Blog

VCDPA: Gids voor vereisten en websitecompliancy

Een helder overzicht van de regels van de Virginia Consumer Data Protection Act, handhavingstijdlijnen en hoe je third-party scripts correct beheert.

Jan 22, 2026 • 11 min read

Juan Combariza Growth Marketer

VCDPA - Virginia Consumer Data Protection Act - Vereisten en websitecompliancy

TL;DR

Wat is de VCDPA? De Virginia Consumer Data Protection Act is een privacywet die inwoners van Virginia bepaalde rechten geeft over hun persoonsgegevens. Het werd de tweede privacywet op staatsniveau in de VS na Californië en trad in werking op 1 januari 2023.
Voor wie geldt de VCDPA? De VCDPA is van toepassing op organisaties die zakendoen in Virginia of zich richten op inwoners van Virginia, en die (a) persoonsgegevens verwerken van minimaal 100.000 consumenten per jaar, of (b) persoonsgegevens verwerken van minimaal 25.000 consumenten terwijl meer dan 50% van de bruto-omzet afkomstig is uit de verkoop van persoonsgegevens.
Wat zijn de meest voorkomende oorzaken van VCDPA-compliancyfouten? De meeste fouten ontstaan door het verwerken van gevoelige gegevens zonder expliciete toestemming, het niet tijdig reageren op verzoeken van consumenten, of ontoereikende privacyverklaringen. Ook een gebrek aan zicht op het gedrag van third-party scripts op websites kan overtredingen veroorzaken.
Hoe maak ik mijn website VCDPA-compliant? Zorg voor een actueel privacybeleid, verkrijg toestemming voordat je persoonsgegevens verwerkt, honoreer gegevensverzoeken en monitor third-party processors op je website met een tool zoals cside.

Bedrijven hebben data nodig om te groeien. Dit heeft helaas als gevolg dat gevoelige gegevens van consumenten worden verwerkt zonder hun toestemming. Dit gebeurt vaker door technische misconfiguraties dan door onethische intenties van een bedrijf.

Overheden wereldwijd nemen dit serieus en introduceren wetgeving om gegevensverzameling transparant en inzichtelijk te maken. Net als verschillende andere staten in de VS heeft Virginia een privacywet ingevoerd die bedrijfsvriendelijk is én consumenten beschermt.

Met als eenvoudig doel mensen de controle over hun eigen gegevens te geven, is de Virginia Consumer Data Protection Act van belang voor elke organisatie die actief is in deze staat. Dit artikel legt uit wat de Virginia Data Protection Act inhoudt, wat de belangrijkste vereisten zijn en waarom je client-side beveiliging niet kunt negeren om echt compliant te zijn.

Wat is de Virginia Consumer Data Protection Act?

De Virginia Consumer Data Protection Act (VCDPA) is een privacywet op staatsniveau in de VS die inwoners van Virginia een aantal rechten geeft over hun persoonsgegevens. Gouverneur Ralph Northam ondertekende de wet op 2 maart 2021 en ze trad in werking op 1 januari 2023.

De wet is gebaseerd op het principe dat als je geen specifieke, openbaar gemaakte reden hebt om gegevens te bewaren, je ze helemaal niet zou moeten hebben.

Inwoners van Virginia beschikken nu over specifieke, afdwingbare rechten over hun digitale voetafdruk:

Het recht op controle: Consumenten kunnen hun persoonsgegevens naar eigen inzicht inzien, corrigeren of verwijderen.
Het recht om te vertrekken: Bedrijven moeten een eenvoudig mechanisme bieden waarmee gebruikers zich kunnen afmelden. Dit afmeldrecht omvat gerichte advertenties, gegevensverkoop en automatische profilering.

Onder de VCDPA moeten organisaties standaard expliciete toestemming verkrijgen voor het verzamelen van gezondheids-, religie-, biometrische en nauwkeurige geolocatiegegevens; de wet vereist uitdrukkelijke en bevestigende toestemming.

