Nu starten  Neem contact op 
Nu starten  Neem contact op 

Hoe kies je een CCPA-conforme betaaldienstverlener

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Waarom is de California Consumer Privacy Act belangrijk voor betalingen?
  3. Welke persoonsgegevens gebruikt een betalingsverwerker?
  4. Hoe moet je de compliance met de CCPA door een leverancier beoordelen?
  5. Welke signalen wijzen op zwakke gegevensbeheer bij betalingen?
  6. Hoe kunnen inkoopteams een offerteaanvraag opstellen om tekortkomingen in de compliance met de CCPA vroegtijdig op te sporen?
  7. Hoe Stripe Payments kan helpen
  8. Aan de slag met Stripe 

De California Consumer Privacy Act (CCPA) en de uitbreiding daarvan, de California Privacy Rights Act (CPRA), stellen normen vast voor de manier waarop digitale dienstverleners de gegevens van klanten in de Golden State verzamelen en delen. Het is super belangrijk om te kijken of je een betaaldienstverlener kiest die aan de CCPA en CPRA voldoet, want de boete voor elke overtreding kan bijna $ 8.000 zijn.

Hieronder leggen we uit hoe je een betaaldienstverlener kiest die aan de CCPA voldoet, inclusief hoe je de privacycapaciteiten van providers kunt beoordelen en hoe je in een vroeg stadium van het aankoopproces kunt zien of er hiaten in de compliance zijn.

Wat staat er in dit artikel?

  • Waarom is de California Consumer Privacy Act belangrijk voor betalingen?
  • Welke persoonsgegevens gebruikt een betalingsverwerker?
  • Hoe moet je de compliance met de CCPA door een leverancier beoordelen?
  • Welke signalen wijzen op zwak gegevensbeheer bij betalingen?
  • Hoe kunnen inkoopteams een offerteaanvraag opstellen om hiaten in de compliance met de CCPA vroegtijdig op te sporen?
  • Hoe Stripe Payments kan helpen

Waarom is de California Consumer Privacy Act belangrijk voor betalingen?

De CCPA geeft inwoners van Californië het recht om te weten hoe hun persoonsgegevens worden verzameld, om te vragen deze te verwijderen en om te voorkomen dat ze worden verkocht. De CCPA is ook van toepassing op betaaldienstverleners, omdat zij gevoelige gegevens verwerken, zoals namen, e-mailadressen, adressen, kaartnummers en transactiegegevens.

Betaalaanbieders worden in de wet vaak gezien als ‘dienstverleners’. Ondernemingen kunnen klantgegevens om beperkte en specifieke redenen delen met betaalaanbieders, en aanbieders moeten hetzelfde niveau van privacybescherming bieden. Als een betalingsverwerker die gegevens voor andere doeleinden gebruikt (bijvoorbeeld door transactiegeschiedenissen te analyseren om eigen marketingproducten te ontwikkelen), overschrijdt hij die wettelijke grens.

Het negeren van de CCPA kan leiden tot boetes en reputatieschade, zelfs als je bedrijf buiten Californië is gevestigd. De CCPA is van toepassing op alle inwoners van Californië, ongeacht waar je onderneming is gevestigd, vergelijkbaar met de Europese Algemene Verordening Gegevensbescherming (AVG).

Welke persoonsgegevens gebruikt een betalingsverwerker?

Elke betaling omvat een verscheidenheid aan persoonlijke en gevoelige informatie.

Dit kan het volgende omvatten:

  • Klantidentificatiegegevens: namen, e-mailadressen, postadressen en accountnamen. Zelfs internetprotocoladressen (IP-adressen) die tijdens het afrekenen worden verzameld, worden beschouwd als persoonlijke gegevens.

  • Financiële gegevens: creditcard- en debitcardnummers, vervaldata, beveiligingscodes en bankrekening- en routingnummers. De CCPA classificeert deze als gevoelige persoonlijke informatie omdat ze rechtstreeks verband houden met de financiële identiteit.

