EU Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Analyse

Californië's CCPA-regels voor geautomatiseerde besluitvorming: de privacyroute naar AI-verantwoording

Vastgesteld 2026-06-29 · ≈ 3 min lezen · Dirk Baaijen

De Californische privacytoezichthouder stelde bindende CCPA-regels vast over geautomatiseerde besluitvorming (ADMT), risicobeoordelingen en cybersecurityaudits. Sinds 1 januari 2026 van kracht; ze reiken via privacyrecht naar AI-besluiten, geen AI-wet, met gefaseerde plichten vanaf 2027.

Hoewel de Verenigde Staten nog altijd geen federale AI-wet kennen, kwamen de ingrijpendste Amerikaanse regels over geautomatiseerde besluitvorming van 2026 niet uit een "AI-wet". Ze kwamen van een privacytoezichthouder. Op 1 januari 2026 traden de gewijzigde CCPA-regels van Californië in werking, met bindende verplichtingen rond geautomatiseerde besluitvormings­ technologie (ADMT), risicobeoordelingen en cybersecurityaudits. Het bestuur van de California Privacy Protection Agency (CPPA) stelde de tekst vast op 24 juli 2025; het Office of Administrative Law keurde die goed en registreerde haar op 22 september 2025, met ingangsdatum 1 januari 2026.

Dit is een andere route dan Californië koos met zijn Frontier AI-wet (SB 53), die zich richt op een handvol grote modelontwikkelaars, en dan de golf eigen AI-wetten die in AI-wetgeving in de VS in kaart is gebracht. Hier is de hefboom consumentenprivacy: elk bedrijf dat al onder de CCPA valt en computatie gebruikt om besluiten over mensen te nemen, erft een nieuwe laag verplichtingen.

Wat geldt als ADMT, en welke besluiten vallen eronder

De regels definiëren ADMT in § 7001 als "elke technologie die persoonsgegevens verwerkt en computatie gebruikt om menselijke besluitvorming te vervangen of substantieel te vervangen." "Technologie" omvat uitdrukkelijk software afgeleid van machinaal leren, statistiek, andere gegevensverwerkingstechnieken of kunstmatige intelligentie. Een systeem "vervangt substantieel" de menselijke besluitvorming wanneer het bedrijf de output gebruikt om een besluit te nemen zonder betekenisvolle menselijke tussenkomst — een reviewer die de output slechts afstempelt, haalt het systeem niet uit het toepassingsbereik.

De plichten gelden alleen waar ADMT wordt gebruikt voor een "significant besluit", in § 7001 gedefinieerd als een besluit dat resulteert in het verlenen of weigeren van financiële of kredietdiensten, huisvesting, onderwijsinschrijving of -kansen, werk- of opdrachtnemerskansen of beloning, of gezondheidszorg. Reclame en de meeste routinematige personalisatie vallen buiten die lijst — een bewuste versmalling ten opzichte van de bredere eerdere ontwerpen van de toezichthouder.

Drie pijlers, gefaseerde naleving

De regels stapelen drie verplichtingen met gespreide deadlines, zodat de ingangsdatum van 1 januari 2026 onderschat wanneer de plichten werkelijk gaan knellen:

  • ADMT-consumentenrechten — vanaf 1 januari 2027. Een bedrijf dat ADMT voor

een significant besluit gebruikt vóór 1 januari 2027, moet uiterlijk op die datum compliant zijn; ADMT die daarna in gebruik wordt genomen, moet dat zijn vóór het eerste gebruik. Consumenten krijgen een voorafgaande kennisgeving, een recht om zich af te melden (met uitzonderingen zoals beveiliging, fraudebestrijding of waar een menselijke heroverweging wordt geboden) en een recht op inzage in hoe het bedrijf ADMT gebruikte — inclusief de logica en hoe de output in het besluit is verwerkt.

  • **Risicobeoordelingen — plicht vanaf 1 januari 2026, eerste indiening

1 april 2028. Bedrijven van wie de verwerking significant risico oplevert (waaronder ADMT-gebruik voor significante besluiten en bepaalde profilering) moeten een risicobeoordeling uitvoeren en documenteren. Voor verwerkingen in 2026 en 2027 moeten een verklaring en samenvatting uiterlijk 1 april 2028** bij de CPPA worden ingediend.

