Handhaving van de California Consumer Privacy Act (CCPA) begon op 1 juli 2020. De CCPA geeft consumenten die in Californië wonen aanzienlijk meer controle over hoe bedrijven hun persoonlijke informatie gebruiken. Als gevolg hiervan moesten alle bedrijven hun gegevens, systemen en processen herzien om er zeker van te zijn dat ze volledig aan de nieuwe wetten voldeden.
Pas op vrijdag 14 augustus 2020 maakte de procureur-generaal van de staat de regels bekend om uitvoeren de CCPA zijn goedgekeurd en met onmiddellijke ingang van kracht. Het naleven van de CCPA werd echter verwarrender voor bedrijven, omdat in sommige gevallen de handhavingsvoorschriften ging verder dan wat het CCPA-statuut vereist.
Het verhaal was echter nog niet afgelopen. In feite waren compliancekwesties nog maar net begonnen.
In oktober 2020 tekende de Californische gouverneur Gavin Newsom twee amendementen aan de CCPA in de wet. AB 1281 verlengde gedeeltelijke vrijstellingen voor werknemersgegevens en business-to-business (B2B) gegevens, die eerder op 1 januari 2021 zouden aflopen. AB 713 wijzigde de vrijstellingen van de CCPA met betrekking tot medische informatie en gezondheidsprivacy.
Maar dat was niet alles. Snel vooruit naar november 2020, en het werd nog verwarrender.
Op 3 november 2020 keurden de Californische kiezers stembiljet 24 goed, de California Privacy Rights Act van 2020 (CPRA), of wat sommige mensen CCPA 2.0 noemen. CPRA gaat pas in op 1 januari 2023, maar brengt wel even met zich mee meer veranderingen waaraan bedrijven moeten voldoen, waaronder
- Nieuwe definitie van een gedekt bedrijf
- Aanvullende taal over het delen van gegevens
- Aanvullende consumentenrechten
- Nieuwe regels voor een categorie "gevoelige persoonlijke informatie"
- Nieuwe definitie van "toestemming"
- Wijzigingen in de definitie van "dienstverlener"
- Uitgebreid privaatrecht bij datalekken
- Nieuwe openbaarmakingsvereisten
- Verwijdering van de kuurperiode van 30 dagen
- Verlengde vrijstellingen voor werknemers- en B2B-gegevens
- Oprichting van de California Privacy Protection Agency
- En nog veel meer
Elk bedrijf, inclusief cannabisbedrijven, moet de huidige vereisten onder de CCPA en wat er in de CPRA komt, begrijpen. Dit is het moment om uw beleid en procedures te herzien en te herzien.
Voor sommige bedrijven is naleving van deze wetten een zeer grote taak, maar de risico's van niet-naleving - in termen van rechtszaken en geldboetes - zijn gewoon te groot om te negeren. Hieronder volgen 10 eerste acties die cannabisbedrijven kunnen ondernemen om te voldoen aan de CCPA.
1. Definieer een CCPA-nalevingsbudget
Het CCPA-nalevingsbudget van uw cannabisbedrijf is afhankelijk van een aantal factoren. Belangrijk is dat u moet overwegen om nieuwe werknemers aan te nemen om de naleving vandaag en op permanente basis te beheren. Daarnaast moet u werknemers trainen om nieuwe workflows te volgen in een poging om te voldoen aan de vereisten van de CCPA.
Hoewel het grootste deel van uw budget op korte termijn zal worden gebruikt om uw bedrijf in overeenstemming te brengen met de nieuwe regelgeving, moet u ook investeren in voortdurende nalevingscontrole. De CCPA zal waarschijnlijk evolueren en andere staten zijn al bezig met het opvoeren van hun inspanningen om strengere privacywetten goed te keuren.
2. Huur sleutelmedewerkers in
Als uw bedrijf nog geen compliance-expert in dienst heeft, is dit het moment om er een aan te nemen. Bovendien heeft u ervaren beveiligingspersoneel nodig om de nodige wijzigingen door te voeren aan de website, systemen, enzovoort van uw bedrijf.
De sleutel is om één persoon te hebben die verantwoordelijk wordt gehouden voor het leiden van compliance-inspanningen in uw bedrijf, inclusief CCPA-compliance. Doorgaans bevindt deze persoon zich op uitvoerend niveau en heeft hij mogelijk een manager en andere professionals in dienst (of beschikbaar als adviseurs) om hen bij te staan. Afhankelijk van de grootte van uw bedrijf kan voor naleving een heel team van mensen nodig zijn.
3. Ontwikkel processen voor het in kaart brengen en bewaren van gegevens
Gegevensbeheer is een belangrijk onderdeel van de CCPA-naleving van uw cannabisbedrijf. U moet processen hebben om vast te stellen hoe persoonlijke informatie wordt verzameld, hoe deze wordt gecategoriseerd, hoe deze wordt opgeslagen, waar deze wordt opgeslagen, hoe deze wordt beschermd en hoe uw bedrijf het illegaal delen, verkopen of verspreiden van die gegevens voorkomt.