  • Transactiegegevens: aankoopgeschiedenis, orderwaarden, tijdstempels en bedrijfsgegevens. Deze gegevens laten uitgavenpatronen zien die aan specifieke personen zijn gekoppeld.

  • Gegevens voor fraudepreventie: apparaatvingerafdrukken, geolocatie en gedragsindicatoren die worden gebruikt om fraude op te sporen, worden volgens de wet allemaal als persoonsgegevens beschouwd.

  • Authenticatiegegevens: versleutelde inloggegevens, accounttokens en soms biometrische identificatiegegevens, zoals gezichts- of vingerafdrukverificatie, worden beschouwd als gevoelige gegevens.

  • Klantcommunicatie: ondersteuningsmails, chatlogs en gespreksopnames bevatten vaak persoonsgegevens die gekoppeld zijn aan accounts of transacties.

Hoe moet je de compliance met de CCPA door een leverancier beoordelen?

Betaaldienstverleners verwerken gegevens namens jou, maar je moet ervoor zorgen dat ze de verzoeken kunnen ondersteunen waar je klanten wettelijk recht op hebben.

Houd rekening met het volgende:

  • Omgaan met toestemming en opt-out: Volgens de CCPA hebben veel betaaldienstverleners geen opt-in-toestemming nodig om gegevens te verzamelen, maar moeten ze wel de voorkeuren voor ‘Niet verkopen of delen’ respecteren. Als ze cookies of trackingtools gebruiken voor fraudedetectie of analyse, moet je controleren of deze niet in strijd zijn met het recht op opt-out.

  • Toegang en overdraagbaarheid: Klanten hebben het recht om te weten welke persoonsgegevens een onderneming bewaart. Dat betekent dat je leverancier deze op verzoek moet kunnen ophalen. Vraag hoe hij individuele records lokaliseert en compileert (via e-mail, kaarttoken of transactie-ID) en hoe hij de identiteit verifieert voordat hij gegevens vrijgeeft. Ervaren leveranciers kunnen deze informatie verstrekken via een applicatieprogrammeerinterface (API) of een gedefinieerde workflow.

  • Controle op verwijdering en bewaring: Dienstverleners moeten meestal klantgegevens verwijderen als je dat vraagt. Het verwijderen van betalingsgegevens is niet altijd even makkelijk. Leveranciers moeten persoonsgegevens kunnen verwijderen als je dat vraagt, terwijl ze de gegevens bewaren die wettelijk verplicht zijn voor compliance.

Welke signalen wijzen op zwakke gegevensbeheer bij betalingen?

Als je de waarschuwingssignalen van zwakke gegevensbeheer herkent, kun je jezelf later behoeden voor compliancerisico's en reputatieschade.

Let op het volgende:

  • Geen bewijs van compliance: Een volwassen leverancier kan bewijs laten zien van zorgvuldig gegevensbeheer. Payment Card Industry Data Security Standard (PCI DSS) rapporten, gedocumenteerde CCPA-procedures, System and Organization Controls (SOC) 2 rapporten of International Organization for Standardization (ISO) certificeringen kunnen context bieden.

  • Vage beveiligingspraktijken: encryptie, toegangscontroles en kwetsbaarheidstests moeten standaard zijn. Als een leverancier onversleutelde kaartgegevens opslaat, geen meervoudige authenticatie heeft of zijn plan voor het reageren op inbreuken niet kan beschrijven, is dat een dealbreaker.

  • Ondoorzichtig gegevensgebruik: Sommige betaaldienstverleners gebruiken transactiegegevens voor analyses, advertenties of machine-learningmodellen die niets met je onderneming te maken hebben. Ze moeten klanten de keuze geven om zich af te melden voor gerichte advertenties.

  • Weerstand tegen transparantie: Ontwijkend gedrag tijdens due diligence (bijvoorbeeld het vermijden van directe antwoorden over gegevensstromen, bewaring of subverwerkers) is een duidelijk waarschuwingssignaal. Andere verontrustende signalen zijn onder meer het weigeren om beveiligingsvragenlijsten in te vullen of beperkte audits toe te staan.