Individuele burgers hebben geen recht op een eigen rechtszaak onder de VCDPA. De procureur-generaal van Virginia heeft de bevoegdheid om boetes op te leggen. Boetes kunnen oplopen tot $7.500 per overtreding.

Geldt de VCDPA voor mijn bedrijf? (Zelfbeoordeling)

Toepassingscriteria - VCDPA - Virginia Consumer Data Protection Act - Geldt de VCDPA voor mijn organisatie?

De VCDPA is van toepassing op jouw organisatie als je aan de volgende criteria voldoet:

Je doet zaken in Virginia of biedt producten of diensten aan die gericht zijn op inwoners van Virginia.
Je voldoet aan een van twee drempelwaarden voor gegevensverwerking: (a) je verwerkt persoonsgegevens van minimaal 100.000 consumenten in een kalenderjaar, of (b) je verwerkt persoonsgegevens van minimaal 25.000 consumenten en meer dan 50% van je bruto-omzet is afkomstig uit de verkoop van persoonsgegevens.

Anders dan de CCPA van Californië kent de VCDPA geen drempelwaarde op basis van omzet alleen. De jaarlijkse bruto-omzet van een bedrijf bepaalt op zichzelf niet of de wet van toepassing is. De drempelwaarden zijn volledig gericht op het volume van gegevensverwerking en de omzet die specifiek afkomstig is uit gegevensverkoop.

consument verwijst naar een persoon die inwoner is van Virginia en handelt in een persoonlijke of huishoudelijke context.
persoonsgegevens verwijst naar alle informatie die gekoppeld is of redelijkerwijs gekoppeld kan worden aan een geïdentificeerde of identificeerbare natuurlijke persoon. Dit sluit geanonimiseerde gegevens en openbaar beschikbare informatie uit.

Vrijstellingen onder de VCDPA

Bepaalde entiteiten zijn volledig vrijgesteld van de vereisten van de VCDPA.

Staatsinstanties, politieke onderverdelingen en organen van de overheid van Virginia
Financiële instellingen die vallen onder de Gramm-Leach-Bliley Act
Gedekte entiteiten en zakelijke partners die vallen onder HIPAA
Non-profitorganisaties (inclusief politieke organisaties op grond van recente wijzigingen)
Instellingen voor hoger onderwijs

Wat zijn de belangrijkste vereisten van de VCDPA?

Zorg voor duidelijke privacyverklaringen

Controllers (organisaties) moeten een privacyverklaring publiceren die redelijkerwijs toegankelijk is. De verklaring moet de categorieën verwerkte persoonsgegevens vermelden, de doeleinden van de verwerking, hoe consumenten hun rechten kunnen uitoefenen, de categorieën gegevens die worden gedeeld met derden en de categorieën van die derden.

Als een controller persoonsgegevens verkoopt of verwerkt voor gerichte advertenties, moet dit duidelijk worden vermeld samen met instructies over hoe consumenten zich kunnen afmelden.

Verkrijg toestemming voordat je gevoelige gegevens verwerkt

De VCDPA verbiedt het verwerken van gevoelige gegevens zonder expliciete toestemming van de consument. "Impliciete toestemming" voldoet niet aan de norm.

Voor gegevens die worden verzameld van bekende kinderen onder de 13 jaar moeten controllers voldoen aan de federale vereisten van de Children's Online Privacy Protection Act (COPPA). Wijzigingen in de VCDPA die op 1 januari 2025 van kracht werden, voegden verdere beperkingen toe aan het verwerken van gegevens van kinderen voor gerichte advertenties, profilering en andere doeleinden zonder toestemming van ouders.

Reageer binnen 45 dagen op verzoeken van consumenten

Nadat een consument een verzoek heeft ingediend om zijn of haar rechten uit te oefenen, moeten controllers binnen 45 dagen reageren. Een verlenging van 45 dagen is toegestaan wanneer dit redelijkerwijs noodzakelijk is vanwege de technische complexiteit of een groot aantal verzoeken, maar de consument moet binnen de oorspronkelijke termijn worden geïnformeerd.

