Texas Data Privacy Act en de lappendeken van 20 staten: Een draaiboek voor naleving in 2026

13 min leestijdMike ThriftMike Thrift
Texas Data Privacy Act en de lappendeken van 20 staten: Een draaiboek voor naleving in 2026

Tegen de tijd dat u deze zin uit heeft, heeft ergens in de Verenigde Staten een consument zojuist op "Verkoop of deel mijn persoonlijke gegevens niet" geklikt. Als uw bedrijf een website beheert, advertenties plaatst of e-mailadressen van klanten opslaat, kan die enkele klik u al verplichten onder een of meer van de twintig omvattende staatsprivacywetten die nu in het hele land van kracht zijn — en de meeste eigenaren van kleine bedrijven hebben geen idee.

De Texas Data Privacy and Security Act (TDPSA) trad in werking op 1 juli 2024, waarmee Texas de volksrijkste staat werd die voorheen geen omvattende privacywet had en er eindelijk een aannam. Maar de TDPSA is niet het enige verhaal. Vanaf 2026 hebben twintig staten actieve omvattende privacywetten voor consumenten, vereisen twaalf staten de erkenning van universele opt-out-signalen zoals de Global Privacy Control (GPC), en zijn drie gloednieuwe wetten — Indiana, Kentucky en Rhode Island — op 1 januari 2026 van kracht geworden. De herstelperiodes (cure periods) die de vroege staatswetten hun eerste oefenruimte gaven, lopen gedurende 2026 af, wat betekent dat de handhaving strenger zal worden.

Deze gids legt uit wat u in 2026 daadwerkelijk moet doen om toezichthouders buiten de deur te houden — zonder een privacyprogramma van vijftigduizend dollar te kopen dat u niet nodig heeft.

Waarom Texas belangrijker is dan u denkt

De privacywetgeving van Texas heeft één eigenaardigheid die deze anders maakt dan elke andere staatswet: het maakt niet uit hoeveel geld u verdient of hoeveel gegevens u bewaart. Het gaat er alleen om of u voldoet aan de definitie van een klein bedrijf van de U.S. Small Business Administration (SBA) — over het algemeen minder dan 500 werknemers, met sector-specifieke omzetplafonds.

De meeste staatsprivacywetten (de CCPA van Californië, VCDPA van Virginia, CPA van Colorado, CTDPA van Connecticut) koppelen toepasbaarheid aan numerieke drempels: 100.000 consumenten, of 25.000 consumenten als meer dan de helft van uw omzet voortkomt uit de verkoop van persoonsgegevens, of een jaarlijkse bruto-omzet van meer dan $25 miljoen. De TDPSA schrapt die drempels.

Dit creëert een vreemde omkering. Een middelgroot in Texas gevestigd SaaS-bedrijf met 600 werknemers en een bescheiden omzet kan volledig onderworpen zijn aan de TDPSA, terwijl een Californische startup met een hoge omzet en 30 werknemers mogelijk vrijgesteld is onder de SBA-drempel, maar onderworpen is onder de omzettest van de CCPA. Als u in beide staten zaken doet, kunt u niet de gunstigste kiezen — u moet voldoen aan de wet die van toepassing is op de consument die het verzoek indient.

De TDPSA-vrijstelling voor gevoelige gegevens die er eigenlijk geen is

Hier komt het addertje onder het gras. Zelfs als uw bedrijf kwalificeert als een klein bedrijf onder de SBA-omvangsnormen en anderszins vrijgesteld is van de TDPSA, moet u nog steeds toestemming van de consument verkrijgen voordat u gevoelige persoonsgegevens verkoopt. "Vrijgesteld" betekent dus niet "doe maar wat u wilt". Als u e-mailadressen verkoopt die gekoppeld zijn aan gezondheidsinteresses, religieuze overtuigingen, nauwkeurige geolocatie of biometrische identificatiegegevens, heeft u opt-in toestemming nodig, ongeacht de grootte van uw bedrijf.