De CCPA bevat een bepaling die zegt dat bedrijven in staat moeten zijn om consumenten die om hun persoonlijke informatie vragen, alle verzamelde gegevens te verstrekken binnen de wettelijk toegestane termijn. Als uw bedrijf geen proces heeft om persoonlijke informatie te identificeren en toe te wijzen aan zijn bronnen, kan het zeer tijdrovend, zo niet onmogelijk zijn om op deze verzoeken te reageren. Als uw processen ontoereikend zijn, kan uw cannabisbedrijf te maken krijgen met rechtszaken en boetes.
4. Ontwikkel een antwoordsysteem voor consumentenverzoeken
De CCPA geeft bedrijven een bepaalde periode om te reageren op verzoeken van consumenten om de persoonlijke informatie die over hen is verzameld. Als uw bedrijf geen responssysteem heeft en de gevraagde informatie niet kan produceren zoals wettelijk is toegestaan, kunt u mogelijk niet adequaat reageren binnen dat tijdsbestek. Nogmaals, uw bedrijf kan daardoor te maken krijgen met kostbare rechtszaken en boetes.
Het is van essentieel belang dat uw bedrijf een systeem voor het beantwoorden van verzoeken van consumenten ontwikkelt, en dat systeem moet zoveel mogelijk worden geautomatiseerd. Stel je voor dat je binnen een maand 10 of 100 verzoeken krijgt. Als systemen niet geautomatiseerd zijn, is uw bedrijf mogelijk niet in staat om op tijd op al deze verzoeken te reageren en kan het in juridische en financiële problemen komen.
5. Creëer een opt-outsysteem voor consumenten
Onder de CCPA hebben consumenten in Californië het recht om zich af te melden voor trackers en advertentietechnologieën van derden. Daarom moet u alle technologie die op uw website, mobiele applicaties, enzovoort wordt gebruikt, volledig begrijpen.
U moet ook een opt-outsysteem voor consumenten opzetten, zodat consumenten zich op elk moment kunnen afmelden voor tracking. Net als uw reactiesysteem voor consumentenverzoeken (zie #4 hierboven), moet uw opt-outsysteem voor consumenten zoveel mogelijk worden geautomatiseerd. Hoewel dit vandaag hogere kosten voor ontwikkeling en implementatie met zich meebrengt, bespaart u later nog meer tijd en geld als u het systeem nu automatiseert.
6. Werk het privacybeleid bij
Het privacybeleid van uw cannabisbedrijf moet worden bijgewerkt om te voldoen aan de CCPA. Houd er rekening mee dat het bijwerken van het privacybeleid verwijst naar het bijwerken van zowel het interne als het externe privacybeleid en de kennisgevingen.
Met andere woorden, deze wettelijke vereiste is niet alleen van toepassing op het privacybeleid dat op uw website wordt gepubliceerd. Het verwijst ook naar privacygerelateerd beleid, openbaarmakingen en kennisgevingen die in uw hele bedrijf worden gebruikt.
7. Ontwikkel werkstromen voor wettelijke en regelgevende reacties
Hoe reageert uw bedrijf als een toezichthouder informatie vraagt over uw CCPA-nalevingsprocessen? Wat als een consument een civiele procedure indient tegen uw cannabisbedrijf met betrekking tot zijn persoonlijke informatie onder de CCPA? Beide kunnen ooit gebeuren, dus je hebt workflows nodig om het responsproces te stroomlijnen, inclusief het zoveel mogelijk automatiseren van systemen.
De nalevingsleider van uw cannabisbedrijf (zie #2 hierboven) moet toezicht houden op het reactieproces, maar alle werknemers die een rol spelen bij het verzamelen en verstrekken van de gevraagde gegevens, moeten begrijpen wat er van hen wordt verwacht. Deze workflows moeten specifieke verantwoordelijkheden en tijdlijnen bevatten.
8. Definieer beleid en train werknemers
Elke medewerker van een cannabisbedrijf moet worden opgeleid in de CCPA en het belang ervan begrijpen. Ze moeten hun verantwoordelijkheden volledig begrijpen en getraind zijn in de workflows die ze moeten uitvoeren als reactie op informatieverzoeken van consumenten, regelgevers en rechtszaken.
CCPA- en privacy-compliance-training is niet iets eenmaligs. Naarmate wetten evolueren en meer staten nieuwe privacyregelgeving uitvaardigen, zal er voortdurend bijgewerkte training nodig zijn om ervoor te zorgen dat uw cannabisbedrijf te allen tijde volledig compliant blijft.