Reacties moeten tot twee keer per jaar per consument kosteloos zijn. Als een controller een verzoek afwijst, moet hij uitleggen waarom en instructies geven voor het indienen van bezwaar. Bezwaren moeten binnen 60 dagen worden afgehandeld. Als een bezwaar wordt afgewezen, moet de controller een manier bieden waarop de consument contact kan opnemen met de procureur-generaal.

Bied de mogelijkheid om je af te melden voor verkoop, gerichte advertenties en profilering

Consumenten hebben het recht om zich af te melden voor verwerking ten behoeve van gerichte advertenties, de verkoop van persoonsgegevens en profilering die juridische of vergelijkbaar ingrijpende gevolgen heeft.

Controllers moeten een werkend mechanisme bieden om deze verzoeken te honoreren. De organisatie blijft in overtreding als trackingscripts of pixels na een afmelding van een consument nog steeds gegevens blijven verzenden.

Sluit contracten met gegevensverwerkers

Controllers moeten schriftelijke contracten hebben met alle verwerkers die namens hen gegevens verwerken. Dit omvat websitegegevensverwerkers zoals chatbots, analytics- of marketingtools. Overeenkomsten moeten de aard en het doel van de verwerking specificeren, het type betrokken gegevens, de duur van de verwerking en de rechten en verplichtingen van beide partijen.

De meeste grote leveranciers (zoals Meta, Google Ads, Cloudflare) hebben gestandaardiseerde DPA's die je op hun website kunt vinden.

Verborgen privacyrisico's op websites voor de VCDPA

Privacyrisico's op websites voor de VCDPA - cside

Het meest over het hoofd geziene risicogebied voor VCDPA-compliancy is je website. Moderne websites laden een mix van intern geschreven code en code van externe leveranciers (third-party scripts). Die third-party scripts laden op hun beurt weer meer scripts (subverwerkers). Elk van deze scripts voegt beveiligings- en privacyrisico's toe aan je website. Via misconfiguraties of kwaadaardige code-injecties worden persoonsgegevens in gevaar gebracht.

Third-party scripts zijn een VCDPA-compliancyrisico

Marketingpixels, analytictools en sociale widgets zijn standaard op de meeste commerciële websites. Elk script kan IP-adressen, apparaat-ID's, surfgedrag en formulierinvoer verzamelen.

Onder de VCDPA is de organisatie die deze scripts inzet de controller.

Je overtreedt de compliancyregels als deze scripts meer gegevens verzamelen dan vermeld in je privacyverklaring. Als ze na een afmelding van een consument blijven verzamelen, ben je ook niet compliant. De meeste organisaties hebben geen manier om te weten of hun scripts zich gedragen zoals verwacht.

Javascript-injecties zijn een VCDPA-databreukrisico

Naast compliancy brengt client-side code ook beveiligingsrisico's met zich mee. Zo kunnen:

Kwaadaardige of gecompromitteerde scripts persoonsgegevens rechtstreeks uit de browser stelen.
Een vergiftigde bibliotheekupdate of geïnjecteerde tag consumenteninformatie blootstellen zonder dat server-side beveiligingscontroles dit opmerken.

De VCDPA vereist dat controllers redelijke beveiligingspraktijken hanteren. Een organisatie die niet-gemonitorde third-party code inzet en te maken krijgt met een client-side inbreuk, zal moeilijk kunnen aantonen dat ze de juiste voorzorgsmaatregelen heeft genomen.

Cookiebanners alleen zijn niet voldoende voor VCDPA-compliancy

Consent management platforms zijn belangrijk voor websiteprivacycompliancy, maar vormen slechts één onderdeel van het geheel. Een cookiebanner verzamelt toestemmingsvoorkeuren, maar heeft beperkte handhavingsmogelijkheden.

CMP's kunnen falen als ze niet correct zijn geïntegreerd met Google Tag Manager of andere analytictools. Bovendien zijn CMP's niet gebouwd om te beschermen tegen client-side aanvallen, waarbij "vertrouwde" third-party scripts worden gekaapt en toestemmingsinstellingen volledig omzeilen.

