Connecticut · CTDPAWordPress-hosting met CTDPA-plugin ingebouwd in het platform.
Opt-out-signalen voor verkoop en gerichte reclame, opt-in voor gevoelige data, een workflow met 45 dagen responstijd en een Universal Opt-Out Mechanism dat Global Privacy Control direct op de Cloudflare-edge honoreert — afgehandeld door Yovale's compliance-MU-plugin. Je installeert hem niet. Je update hem niet. Je betaalt er niet voor. Zo wordt elke Yovale-site uitgerold, op elk plan. Hetzelfde platform regelt ook CCPA, VCDPA, CPA, TDPSA, OCDPA en MCDPA — een stack, elke Amerikaanse privacywet op staatsniveau.
Onder de CTDPA kun je bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling. Je kunt de data die we van je hebben inzien, corrigeren, verwijderen of exporteren, en in beroep gaan tegen elke afwijzing.
Zes verplichtingen waar je aan moet voldoen.
De Connecticut Data Privacy Act trad op 1 juli 2023 in werking en maakt Connecticut de vijfde Amerikaanse staat met een brede consumentenprivacywet, naast Californië, Virginia, Colorado en Utah. De wet geldt voor controllers die persoonsgegevens verwerken van 100.000 of meer inwoners van Connecticut, of vanaf 25.000 inwoners wanneer 25% of meer van de omzet uit de verkoop van persoonsgegevens komt. Handhaving ligt bij de Connecticut Attorney General onder de Connecticut Unfair Trade Practices Act (CUTPA), met civiele boetes tot $5,000 per overtreding. De 60-daagse hersteltermijn liep af op 31 december 2024.
- 01
Opt-out voor verkoop, gerichte reclame, profiling
Consumenten kunnen bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling ter ondersteuning van beslissingen met juridische of vergelijkbaar significante gevolgen. Het mechanisme moet helder en zichtbaar zijn en vrij van dark patterns.
- 02
Universal Opt-Out Mechanism (UOOM)
Sinds 1 januari 2025 moeten controllers een Universal Opt-Out Mechanism zoals Global Privacy Control (GPC) herkennen en honoreren. Een browsersignaal telt als geldige opt-out voor verkoop en gerichte reclame — een klik op de consent-banner is niet nodig. Het niet honoreren van GPC is de meestvoorkomende aanleiding voor CTDPA-handhaving.
- 03
OPT-IN voor gevoelige data
Je mag geen gevoelige data verwerken zonder uitdrukkelijke toestemming. Gevoelige data omvat raciale of etnische afkomst, religieuze overtuiging, diagnose van mentale of fysieke gezondheid, seksuele geaardheid, nationaliteit en immigratiestatus, genetische of biometrische data, exacte geolocatie en persoonsgegevens van een bekend kind.
- 04
Consumentenrechten: inzage, correctie, verwijdering, portabiliteit
Inwoners van Connecticut kunnen inzage vragen in de persoonsgegevens die je bewaart, onjuistheden laten corrigeren, hun data laten verwijderen en een draagbare kopie krijgen in een direct bruikbaar formaat. Je antwoordt binnen 45 dagen, eenmaal verlengbaar met 45 dagen als dat redelijkerwijs nodig is.
- 05
Beroepsprocedure binnen 60 dagen
Als je een verzoek afwijst, moet je de inwoner een duidelijke route bieden om in beroep te gaan en binnen 60 dagen op het beroep reageren. Wordt het beroep afgewezen, dan geef je een schriftelijke uitleg en een online mechanisme om een klacht in te dienen bij de Connecticut Attorney General.
- 06
Contracten tussen controller en processor
Contracten tussen controller en processor moeten verwerkingsinstructies, vertrouwelijkheid, verwijdering of retournering van data aan het einde van de dienst, auditrechten en hulp bij consumentenverzoeken vastleggen. Yovale treedt op grond van een schriftelijk contract op als jouw processor.
