CTDPA: Gids voor Vereisten + Compliance van Derde-Partij Scripts

---

In deze blog:

• Geldt de CTDPA voor mijn organisatie?
• Waar CTDPA-overtredingen ontstaan
• Hoe u derde-partij scripts CTDPA-compliant maakt
• CTDPA-tijdlijnen

---

Er is een groeiende kloof tussen wat bedrijven denken te doen om gebruikersgegevens te beschermen en wat privacywetten zoals de CTDPA (Connecticut Data Privacy Act) daadwerkelijk verwachten. De browser is de plek waar steeds meer persoonsgegevens worden verzameld, maar ook de plek waar vrijwel niemand op let. Precies die kloof heeft de aandacht van toezichthouders.

Zonder monitoring kunnen verkeerd geconfigureerde of kwaadaardige scripts toegang krijgen tot gevoelige velden, toestemmingskeuzes overschrijven of gegevens doorsturen zonder dat dit wordt vermeld. Als u gevraagd wordt: "Gedragen derde-partij scripts op uw site zich zoals uw privacyverklaring beweert?" kunnen de meeste organisaties geen onderbouwd antwoord geven.

Dit artikel beschrijft de vereisten van de CTDPA en laat zien hoe u de browserlaag compliant maakt voordat er een overtreding plaatsvindt.

Geldt de CTDPA voor mijn organisatie?

De CTDPA volgt het toepasselijkheidsmodel van de "Virginia/Colorado-stijl". De wet is van toepassing op basis van het volume verwerkte persoonsgegevens. Hieronder staan de 2 belangrijkste criteria die u als eenvoudige checklist kunt gebruiken. AL deze punten moeten van toepassing zijn op uw bedrijf om onder de CTDPA te vallen.

1. CTDPA-criterium: U doet zaken in Connecticut OF richt zich op CT-inwoners

Dit geldt voor bedrijven die:

• Verkopen aan consumenten in Connecticut, marketing of advertenties richten op CT-inwoners, een website of app exploiteren die CT-klanten bedient, of gebruikers, abonnees of klanten in CT hebben.

Dit geldt ook als het bedrijf niet fysiek gevestigd is in Connecticut. "Richten op" vereist geen bewuste outreach. Als inwoners van Connecticut uw site kunnen bezoeken, uw advertenties ontvangen of zich kunnen aanmelden, kunt u alsnog worden beschouwd als een bedrijf dat actief is in de staat.

2. CTDPA-criterium: U verwerkt een significant volume aan gegevens van Connecticut-inwoners

De CTDPA is van toepassing als u in het voorgaande kalenderjaar het volgende heeft verwerkt:

2 A) Persoonsgegevens van 100.000+ inwoners van Connecticut

OF

2 B) Persoonsgegevens van 25.000+ inwoners EN u haalt 25%+ van uw omzet uit de verkoop van persoonsgegevens

Laten we die drempels verder toelichten:

2 A) (Uitgebreid) Persoonsgegevens van 100.000+ inwoners van Connecticut

Persoonsgegevens = alle gegevens die gekoppeld zijn of gekoppeld kunnen worden aan een persoon (inclusief IP-adressen). Dit is relevant omdat een bezoeker geen formulier hoeft in te vullen of expliciet informatie hoeft te "verstrekken" om onder de CTDPA te vallen. De meeste analyse-, advertentie- en trackingtools verzamelen automatisch op IP gebaseerde identificatoren.

Deze drempel sluit uit:

• Persoonsgegevens die uitsluitend worden verwerkt om een betalingstransactie af te ronden

2 B) (Uitgebreid): Persoonsgegevens van 25.000+ inwoners EN u haalt 25%+ van uw omzet uit de verkoop van persoonsgegevens

Dit treft voornamelijk:

• Datamakelaars, leadverkopers en consumenten-apps of -websites die persoonsgegevens te gelde maken

Wie is uitgesloten van de CTDPA-vereisten:

• Overheidsinstanties, non-profitorganisaties (vrijgesteld), instellingen voor hoger onderwijs, gegevens die al worden gereguleerd door FCRA, FERPA of vergelijkbare kaders

Let op: zelfs vrijgestelde organisaties moeten "redelijke beveiligings"-maatregelen treffen. Blootstelling van gegevens aan de client-side kan nog steeds aansprakelijkheid opleveren onder andere verplichtingen zoals PCI DSS.

Wat is de Connecticut Data Privacy Act?

De Connecticut Data Privacy Act (CTDPA) is een staatsprivacywet die is aangenomen om inwoners meer controle te geven over hoe bedrijven hun persoonsgegevens verzamelen, gebruiken en delen. Net als de GDPR en de CCPA heeft de CTDPA als doel consumenten zinvolle controle te geven over hun persoonsgegevens. De wet legt verplichtingen op aan organisaties die persoonsgegevens verzamelen, gebruiken of delen.