De nalevingskaart van 20 staten

Tegen 2026 zijn omvattende privacywetten van kracht of treden ze binnenkort in werking in: Californië, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Oregon, Texas, Delaware, New Hampshire, New Jersey, Kentucky, Minnesota, Maryland, Rhode Island, Nebraska en Maryland (Online Data Privacy Act).

De meeste van deze wetten volgen een structuur volgens het "Virginia-model": rechten op toegang, correctie, verwijdering, overdraagbaarheid en opt-out, plus verplichtingen voor verwerkingsverantwoordelijken met betrekking tot kennisgeving, dataminimalisatie en verwerkingsbeperkingen. Californië staat op zichzelf met de bredere dekking voor werknemers en B2B van de CCPA/CPRA en unieke regels voor cybersecurity-audits en geautomatiseerde besluitvorming.

De praktische les: bouw voor de strengste gemene deler, niet voor elke staat afzonderlijk. Een privacyprogramma dat is afgestemd op de vereisten van Californië, Colorado en Texas zal de verplichtingen onder alle 17 andere staatswetten automatisch meenemen.

Consumentenrechten die u binnen 45 dagen moet respecteren

In bijna elke staatswet hebben consumenten dezelfde kernrechten:

  • Toegang — ze kunnen vragen welke persoonsgegevens u over hen bewaart.
  • Correctie — ze kunnen eisen dat u onjuiste gegevens herstelt.
  • Verwijdering — ze kunnen eisen dat u hun gegevens verwijdert (met uitzonderingen voor wettelijke bewaarplichten, fraudepreventie, intern gebruik).
  • Overdraagbaarheid — ze kunnen een machineleesbare kopie eisen.
  • Opt-out voor verkoop, gerichte advertenties en profilering — drie afzonderlijke opt-out-rechten die in de meeste staten gebundeld zijn.

De meeste wetten geven u 45 dagen de tijd om te reageren, met een verlenging van 45 dagen indien redelijkerwijs noodzakelijk. De CCPA van Californië geeft 45 dagen met een verlenging van 45 dagen. Texas geeft 45 dagen met een verlenging van 45 dagen. U heeft een workflow nodig voor geauthenticeerde verzoeken die binnenkomt, verifieert, uitvoert en logt — en deze moet verder kunnen schalen dan één overbelaste juridische e-mailbox.

Wat "geauthenticeerd" in de praktijk betekent

U kunt een verzoek niet zomaar voor waar aannemen. Als iemand mailt met de mededeling "verwijder al mijn gegevens", moet u verifiëren of die persoon daadwerkelijk de betrokkene is. Veelvoorkomende verificatiemethoden zijn:

  • Het bevestigen van het verzoek via een account-login.
  • Het vergelijken van de ingediende informatie met de gegevens in uw dossier.
  • Het verzenden van een bevestigingsmail met een eenmalige code.
  • Het vereisen van een beëdigde verklaring voor verzoeken met een hoog risico (zeldzaam; gereserveerd voor gevallen waarin gegevensverlies catastrofaal zou zijn).

Het niet correct authenticeren brengt twee risico's met zich mee: u verwijdert gegevens voor een bedrieger (een verwijderingsaanval), of u onthult persoonsgegevens aan de verkeerde persoon (een inbreuk op de vertrouwelijkheid). Beiden zijn overtredingen.

De Global Privacy Control: Een enkel browsersignaal dat een dozijn wetten activeert

De belangrijkste technische nalevingswijziging voor 2026 is de Global Privacy Control (GPC). Dit is een signaal op browserniveau dat automatisch elke website die een gebruiker bezoekt vertelt: "Ik maak bezwaar tegen de verkoop of het delen van mijn persoonlijke informatie."

Tegen 1 januari 2026 eisen twaalf staten dat bedrijven de GPC honoreren als een geldig opt-out-verzoek: Californië, Colorado, Connecticut, Montana, Nebraska, New Hampshire, New Jersey, Minnesota, Maryland, Delaware, Oregon en Texas. Sommige van deze staten hebben GPC expliciet bij naam genoemd; andere vereisen simpelweg de erkenning van elk "universeel opt-out-mechanisme", waarbij GPC de dominante implementatie is.