Ingebouwd in het platform. Geen plugin die je installeert.
Yovale levert CTDPA-compliance als gesigneerde must-use plugin — onderdeel van de hosting zelf, niet iets dat je uit de WordPress-repository haalt. Het plugin is versie-gepind, wordt vanuit R2 met SHA-256-verificatie opgehaald en tijdens provisioning in een per-site bind-gemounte mu-plugins-map gezet. De GPC-detectie draait op de Cloudflare edge worker voordat er WordPress-code wordt uitgevoerd, zodat opt-out-signalen ook werken op gecachte HTML.
GPC-bewuste consent-banner
Bezoekers uit Connecticut zien CTDPA-opt-out-controles voor verkoop, gerichte reclame en profiling. De Sec-GPC-header en het DOM-signaal Global Privacy Control worden op de edge gelezen — staat GPC aan, dan worden verkoop en gerichte reclame geblokkeerd voordat de banner ueberhaupt rendert, en de audit log noteert de opt-out met GPC-herkomst.
Privacyportaal
/.well-known/privacy op elke Yovale-site. Inwoners van Connecticut dienen inzage-, correctie-, verwijderings- en portabiliteitsverzoeken in zonder support-ticket. Elk verzoek verschijnt in het Compliance-tabblad van je dashboard met een SLA-timer van 45 dagen. De identiteitsverificatie regelt het platform — jij beoordeelt en keurt alleen goed.
Beroepsworkflow met AG-klachtlink
Wordt een verzoek afgewezen, dan krijgt de inwoner een een-klik-beroepslink. Het beroep opent een aparte zaak van 60 dagen SLA in je dashboard, met de oorspronkelijke beslissing eraan vast. Wijs je het beroep ook af, dan voegt het platform automatisch de URL van het online klachtenformulier van de Connecticut AG toe, zoals de CTDPA vereist.
Ondertekend processor-contract
Vooraf ondertekend controller-processor-contract conform CTDPA Public Act 22-15 § 7, als PDF in je dashboard. Vermeldt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, auditrechten, verwijdering aan het einde van de dienst en hulp bij consumentenverzoeken en data protection assessments.
Waarom infrastructuur het wint van een plugin.
Typische WordPress-CTDPA-plugin
- Voegt 200-500 ms toe aan elke pageload (banner-JS, geo-lookup, DB-writes)
- Mist GPC-signalen — de meeste plugins lezen Sec-GPC nog steeds niet, het grootste CTDPA-gat
- Bewaart opt-out-signalen in wp_options — traag, untyped, breekt met object caching
- Updatet via wp-admin — jij onderhoudt het, jij breekt het, jij debugt conflicten
- Kost $49-149/jaar per site en dekt de beroepsworkflow of AG-link zelden
- Breekt bij hostingmigratie; opt-out-historie en beroepsdossiers gaan verloren
Yovale's ingebouwde aanpak
- 0 ms latency — GPC en opt-out-status berekend op de edge worker, gecached in de CDN
- Sec-GPC en DOM-signalen op de edge gelezen voordat enige banner rendert — zonder hersteltermijn telt dat
- Audit log in een eigen database, queryable, blokkeert nooit de rendering
- Updates komen via het platform — je ziet ze niet, je breekt ze niet
- Inbegrepen op elk plan ($149 / $249 / $499 per jaar), geen compliance-kosten per site
- Reist met je site voor altijd mee — opt-out- en beroepshistorie is van jou en exporteerbaar
14 regelgevingen. één toggle per stuk. allemaal automatisch.
- Opt-out voor verkoop, gerichte reclame, profiling
- GPC en UOOM honoreren (sinds 1 januari 2025)
- Opt-in voor gevoelige data
- Antwoord op verzoeken binnen 45 dagen
- Beroepsprocedure binnen 60 dagen
CTDPA + Yovale, beantwoord.
Geldt de CTDPA voor mijn site?