Het privacyrisico aan de client-side

Moderne privacywetten zoals de CTDPA zijn van toepassing op de volledige levenscyclus van gegevens, maar het hoogste risicogebied is de website zelf. Dit is de laag waar gebruikers voor het eerst met uw bedrijf in contact komen en waar persoonsgegevens voor het eerst worden verzameld — via formulierinvoer of automatisch door derde-partij scripts waarover u geen volledige controle heeft.

Helaas is de client-side (de code die uw bedrijf aan gebruikers levert wanneer zij uw website bezoeken) de minst beveiligde laag in de verdedigingsstack van de meeste bedrijven. Servers zijn goed beveiligd, medewerkers zijn getraind in gegevensbeheerprocessen, maar de code die in de browser van de gebruiker wordt uitgevoerd, wordt niet gemonitord.

Derde-partij scripts vormen een privacycompliancerisico:

Website-elementen werken met gebruikersgegevens, en de meeste teams hebben geen grip op:

• Marketingtrackingscripts die vóór toestemming worden geactiveerd
• Pixels die IP-adressen en identificatoren verzamelen zonder opt-out
• Chatwidgets die documenten en accountgegevens verwerken
• A/B-testtools die sessiemetadata verzamelen
• Marketingtools die geolocatie afleiden uit apparaatsignalen

Client-side aanvallen vormen een risico op privacydatalekken:

Niet alle datalekken zijn het gevolg van iemand die inbreekt in de kluis. Steeds vaker vindt de inbreuk plaats in de browser: aanvallers injecteren een paar regels kwaadaardige code in een vertrouwd script op uw site.

Plotseling worden inloggegevens, ID-scans en creditcardnummers rechtstreeks van pagina's zoals checkouts, onboardingformulieren, chatbots of KYC-processen gestolen.

Een bekend voorbeeld van deze aanvalsstijl is het British Airways-datalek van 2018, dat leidde tot een boete van £20 miljoen. We behandelen dat incident uitgebreid, samen met de meest recente voorbeelden, in onze diepgaande analyse van de grootste Magecart-aanvallen.

Een client-side beveiligingsplatform detecteert en voorkomt deze aanvallen.

Zijn cookiebanners voldoende voor CTDPA-compliance?

Cookiebanners leggen gebruikersvoorkeuren vast, maar handhaven deze niet altijd volledig. In de praktijk zijn er meerdere punten waarop banners tekortschieten:

• Onjuiste of onvolledige integraties tussen cookiebanners en tagmanagers zoals Google Tag Manager
• Banners die per ongeluk essentiële scripts blokkeren, zoals formulieren of supportchattools
• Verkeerd geconfigureerde of kwaadaardige scripts die de toestemmingskeuzes van gebruikers negeren

Sommige cookiebannerleveranciers proberen deze uitdagingen op te lossen, maar verkeerde configuratie komt nog steeds veel voor. En zelfs wanneer correct geïmplementeerd, zijn cookiebanners niet ontworpen om client-side aanvallen te voorkomen. Die kloof leidt tot een gebrek aan "redelijke beveiligingsmaatregelen", wat de meest genoemde aanklacht is in privacyrechtszaken onder vergelijkbare wetten zoals de CCPA.

Waar CTDPA-compliancefouten ontstaan

1. Niet naleven van consumentenrechten (inzage/verwijdering/opt-out)

Een opt-out zou alle verwerking van de persoonsgegevens van de gebruiker moeten stoppen. In de praktijk moet de keuze van de gebruiker worden gerespecteerd via meerdere lagen:

• Client-side scripts, analysetools, sessie-replayservices, tagmanagers en advertentieplatforms

Aan de client-side loopt dit vaak mis. Bedrijven denken dat ze de opt-out hebben gerespecteerd, maar:

• De gebruiker meldt zich af via een cookiebanner, maar scripts worden nog steeds geactiveerd
• "Sessie-replay"-analysetools leggen nog steeds gevoelige informatie vast
• "Cookies" worden geblokkeerd, maar scripts blijven actief
• Tagmanagers overschrijven de cookie-toestemmingsinstellingen

Het naleven van CTDPA-rechten vereist dat client-side scripts daadwerkelijk stoppen met het verzamelen of delen van gegevens. Dit is alleen mogelijk met tools die scriptgedrag direct in de browser kunnen observeren en handhaven.

2. Onbewaakte gegevensverzameling

Een van de grootste compliancegaten is wanneer organisaties niet precies weten welke gegevens op hun website worden verzameld. Scripts komen en gaan terwijl leveranciers hun code bijwerken zonder voorafgaande kennisgeving. De meeste organisaties kunnen niet alle scripts opnoemen die vandaag op hun site actief zijn, laat staan uitleggen wat ze benaderen.