Wat dit technisch betekent: uw website moet de Sec-GPC HTTP-header (of het equivalent van de navigator-API) bij elk verzoek uitlezen, en wanneer het signaal wordt gedetecteerd, de verkoop van gegevens, contextoverschrijdende gedragsgerichte reclame en het delen onderdrukken — zonder de gebruiker om actie te vragen. Geen cookiebanner. Geen extra klik. Gewoon onderdrukken.

Californië heeft hier een weergavevereiste voor 2026 aan toegevoegd: bedrijven moeten zichtbaar aangeven of het opt-out-voorkeurssignaal van de consument is verwerkt. Een "Opt-Out-verzoek gehonoreerd"-indicator op de pagina wordt de nieuwe standaard. Slaat u dit over, dan kan een toezichthouder (of een eiser) aanvoeren dat u heeft nagelaten te melden dat de opt-out is geaccepteerd.

De valstrik van de adtech-pijplijn

Hier gaan de meeste bedrijven de mist in. Het honoreren van GPC op paginaniveau is eenvoudig. Het honoreren ervan in uw volledige downstream adtech-stack — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, elke leverancier van dynamische retargeting — is moeilijk. Elk van deze leveranciers heeft zijn eigen opt-out-vlag, signaal of pixelparameter die u moet instellen wanneer GPC wordt gedetecteerd. Als u er één mist, blijft u gegevens delen met die leverancier, wat in strijd is met de wetgeving.

Controleer uw tag manager. Documenteer voor elke leverancier die op uw site wordt geactiveerd hoe deze GPC respecteert. Vertrouw niet blindelings op marketingclaims — test het met een browser waarin GPC is ingeschakeld en gebruik een network sniffer.

Gevoelige gegevens: Opt-In toestemming vereist

In bijna elke staatswet vereist de verwerking van gevoelige persoonsgegevens uitdrukkelijke opt-in toestemming. Gevoelige gegevens omvatten doorgaans:

  • Burgerservicenummers, rijbewijsnummers, paspoortnummers, inloggegevens van financiële rekeningen.
  • Biometrische gegevens die worden gebruikt om een persoon te identificeren.
  • Gezondheids- en medische informatie die niet al onder de HIPAA valt.
  • Nauwkeurige geolocatie (vaak gedefinieerd als binnen een straal van 1.750 voet of een vergelijkbare afstand).
  • Ras of etnische afkomst.
  • Religieuze overtuigingen.
  • Seksuele geaardheid, genderidentiteit.
  • Staatsburgerschap of immigratiestatus.
  • Persoonsgegevens van kinderen (jonger dan 13, soms jonger dan 16).

Toestemming moet vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes tellen niet mee. Het bundelen van toestemming in een algemene acceptatie van de servicevoorwaarden telt niet mee. Verborgen mededelingen tellen niet mee. Als u gevoelige gegevens verwerkt, heeft u een specifieke toestemmingsflow nodig met duidelijke taal en een registratie van hoe, wanneer en waar de toestemming is verkregen.

Verwerkersovereenkomsten: Leverancierscontracten zijn nu een nalevingsvereiste

Elke privacywet van de staten vereist dat bedrijven die persoonsgegevens delen met externe leveranciers (genaamd "verwerkers" of "service providers") een schriftelijk contract ondertekenen — een Data Processing Agreement (DPA) — die die gegevens beheert.

Een conforme DPA (verwerkersovereenkomst) in 2026 moet:

  1. De aard, het doel en de duur van de verwerking specificeren.
  2. De soorten gegevens en categorieën van betrokken consumenten identificeren.
  3. De verwerker binden aan vertrouwelijkheidsverplichtingen.
  4. Vereisen dat de verwerker assisteert bij verzoeken om consumentenrechten.
  5. Vereisen dat de verwerker gegevens verwijdert of retourneert bij beëindiging van het contract.
  6. Audits toestaan en doorstroming van verplichtingen naar subverwerkers vereisen.
  7. Grensoverschrijdende overdrachten beperken en beveiligingsverplichtingen opleggen.