Hij geldt als je in een kalenderjaar persoonsgegevens controleert van 100.000 of meer inwoners van Connecticut, of vanaf 25.000 inwoners wanneer 25% of meer van je bruto-omzet uit de verkoop van persoonsgegevens komt — let op dat de drempelratio lager ligt dan de 50% van de VCDPA. Overheidsorganen, bepaalde non-profits, HIPAA-entiteiten en FERPA-onderwijsdata vallen erbuiten. Zit je onder de drempels, dan ben je niet direct gedekt, maar Yovale zet dezelfde bescherming standaard aan zodat je site klaar is zodra je ze overschrijdt.
Wat is er op 1 januari 2025 veranderd?
Twee dingen. Ten eerste liep de 60-daagse hersteltermijn op 31 december 2024 af — de Connecticut AG hoeft je niet langer de kans te geven een overtreding te herstellen voordat hij een handhavingsactie start. Ten tweede moeten controllers een Universal Opt-Out Mechanism zoals Global Privacy Control honoreren. Een browser die de header Sec-GPC: 1 verstuurt, geldt als een geldige opt-out voor verkoop en gerichte reclame, en je moet erop reageren, ook als de bezoeker nooit op je consent-banner klikt. Yovale's edge worker leest zowel Sec-GPC-headers als het DOM-signaal, past de opt-out toe voor enige rendering, en logt hem.
Wat is het verschil tussen CTDPA en CCPA?
Beide geven consumenten een opt-out voor verkoop en gerichte reclame plus rechten op inzage, verwijdering en portabiliteit. De CTDPA gaat verder op gevoelige data — die vereist een OPT-IN, terwijl Californië werkt met een opt-out-signaal. De CTDPA schrijft ook een formele beroepsprocedure voor bij afgewezen verzoeken en wordt door de Connecticut Attorney General gehandhaafd onder CUTPA; er is geen private right of action. Civiele boetes lopen tot $5,000 per overtreding tegen $7,500 onder CCPA. Yovale dekt beide regimes vanuit één platform.
Wat valt onder gevoelige data en hoe werkt de opt-in?
Gevoelige data onder de CTDPA omvat raciale of etnische afkomst, religieuze overtuiging, diagnose of conditie van mentale of fysieke gezondheid, seksuele geaardheid, nationaliteit of immigratiestatus, genetische of biometrische data die een persoon uniek identificeren, exacte geolocatie binnen 1.750 voet en persoonsgegevens van een bekend kind onder 13 jaar. Yovale's MU-plugin blokkeert elke plugin of script dat een gevoelige categorie raakt totdat de consument via de consent-UI actief heeft opted in.
Wat gebeurt er als ik een verzoek afwijs?
Het platform stuurt de consument een afwijzingsmelding met een een-klik-beroepslink. Het beroep opent een aparte zaak in je Compliance-dashboard met een eigen 60-daagse SLA. Wijs je het beroep ook af, dan voegt Yovale automatisch een link toe naar het online klachtenformulier van de Connecticut Attorney General, zoals de CTDPA vereist. Elke stap krijgt een tijdstempel in de audit log.
Leveren jullie een processor-contract?
Ja. Een vooraf ondertekend controller-processor-contract dat voldoet aan de processor-contracteisen van de CTDPA staat als PDF in je dashboard. Wij staan vermeld als jouw processor, jij bent de controller. Het noemt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, auditrechten, retournering of verwijdering van data aan het einde van de dienst en onze plicht om te helpen met consumentenverzoeken en data protection assessments.
Lanceer een CTDPA-conforme WordPress-site in 60 seconden.
Elke Yovale-site is vanaf de deploy klaar voor de CTDPA. GPC gehonoreerd op de edge. Opt-in voor gevoelige data afgedwongen. Beroepsworkflow actief. AG-klachtlink aangesloten. Start de Growth-proef en bekijk je eerste compliance-dashboard.