Veelvoorkomende VCDPA-compliancyfouten

Waar VCDPA-compliancyfouten optreden - Virginia Consumer Data Protection Act

Gevoelige gegevens verwerken zonder toestemming

De meest directe overtreding treedt op wanneer organisaties gevoelige gegevens verwerken zonder expliciete opt-in-toestemming. Dit omvat geolocatiegegevens, gezondheidsgerelateerde informatie, biometrische identificatoren en gegevens van bekende kinderen. Veel websites verzamelen deze informatie via scripts zonder zich bewust te zijn van de toestemmingsvereisten.

Een zorgwebsite die een Meta-pixel gebruikt, kan bijvoorbeeld onbedoeld informatie doorsturen over welke pagina's over aandoeningen een gebruiker bezoekt. Die gedragsgegevens kwalificeren als gevoelige gezondheidsinformatie waarvoor expliciete toestemming vereist is voordat ze mogen worden 'gedeeld'.

Privacyverklaringen die niet overeenkomen met de werkelijke praktijk

Controllers moeten ervoor zorgen dat hun privacyverklaringen nauwkeurig beschrijven welke gegevens worden verzameld, waarom en met wie ze worden gedeeld. Deze praktijken kunnen afwijken van wat de privacyverklaring vermeldt wanneer third-party scripts veranderen of wanneer marketingteams nieuwe tags toevoegen.

Als een script op je site gegevens deelt met een niet-vermelde partij, is de overtreding onmiskenbaar van jou.

Afmeldmechanismen die niet werken

Privacyverklaringen kunnen consumenten het recht beloven om zich af te melden voor het delen van gegevens, maar falen wanneer er een daadwerkelijk verzoek van een consument binnenkomt.

De handhavingsactie van de procureur-generaal van Californië tegen Sephora illustreerde dit risico. Het bedrijf stelde dat gebruikers zich konden afmelden voor gegevensverkoop, maar bleef gegevens doorsturen naar advertentiepartners. Toezichthouders beschouwden dit als een ontzegging van consumentenrechten. Dezelfde handhavingslogica geldt onder de VCDPA.

Ontbrekende of ontoereikende gegevensbeschermingsbeoordelingen

Organisaties die persoonsgegevens verwerken voor gerichte advertenties, gegevens verkopen of gevoelige informatie verwerken, moeten gegevensbeschermingsbeoordelingen documenteren. Veel organisaties slaan deze vereiste over of produceren beoordelingen die de risico's niet zinvol analyseren.

De procureur-generaal kan deze documenten opvragen tijdens een onderzoek. Een organisatie die geen adequate beoordelingen kan overleggen, heeft een moeilijke positie om compliancy aan te tonen.

Niet voldoen aan reactietermijnen

Verzoeken van consumenten moeten binnen 45 dagen worden beantwoord en bezwaren moeten binnen 60 dagen worden afgehandeld. Organisaties zonder efficiënte intake- en reactiesystemen kunnen deze termijnen missen. Een patroon van te late of genegeerde verzoeken wijst op structurele niet-compliancy.

Officiële VCDPA-bronnen en overheidslinks

Virginia Attorney General, VCDPA-samenvatting: De officiële samenvatting van het kantoor van de procureur-generaal met uitleg over consumentenrechten, verplichtingen voor bedrijven en handhavingsprocedures.
Code of Virginia, Chapter 53: De volledige wettekst inclusief alle definities, consumentenrechten, verplichtingen van controllers en handhavingsregels.
Virginia Consumer Protection Hotline: 1-800-552-9963 (binnen Virginia) of (804) 786-2042 (Richmond-gebied en buiten Virginia). Openingstijden: 8:30 tot 17:00 uur, maandag tot en met vrijdag.

VCDPA-tijdlijn

2 maart 2021: Gouverneur Ralph Northam ondertekende de Virginia Consumer Data Protection Act.
1 januari 2023: De VCDPA trad in werking. Handhaving door de procureur-generaal van Virginia begon. Vereisten voor gegevensbeschermingsbeoordelingen werden van toepassing op nieuwe verwerkingsactiviteiten.
1 januari 2025: Wijzigingen met betrekking tot gegevens van kinderen traden in werking en verplichten ouderlijke toestemming voordat bekende persoonsgegevens van kinderen mogen worden verwerkt voor gerichte advertenties, profilering en andere gespecificeerde doeleinden.