  • Geen leiderschap op het gebied van privacy: Als de leverancier geen privacyfunctionaris of compliance-team heeft, of geen interne training voor medewerkers die met klantgegevens werken, is het risicobeheer waarschijnlijk op zijn best reactief.

Hoe kunnen inkoopteams een offerteaanvraag opstellen om tekortkomingen in de compliance met de CCPA vroegtijdig op te sporen?

Een offerteaanvraag (RFP) voor een betaaldienstverlener kan je helpen om de volwassenheid van het gegevensbeheer van leveranciers te vergelijken.

Overweeg de volgende acties:

  • Voeg een apart gedeelte over privacy toe: Verberg gegevensbescherming niet in de bijlage. Maak van CCPA-compliance een aparte categorie met een eigen score, om aan te geven dat privacy deel uitmaakt van de zakelijke criteria en geen bijzaak is.

  • Vraag om specifieke gegevens: Vraag om een duidelijke lijst van welke persoonlijke info de leverancier verzamelt, verwerkt en bewaart, zoals namen, e-mails, kaartgegevens en apparaat-ID's, en waarom. Vergelijk de antwoorden van verschillende leveranciers, waarbij je je realiseert dat het verzamelen van extra of onnodige gegevens een waarschuwing kan zijn.

  • Kijk hoe er met klantrechten wordt omgegaan: Vraag hoe toegangs- en verwijderingsverzoeken worden verwerkt, inclusief verificatie en doorlooptijden. Goede leveranciers kunnen dit stap voor stap uitleggen of voorbeeldworkflows geven.

  • Check hoe gegevens worden bewaard en verwijderd: Vraag leveranciers om aan te geven hoe lang ze persoonsgegevens bewaren, wanneer gegevens worden verwijderd en hoe ze met gegevens omgaan als je contract afloopt. Je wilt dat ze zich ertoe verbinden om gegevens op verzoek te verwijderen of terug te geven.

  • Beoordeel de veiligheid en transparantie: Vraag om auditrapporten (bijv. SOC 2, PCI DSS, ISO/IEC 27001) en schriftelijke procedures voor het melden van inbreuken. Leveranciers die deze niet kunnen leveren, zijn niet klaar voor compliance met bedrijfsvoorschriften.

Hoe Stripe Payments kan helpen

Stripe Payments biedt een uniforme, wereldwijde betaaloplossing waarmee elke onderneming, van groeiende start-ups tot internationale ondernemingen, online, persoonlijk en overal ter wereld betalingen kan ontvangen.

Stripe Payments kan je helpen met:

  • Je afrekenervaring te optimaliseren: creëer een probleemloze klantervaring en bespaar duizenden technische uren met vooraf gebouwde betalingsinterfaces, toegang tot 125+ betaalmethoden en Link, een wallet gebouwd door Stripe.

  • Sneller uit te breiden naar nieuwe markten: bereik klanten over de hele wereld en verminder de complexiteit en kosten van multivalutabeheer met grensoverschrijdende betaalopties, beschikbaar in 195 landen in 135+ valuta's.

  • Persoonlijke en online betalingen samen te voegen: bouw een unified commerce-ervaring op via online en persoonlijke kanalen om interacties te personaliseren, loyaliteit te belonen en inkomsten te laten groeien.

  • De betaalprestaties te verbeteren: verhoog inkomsten met een reeks aanpasbare, eenvoudig te configureren betaaltools, waaronder no code-fraudebescherming en geavanceerde mogelijkheden om autorisatiepercentages te verbeteren.

  • Sneller te werken met een flexibel, betrouwbaar platform voor groei: bouw voort op een platform dat is ontworpen om met jou mee te groeien, met een historische uptime van 99,999% en toonaangevende betrouwbaarheid.

Lees meer over hoe Stripe Payments je online en fysieke betalingen kan stimuleren, of ga er vandaag nog mee aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Er is iets misgegaan. Probeer het opnieuw of neem contact op met support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.