Als u SaaS-tools gebruikt — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — moet u voor al deze tools DPA's in uw dossier hebben. De meeste grote leveranciers bieden standaard click-through DPA's aan. Het risico zit bij niche-tools, freelancers, aannemers en eenmalige integraties die niemand als "leverancier" had aangemerkt.

Data Protection Assessments: Wanneer u risico's moet documenteren

De meeste staatswetten vereisen Data Protection Assessments (DPA's — verwarrend genoeg hetzelfde acroniem als Data Processing Agreement) voor verwerkingsactiviteiten die een verhoogd risico vormen. Activiteiten die dit triggeren zijn onder meer:

  • Verwerking voor doelgericht adverteren.
  • Verkoop van persoonsgegevens.
  • Profilering die juridische of vergelijkbare significante effecten teweegbrengt.
  • Verwerking van gevoelige gegevens.
  • Elke verwerking die een verhoogd risico op schade inhoudt.

Texas, Virginia, Colorado, Connecticut en andere staten vereisen deze allemaal. De beoordeling moet de voordelen voor de verwerkingsverantwoordelijke, de consument, het publiek en de verwerker afwegen tegen de risico's voor de consument, inclusief de gedocumenteerde maatregelen om deze risico's te beperken. Bewaar deze in uw administratie; toezichthouders kunnen deze opeisen tijdens een onderzoek.

De Hersteltermijn-Deadline: Waarom 2026 anders is

Vroege privacywetten in de VS bevatten bepalingen over het "recht op herstel" (right to cure) — een respijtperiode van 30 of 60 dagen nadat een toezichthouder een melding van een overtreding had gedaan, waarin het bedrijf het probleem kon oplossen voordat er een boete werd opgelegd. Dit was bedoeld als zijwieltjes.

In 2026 gaan die zijwieltjes eraf. De hersteltermijnen vervallen gedurende 2026 in Connecticut, Delaware, Kentucky, Minnesota en Montana. De gloednieuwe wet van Rhode Island had vanaf het begin al geen hersteltermijn. De hersteltermijn van Californië is jaren geleden al verlopen.

Texas behield zijn hersteltermijn van 30 dagen zonder einddatum, wat ongebruikelijk gul is. Maar de boetes na die periode van 30 dagen lopen op tot $7.500 per overtreding. Bij claims over consumentenprivacy betekent "per overtreding" vaak per getroffen consument — vermenigvuldig dat met uw klantendatabase en de rekensom wordt al snel pijnlijk.

Privacy-naleving koppelen aan uw boekhouding

Privacy-naleving raakt de financiën meer dan de meeste ondernemers beseffen. Met name op drie gebieden:

Kostenallocatie van leveranciers. Leveranciers voor privacy-naleving — platforms voor toestemmingsbeheer, tools voor de afhandeling van DSAR-verzoeken, diensten voor identiteitsverificatie, retainers voor privacy-adviseurs — zijn operationele kosten (OPEX) die u afzonderlijk zou moeten bijhouden. Zo kunt u de nalevingskosten rapporteren aan uw bestuur en ROI-beslissingen nemen over welke wetten u strikt naleeft versus waar u risico's accepteert.

Reserve voor datalekken. De meeste staatswetten verplichten u niet expliciet om geld opzij te zetten voor mogelijke lekken, maar als u op schaal gevoelige gegevens verwerkt, is het opbouwen van een voorziening voor voorwaardelijke verplichtingen een goede gewoonte. Zelfs kleine lekken leiden tot kosten voor kennisgeving, aanbiedingen voor kredietbewaking en kosten voor forensisch onderzoek die in de zes cijfers kunnen lopen.

Documentatie voor verzekeringen. Verzekeraars van cyberaansprakelijkheid eisen bij verlenging steeds vaker documentatie van uw privacyprogramma — schriftelijk beleid, een inventarisatie van verwerkersovereenkomsten (DPA's), tests van GPC-implementaties, logboeken van DSAR-reacties. Het bijhouden van een schone administratie kan een aanzienlijke invloed hebben op de hoogte van de premies.

Een nauwkeurige boekhouding met een helder rekeningstelsel dat kosten voor privacy-naleving, leveranciersuitgaven en reserves voor incidentrespons scheidt, maakt jaarlijkse budgetbeoordelingen, bestuursrapportages en verzekeringsverlengingen veel minder zwaar.

