omdat het aangeeft waar toezichthouders in 2026 en daarna hun middelen op zullen richten. Als uw onderneming afhankelijk is van privacy-infrastructuur van derden, is het nu tijd om uw praktijken voor leveranciersbeheer te controleren en te versterken.

Conclusie: naleving is niet delegeerbaar

De zaak-Todd Snyder biedt een duidelijk les: het uitbesteden van uw privacy-infrastructuur betekent niet dat u uw nalevingsverantwoordelijkheid uitbesteedt. Of u nu een toestemmingsbeheerplatform, een privacyverzoekportaal of een andere tool van een derde partij gebruikt, u blijft verantwoordelijk voor het waarborgen dat deze voldoet aan de CCPA en daadwerkelijk werkt zoals bedoeld.

Het bedrijf betaalde $345.178 aan boetes, ging akkoord met het herzien van zijn privacy-praktijken en verplichtte zich tot voortdurende nalevingsmonitoring.1 2 Maar de werkelijke kosten gaan verder dan de schikking: reputatieschade, operationele ontwrichting en de noodzaak om consumentenvertrouwen te herbouwen.

Het goede nieuws is dat deze fouten vermijdbaar waren. Door robuuste criteria voor leveranciersselectie te implementeren, regelmatige technische tests uit te voeren, verificatievereisten te vereenvoudigen en uw team op te leiden over CCPA-verplichtingen, kunt u de valkuil van Todd Snyder vermijden. Privacy-naleving vereist actief beheer — niet alleen bij implementatie, maar continu gedurende uw bedrijfsvoering.

De CPPA kijkt toe, en de volgende handhavingsactie kan tegen uw concurrent of uw onderneming zijn. De tijd om uw privacy-praktijken te versterken is nu.

Sources

Footnotes

  1. natlawreview.com

  2. cppa.ca.gov

  3. callaborlaw.com

  4. governmentcontractslaw.com

  5. transcend.io

  6. truevault.com

  7. venable.com

Delen:

Gerelateerde artikelen

Case Studies

Waarschuwingsbrieven van de FTC aan 13 data brokers: naleving van PADFA nu

Op 9 februari 2026 heeft de FTC waarschuwingsbrieven gestuurd naar 13 data brokers wegens overtredingen van PADFA, waarbij de verkoop van gevoelige gegevens zoals geolocatie en gezondheidsinformatie aan buitenlandse tegenstanders zoals China en Rusland verboden is. Website-eigenaren leren hoe ze hun externe leveranciers kunnen controleren en boetes van $53.088 per overtreding kunnen vermijden.

Blijf compliant met Pryvii

Scan uw website op privacycompliance-problemen volgens 17 regelgevingen waaronder AVG, CCPA en UK GDPR.

CA's Todd Snyder CCPA-boete: valkuilen bij het uitbesteden van opt-outs aan derden — Pryvii Blog | Pryvii