9. Controleer gegevens van derden en serviceproviders op naleving
Als uw bedrijf afhankelijk is van serviceproviders of derden voor het leveren, opslaan, beheren of anderszins verzamelen, delen, verkopen of distribueren van gegevens met of namens uw bedrijf, moet u hun CCPA-naleving controleren. Bovendien moeten contracten worden bijgewerkt om veranderingen aan te pakken die nodig zijn op basis van de CCPA-regelgeving.
Het is absoluut noodzakelijk dat uw cannabisbedrijf voortdurend serviceproviders en derde partijen controleert om ervoor te zorgen dat ze blijven voldoen aan de CCPA en alle andere federale en nationale privacywetten. Dit is een kritieke stap die het risico van uw bedrijf op de lange termijn zal verminderen.
10. Houd de privacywetten van Californië en andere staten in de gaten
Niet alleen zal de CCPA blijven evolueren, maar ook andere staten passen privacywetten aan om consumenten controle te geven over hoe hun persoonlijke informatie door bedrijven wordt gebruikt. Nogmaals, je hebt de juiste nalevingsleider en het juiste team nodig om voortdurend toezicht te houden op deze wetten, zodat je cannabisbedrijf naar behoefte actie kan ondernemen.
Belangrijkste afhaalrestaurants over CCPA-naleving
Cannabisbedrijven moeten nu actie ondernemen om ervoor te zorgen dat ze volledig voldoen aan de CCPA en CPRA om de risico's die gepaard gaan met niet-naleving in de toekomst te verminderen. Deze 10 stappen zouden je op weg moeten helpen. De sleutel is om nu te beginnen met werken aan de nalevingsstrategie en implementatie van uw bedrijf als u dit nog niet heeft gedaan omdat de handhaving van de CCPA al is begonnen.
De handhaving van de CPRA begint pas op 1 januari 2023, maar het is belangrijk om te begrijpen dat de CPRA van invloed is op persoonlijke informatie die op of na 1 januari 2022 is verzameld. Met andere woorden, u hebt geen twee jaar om op te voeren. Je hebt eigenlijk maar één jaar om de juiste systemen in te voeren om te voldoen aan de CPRA.
Voor bedrijven die afhankelijk zijn van de Cannabiz Media-licentiedatabase om leads te genereren en te groeien, kunnen ze er zeker van zijn dat het al volledig voldoet aan de CCPA. U kunt de link volgen voor meer informatie over hoe u ervoor kunt zorgen dat uw e-mailmarketing en CRM voldoen aan CCPA.
Plan een demo van de Cannabiz Media License Database om te zien hoe het uw bedrijf kan helpen groeien.
Oorspronkelijk gepubliceerd op 3-24-20. Bijgewerkt 12-4-20.
Bron: https://www.cannabiz.media/blog/ccpa-compliance-what-cannabis-businesses-need-to-do-now- 100
- 2020
- 2021
- Actie
- Advertising
- Alles
- aangekondigd
- toepassingen
- Procureur-generaal
- Augustus
- geautomatiseerde
- Zakelijk
- bedrijfsdeskundigen
- Business Grow
- bedrijf tot bedrijf
- ondernemingen
- Californië
- cannabis
- CCPA
- Het verzamelen van
- komst
- Bedrijven
- afstand
- nakoming
- consument
- privacy van de consument
- Consumenten
- voortzetten
- contracten
- Rechtbank
- CRM
- genezen
- Actueel
- gegevens
- Database
- ontwikkelen
- Ontwikkeling
- Informatieverschaffing
- effectief
- e-mailmarketing
- medewerkers
- uitvoerend
- Gezicht
- naar
- SNELLE
- Federaal
- volgen
- Naar voren
- vrijdag
- vol
- toekomst
- Algemeen
- bestuur
- Gouverneur
- Groeien
- Gezondheid
- huren
- Verhuring
- Hoe
- HTTPS
- identificeren
- Onwettig
- Inclusief
- informatie
- problemen
- IT
- juli-
- sleutel
- taal
- Wet
- Wetten
- rechtszaken
- leidend
- LEARN
- Juridisch
- Niveau
- Vergunning
- LINK
- Lijst
- kaart
- Marketing
- Media
- medisch
- Mobile
- Mobiele applicaties
- geld
- Grensverkeer
- bestellen
- Overige
- Mensen
- beleidsmaatregelen door te lezen.
- beleidsmaatregelen
- privacy
- privacywetten
- Privacybeleid
- privaat
- professionals
- bescherming
- Ramp
- verminderen
- reglement
- Regelgevers
- Voorwaarden
- antwoord
- beoordelen
- Risico
- reglement
- sale
- veiligheid
- verkopen
- reeks
- Delen
- Maat
- So
- begin
- gestart
- Land
- Staten
- shop
- Strategie
- system
- Systems
- Technologies
- Technologie
- De toekomst
- derden
- niet de tijd of
- Tracking
- Trainingen
- bijwerken
- Website
- Wat is
- WIE
- binnen
- woorden
- jaar
- jaar