De praktische compliance-stack voor 2026

Als u bij nul begint, is dit het minimaal levensvatbare privacyprogramma voor een klein of middelgroot Amerikaans bedrijf in 2026:

  1. Stel vast welke wetten van toepassing zijn. Breng uw klantenbestand, personeelsbestand en omzet in kaart aan de hand van de toepasselijkheidsdrempels van elke staat.
  2. Publiceer één geconsolideerde privacyverklaring die voldoet aan de strengste toepasselijke wetgeving. Vermeld hierin openbaarmakingen over gevoelige gegevens, verkoop/deling van gegevens, verwerkingsdoeleinden, bewaartermijnen, consumentenrechten en een contactkanaal.
  3. Bouw een DSAR-workflow. Kies een tool (of een gestructureerd proces met e-mail en spreadsheets als u klein bent) die verzoeken binnen 45 dagen ontvangt, authenticeert, uitvoert en registreert.
  4. Implementeer ondersteuning voor GPC. Lees het signaal op paginaniveau. Onderdruk leveranciers voor verkoop en gerichte advertenties wanneer dit is ingesteld. Toon een indicator dat de opt-out is gehonoreerd als u verkeer uit Californië heeft.
  5. Teken DPA's met elke leverancier. Inventariseer alle leveranciers. Teken de verwerkersovereenkomst (DPA). Bewaar deze op een vindbare plek.
  6. Voer DPA's uit voor verwerkingen met een hoog risico. Documenteer elk onderzoek. Sla ze op in uw dossier.
  7. Zet een toestemmingsflow op voor gevoelige gegevens met expliciete opt-in en vastgelegd bewijs.
  8. Documenteer uw beveiligingsprogramma. De meeste staatswetten vereisen "redelijke" beveiliging. Redelijk betekent schriftelijk beleid, toegangscontroles, versleuteling tijdens transport en in rust, beheer van kwetsbaarheden en procedures voor incidentrespons.

Veelgemaakte fouten door kleine bedrijven

  • Erbuiten uitgaan dat de SBA-vrijstelling voor kleine bedrijven u volledig ontslaat van de TDPSA. Dat is niet zo — voor de verwerking van gevoelige gegevens is nog steeds toestemming nodig.
  • Cookiebanners beschouwen als een volledig privacyprogramma. Banners zijn slechts één tactiek. Ze zijn geen vervanging voor DSAR-processen, DPA's of het honoreren van GPC.
  • Het negeren van de doorstroming naar onderverwerkers. Uw DPA's met leveranciers moeten vereisen dat die leveranciers hun verplichtingen doorgeven aan hun onderverwerkers. De meeste standaard DPA's dekken dit, maar lees ze voordat u tekent.
  • Opt-outs behandelen als marketingbeslissingen. Het honoreren van een opt-out is een wettelijke vereiste, geen voorkeur. Stop de gegevensstroom, zelfs als dit de prestaties van retargeting schaadt.
  • Hersteltermijnen laten verlopen voordat u actie onderneemt. Als u een melding van een overtreding ontvangt, heeft u een beperkt tijdsbestek. Kom direct in actie, documenteer het herstel en vraag om een schriftelijke bevestiging van de toezichthouder.

Houd uw compliance-records vanaf de eerste dag op orde

Terwijl u een privacyprogramma opbouwt in de lappendeken van verschillende staten, verzamelt u facturen van leveranciers, retainers van consultants, verzekeringspremies en incidentresponskosten die moeten worden bijgehouden, gecategoriseerd en gerapporteerd. Beancount.io biedt plain-text accounting die u volledige transparantie en versiebeheer over uw financiële gegevens geeft — wat jaarlijkse bestuursrapportages, verzekeringsverlengingen en analyses van nalevingskosten aanzienlijk eenvoudiger maakt dan het worstelen met een black-box grootboek. Begin gratis en ontdek waarom ontwikkelaars, financiële professionals en privacybewuste ondernemers vertrouwen op plain-text accounting voor hun bedrijfsadministratie.