1 januari 2026: Aanvullende wijzigingen met betrekking tot tijdslimieten voor sociale media voor minderjarigen onder de 16 jaar treden in werking.

Hoe cside organisaties helpt VCDPA-compliancy te bereiken

cside Privacy Watch detecteert verborgen privacyovertredingen op websites door signalen op browserniveau te monitoren, die traditionele compliancytools negeren. cside biedt een helder overzicht van welke scripts op je website actief zijn, welke gegevens ze benaderen en waar die gegevens naartoe gaan. Zo kun je verifiëren dat de werkelijke gegevensverzamelingspraktijken overeenkomen met je privacyverklaringen.

Third-party code op je website verandert regelmatig. cside signaleert wijzigingen in third-party tools zodra ze plaatsvinden en stelt je in staat onnodige gegevensverzameling te identificeren voordat dit compliancyrisico's oplevert.
cside monitort op verdacht scriptgedrag dat erop wijst dat een client-side aanval gericht is op de bezoekersgegevens van je website.
Client-side vereisten voor transparantie, doelbinding en beveiligingsmaatregelen worden geautomatiseerd met dashboards en geautomatiseerd bewijs.

Je kunt beginnen met het gratis abonnement van cside of een demo boeken voor meer informatie over het voldoen aan de client-side vereisten van staatsprivacywetten zoals de VCDPA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

De VCDPA kan ook van toepassing zijn op kleinere bedrijven, niet alleen op grote ondernemingen. De toepasselijkheid hangt af van hoeveel persoonsgegevens van inwoners van Virginia je verwerkt. Bedrijven die persoonsgegevens verkopen, vallen sneller binnen het toepassingsgebied van de wet.

Een cookiebanner kan helpen, maar is op zichzelf niet voldoende. Waar het om gaat, is of je website de keuzes van gebruikers daadwerkelijk respecteert en persoonsgegevens beschermt. Hoewel de VCDPA alleen expliciete toestemming vereist voor gevoelige gegevens, kan persoonsgegevens die via client-side inbreuken worden blootgesteld alsnog een privacyschending vormen.

Ja. Onder de VCDPA is het bedrijf dat de website beheert verantwoordelijk voor compliancy, ook als het script van een externe leverancier de bron is van de gegevensverzameling of het delen van gegevens dat de overtreding heeft veroorzaakt.

Nee. Expliciete toestemming is alleen vereist voor gevoelige gegevens, zoals nauwkeurige locatiegegevens, gezondheidsinformatie of gegevens van kinderen. Veel websites verzamelen echter onbedoeld gevoelige gegevens via analytics- of marketingscripts, wat alsnog compliancyverplichtingen kan activeren.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.

cside beveiligingsschild dat een browsercursorpad monitort — AI-agentdetectie op de browserlaag

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.

Perplexity Shopper detecteren en blokkeren op uw website — cside blog

Hoe u Perplexity Shopper op uw website kunt blokkeren

Perplexity Shopper browst en koopt op retailwebsites namens Pro-gebruikers. Leer hoe u de browsersignalen detecteert en het verkeer beheert.

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.

Een browservenster dat oplost in een stroom blauwe lichtdeeltjes op een donkere achtergrond

AI verkort de exploitcyclus: Google's met AI ontwikkelde zero-day en wat dat betekent voor browsers

Google meldde een zero-day die volgens hen met AI is gemaakt. De echte AI-shift: niet slimmere phishing, maar hoe snel exploits de browser bereiken.

Sessietokens die door een browserbeveiligingsgrens naar apparaatfingerprintsignalen gaan

De browsersessie is nu een security control plane. Aanvallers wisten dat al jaren.

Google's DBSC-voorstel bevestigt een duidelijke verschuiving: browsersessies hebben apparaatvalidatie nodig na login.