3. Niet implementeren van "redelijke beveiligingsmaatregelen"

Bron: CCPA Litigation Tracker, Perkins Coie

Volgens de Perkins Coie CCPA Litigation Tracker, die elke openbaar ingediende rechtszaak onder de CCPA analyseert (een vergelijkbaar privacykader dat al veel langer van kracht is), is de overgrote meerderheid van rechtszaken terug te voeren op één probleem:

"een beweerde schending door het niet implementeren van redelijke beveiligingsmaatregelen, resulterend in een datalek"

De client-side is het meest aangevallen oppervlak geworden, waarbij grote organisaties te maken kregen met inbreuken via kwaadaardige scripts (zie: Ticketmaster- en British Airways-aanvallen). In veel van deze gevallen dachten bedrijven "gedekt" te zijn door compliancetools die alleen banners of beleidsregels beheren, niet de daadwerkelijke browserbeveiliging.

Echte client-side bescherming moet aanvallen detecteren en voorkomen zoals:

• Formjacking, session hijacking en e-skimming

Deze aanvallen stelen consumentengegevens rechtstreeks uit de browser, waardoor aanvallers nooit hoeven in te breken in uw interne omgeving.

4. Onnauwkeurige of onvolledige privacyverklaringen

De CTDPA vereist dat organisaties duidelijk vermelden welke persoonsgegevens zij verzamelen, waarom zij deze verzamelen en welke derde partijen deze informatie ontvangen.

In de praktijk zijn veel privacyverklaringen onvolledig, simpelweg omdat teams geen volledig inzicht hebben in elk script, formulier of externe tool die op hun website actief is.

Het uitvoeren van een scriptinventarisatie (bijvoorbeeld via een gratis crawlerscan) kan helpen een basisoverzicht te krijgen van scripts die vermeld moeten worden.

Belangrijkste vereisten van de CTDPA (Connecticut Data Privacy Act)

Consumentenrechten

Organisaties moeten gebruikers de mogelijkheid bieden om:

• Zich af te melden (opt-out)
• Hun persoonsgegevens in te zien
• Onjuistheden in persoonsgegevens te corrigeren
• Persoonsgegevens te laten verwijderen
• Een overdraagbare kopie van hun gegevens op te vragen

Privacyverklaringen en transparantie

Organisaties moeten een duidelijke privacyverklaring verstrekken waarin wordt uitgelegd welke persoonsgegevens worden verzameld, waarom deze worden verzameld en hoe gebruikers hun rechten kunnen uitoefenen. Deze lijst moet ook vermelden welke derde partijen hun informatie ontvangen. Verklaringen moeten actueel worden gehouden wanneer gegevenspraktijken veranderen.

Toestemming voor gevoelige gegevens

De CTDPA vereist uitdrukkelijke opt-in-toestemming voordat gevoelige persoonsgegevens worden verwerkt, waaronder: gezondheidsinformatie, biometrische identificatoren, nauwkeurige geolocatie of gegevens van minderjarigen.

Dataminimalisatie

Onder de CTDPA moeten bedrijven de verzameling van persoonsgegevens beperken tot wat daadwerkelijk nodig is voor het opgegeven doel. Ze mogen geen buitensporige informatie verzamelen en mogen gegevens niet voor nieuwe of niet-gerelateerde doeleinden gebruiken zonder nieuwe toestemming te verkrijgen.

Voor een uitputtende lijst van vereisten verwijzen we u naar onze sectie met officiële bronnen, die u doorverwijst naar officiële privacywetdocumentatie.

Officiële bronnen en overheidslinks

Connecticut Data Privacy Act (kantoor van de Attorney General):

https://portal.ct.gov/ag/sections/privacy/the-connecticut-data-privacy-act

Dit is de CTDPA-pagina gepubliceerd door de Connecticut Attorney General, de primaire handhavingsautoriteit voor de wet. Het biedt officiële richtlijnen, updates en door de staat uitgegeven bronnen.

Officieel wetsvoorstel – Public Act No. 22-15 (2022)

https://www.cga.ct.gov/2022/act/pa/pdf/2022PA-00015-R00SB-00006-PA.pdf#:~:text=(NEW)%20(Effective%20July%201%2C%202023)%20The%20provisions,revenue%20from%20the%20sale%20of%20personal%20data.

Dit is de volledige tekst van de Connecticut Data Privacy Act zoals aangenomen door de staatswetgever in 2022.

CTDPA-tijdlijnen

De CTDPA is gefaseerd ingevoerd, met aanvullende verplichtingen die in de loop van de tijd via wijzigingen zijn toegevoegd. Hieronder staan de belangrijkste data waarvan de meeste teams op de hoogte moeten zijn (voor het volledige en altijd actuele overzicht, zie de sectie Officiële bronnen).

