GDPR vs CCPA: de belangrijkste verschillen uitgelegd
De GDPR en CCPA zijn de twee meest invloedrijke privacywetten ter wereld. De GDPR is van toepassing in de hele Europese Unie met strikte opt-in toestemmingsvereisten, terwijl de CCPA consumenten in Californië het recht geeft om zich af te melden voor de verkoop van hun persoonlijke gegevens. Beide vereisen transparantie, maar verschillen aanzienlijk in reikwijdte, handhaving en boetes.
| Kenmerk | GDPR | CCPA |
|---|---|---|
| Geografisch bereik | Europese Unie en EER-lidstaten | Californië, Verenigde Staten |
| Op wie van toepassing | Elke organisatie die gegevens van EU-ingezetenen verwerkt, ongeacht locatie | Bedrijven met winstoogmerk die voldoen aan drempels voor omzet, gegevensvolume of gegevensverkoop |
| Toestemmingsvereisten | Opt-in: voorafgaande bevestigende toestemming vereist vóór verwerking | Opt-out: gegevensverzameling standaard toegestaan met recht om af te melden voor verkoop |
| Cookie- en trackingregels | Niet-essentiële cookies vereisen uitdrukkelijke voorafgaande toestemming via banner | Geen specifieke cookiewet, maar tracking gekoppeld aan verkoop/delen activeert opt-out rechten |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Inzage, verwijdering, afmelding voor verkoop, non-discriminatie |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Tot $7.500 per opzettelijke overtreding, $2.500 per onopzettelijke overtreding |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten (bijv. CNIL, ICO, BfDI) | Procureur-generaal van Californië en California Privacy Protection Agency |
Belangrijkste verschillen
Het meest fundamentele verschil is het toestemmingsmodel. De GDPR vereist opt-in toestemming voordat persoonlijke gegevens worden verzameld of verwerkt, wat betekent dat bedrijven een bevestigende instemming moeten verkrijgen voordat ze niet-essentiële cookies plaatsen of gebruikers volgen. De CCPA gebruikt een opt-out model, waarbij bedrijven standaard gegevens mogen verzamelen zolang ze een duidelijke link "Verkoop mijn persoonlijke gegevens niet" bieden.
Drempels voor de reikwijdte verschillen ook aanzienlijk. De GDPR is van toepassing op elke organisatie die gegevens van EU-ingezetenen verwerkt, ongeacht de bedrijfsgrootte of omzet. De CCPA is alleen van toepassing op bedrijven met winstoogmerk die aan een van drie drempels voldoen: jaarlijkse bruto-omzet van meer dan $25 miljoen, het kopen of verkopen van persoonlijke gegevens van 100.000 of meer consumenten, of het behalen van 50% of meer van de jaarlijkse omzet uit de verkoop van persoonlijke gegevens.
Boetes weerspiegelen deze verschillende benaderingen. GDPR-boetes kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet of EUR 20 miljoen, afhankelijk van welk bedrag hoger is. CCPA-boetes zijn beperkt tot $7.500 per opzettelijke overtreding of $2.500 per onopzettelijke overtreding, hoewel de procureur-generaal van Californië en consumenten rechtszaken kunnen aanspannen.
Hoe Pryvii helpt
Pryvii scant uw website tegelijkertijd op GDPR- en CCPA-naleving. Het controleert op correcte toestemmingsbanners, cookiecategorisatie, opt-out mechanismen en privacybeleidsvermeldingen die door elke regelgeving vereist zijn. Krijg een uniform rapport dat precies laat zien waar u staat met beide wetten.
Veelgestelde vragen
Moet ik aan zowel de GDPR als de CCPA voldoen?
Als uw website toegankelijk is voor zowel EU- als Californische ingezetenen en u aan de respectieve drempels voldoet, ja. Veel bedrijven implementeren GDPR-niveau naleving wereldwijd, aangezien dit de strengere norm is, wat doorgaans ook aan de CCPA-vereisten voldoet.
Kan ik dezelfde toestemmingsbanner voor beide regelgevingen gebruiken?
U kunt één banner gebruiken, maar deze moet beide modellen afhandelen. Voor EU-bezoekers moet deze niet-essentiële cookies blokkeren totdat toestemming is gegeven. Voor Californische bezoekers moet deze een link 'Verkoop mijn persoonlijke gegevens niet' bevatten en opt-out verzoeken respecteren.
Welke regelgeving heeft strengere boetes?
GDPR-boetes zijn over het algemeen strenger, met boetes tot 4% van de wereldwijde jaaromzet. CCPA-boetes zijn per overtreding en kunnen oplopen, maar de individuele bedragen zijn lager. De CCPA staat echter ook een privaat vorderingsrecht toe bij datalekken, wat kan leiden tot aanzienlijke blootstelling aan collectieve rechtszaken.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.