  • Cybersecurityaudits — eerste rapporten 1 april 2028 tot 2030. Onder § 7121

is de deadline voor het eerste onafhankelijke auditrapport getrapt naar omzet: 1 april 2028 bij een omzet over 2026 boven \$100 miljoen, 1 april 2029 tussen \$50 miljoen en \$100 miljoen, en 1 april 2030 onder \$50 miljoen.

Waarom dit verder reikt dan Californië

Voor een internationaal publiek zit het belang in de vergelijking. Californië bereikt AI-gedreven besluiten via hetzelfde instrument dat de EU in de AVG gebruikt: gegevensbeschermingsrecht. De ADMT-opt-out, de voorafgaande kennisgeving en de inzagerechten weerspiegelen de logica van AVG-artikel 22 over geautomatiseerde individuele besluitvorming en de transparantierechten in de artikelen 13–15 — al bouwt Californië een opt-out-model in plaats van het gekwalificeerde verbod van de AVG, en koppelt het de plichten aan een gesloten lijst van "significante besluiten". De risicobeoordelingsplicht is een binnenlandse neef van de gegevensbeschermingseffectbeoordeling en van de conformiteits- en risicobeheerplichten onder de EU-AI-verordening, maar blijft stevig binnen het privacyrecht. Voor multinationals betekent dit praktisch dat een ADMT-systeem voor werving, krediet of toegang tot zorg zowel aan AVG-achtige regels voor geautomatiseerde besluiten in Europa als aan Californië's CCPA-regime kan moeten voldoen — convergerende eisen, bereikt via twee verschillende juridische routes.

Omdat Californië geen EU-jurisdictie is en deze regels buiten elk EU-AI-Act-regime vallen, dragen ze geen EU-regimelabel; deze entry is analytische context, geen nalevingsinstructie.

Bronnen

  1. https://cppa.ca.gov/regulations/ccpa_updates.html
    CPPA-regels over CCPA-updates, cybersecurityaudits, risicobeoordelingen, ADMT en verzekeraars; door OAL goedgekeurd 22 sept. 2025, van kracht 1 jan. 2026.
  2. https://cppa.ca.gov/announcements/2025/20250923.html
    CPPA-aankondiging (23 sept. 2025): regels van kracht 1 januari 2026; ADMT-eisen gelden voor significante besluiten vanaf 1 januari 2027.
  3. https://cppa.ca.gov/regulations/pdf/ccpa_updates_cyber_risk_admt_mod_txt_pro_reg.pdf
    Regeltekst: § 7001 definieert ADMT en "significant besluit"; ADMT-naleving uiterlijk 1 jan. 2027; § 7121 faseert eerste auditrapporten naar 1 apr. 2028/29/30.

Deel op LinkedIn

Lees ook

U

DSA: extra verplichtingen voor zeer grote onlineplatforms (VLOP)

De Digital Services Act legt platforms met meer dan 45 miljoen EU-gebruikers per maand de zwaarste verplichtingen op, inclusief jaarlijkse onafhankelijke audits, risicobeoordeling en toezicht door de Europese Commissie.

A

People analytics die verloop voorspelt: waarom 'flight-risk'-scores juridisch wankel zijn

AI die voorspelt welke medewerkers gaan vertrekken (flight-risk) is juridisch hoogst problematisch: doelbinding, proportionaliteit, AVG art. 22 en het risico van zelfvervullende voorspelling en discriminatie. Alleen geaggregeerd is het soms verdedigbaar.

A

AI-fraudedetectie door de overheid: de lessen na SyRI

Na de SyRI-uitspraak (Rechtbank Den Haag, 2020) en de toeslagenaffaire is overheidsfraudedetectie met AI hoogrisico onder bijlage III. De lessen: geen ondoorzichtige risicoscores, geen proxy-discriminatie, wél proportionaliteit, uitlegbaarheid en grondrechtentoets.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.