• 10 mei 2022 – CTDPA ondertekend als wet. Connecticut neemt zijn uitgebreide privacywet aan als Senate Bill 6 / Public Act 22-15.
• 1 juli 2023 – Wet treedt in werking. Controllers en verwerkers die aan de drempels voldoen, worden geacht vanaf deze datum te voldoen, met de Connecticut Attorney General als handhavingsautoriteit.
• 1 juli 2023 – 31 december 2024 – "Right-to-cure"-handhavingsvenster. Gedurende deze periode moet de AG bedrijven een kans van 60 dagen geven om een overtreding te herstellen voordat actie wordt ondernomen, indien herstel mogelijk is.
• 1 oktober 2023 – 1 oktober 2024 – Wijzigingen voor gezondheid en minderjarigen worden ingevoerd. Nieuwe bepalingen voor consumentengezondheidsgegevens, dating-apps en online diensten die door minderjarigen worden gebruikt, treden in werking op verschillende data in eind 2023 en 2024.
• 1 januari 2025 – Universele opt-outsignalen (bijv. GPC) worden gehonoreerd. Inwoners van Connecticut kunnen opt-outvoorkeurssignalen op browserniveau verzenden (zoals Global Privacy Control), en controllers die onder de CTDPA vallen, worden geacht deze te honoreren.
• 1 juli 2025 – Gegevensbeschermingsbeoordelingen gelden voor nieuwe hoog-risicoverwerking. Beoordelingsvereisten zijn van toepassing op verwerkingsactiviteiten die op of na deze datum zijn aangemaakt of gegenereerd.
• 31 december 2025 – Wettelijk right-to-cure vervalt. Na deze datum is de AG niet langer verplicht een herstelperiode van 60 dagen aan te bieden, hoewel dit naar eigen inzicht nog steeds mogelijk is.
• 1 juli 2026+ – Aanvullende wijzigingen treden in werking. Wijzigingen aangenomen in 2025 (SB 1295) introduceren verdere veranderingen, waaronder bijgewerkte drempels en vereisten voor impactbeoordelingen, waarbij de meeste wijzigingen vanaf medio 2026 van kracht worden.

Hoe cside organisaties helpt CTDPA-compliance te bereiken

Inzicht in gegevensstromen aan de client-side

• cside laat zien welke scripts persoonsgegevens verzamelen, wat ze verzamelen en waar die gegevens naartoe gaan. Privacyteams krijgen het inzicht dat nodig is om nauwkeurige verklaringen te publiceren.

Dataminimalisatie op scriptniveau

• De meeste websites verzamelen meer gegevens dan bedoeld, simpelweg omdat scripts in de loop van de tijd evolueren. cside signaleert wanneer een script meer informatie begint te verzamelen dan het zou moeten, zodat teams de verzameling nauwkeurig kunnen afbakenen.

Redelijke beveiligingsmaatregelen

• cside detecteert kwaadaardige of gemanipuleerde scripts, verdachte wijzigingen in client-side code en dataskimming-gedrag op de browserlaag. Dit ondersteunt de CTDPA-vereiste om redelijke beveiligingsmaatregelen te implementeren en voorkomt potentiële datalekken.

Gedrag van derde partijen valideren

• Realtime monitoring zorgt ervoor dat derde-partij verwerkers uw privacyverplichtingen naleven in plaats van deze onbedoeld voor u te schenden.

Auditklare logs en bewijsmateriaal

• cside biedt een dashboard en gedetailleerde historische logs met scriptactiviteit en gegevensbeheermaatregelen. Dit geeft privacyteams het forensische bewijs dat nodig is om CTDPA-compliance aan te tonen tijdens audits of onderzoeken.

FAQ

Geldt de CTDPA ook voor bedrijven buiten Connecticut?

Ja. De CTDPA is van toepassing op elke organisatie die gegevens van inwoners van Connecticut verwerkt en aan de volumedrempels voldoet, ongeacht waar het bedrijf fysiek gevestigd is.

Zijn cookiebanners voldoende om te voldoen aan de toestemmingsvereisten van de CTDPA?

In de meeste gevallen niet. Cookiebanners leggen voorkeuren vast en beheren cookies, maar de CTDPA vereist handhaving op scriptniveau en redelijke beveiligingsmaatregelen die aanvallen kunnen voorkomen waarbij persoonsgegevens worden blootgesteld.

Wat telt als "redelijke beveiligingsmaatregelen" onder de CTDPA?

Organisaties moeten persoonsgegevens beschermen tegen ongeautoriseerde toegang, inclusief risico's aan de client-side zoals verkeerd geconfigureerde scripts, onbewaakte derde-partij tools en skimming-aanvallen.