Virginia · VCDPAWordPress-hosting met VCDPA-plugin ingebouwd in het platform.
Opt-out-signalen voor verkoop en gerichte reclame, opt-in voor gevoelige data, een workflow met 45 dagen responstijd en een beroepskanaal — afgehandeld door Yovale's compliance-MU-plugin. Je installeert hem niet. Je update hem niet. Je betaalt er niet voor. Zo wordt elke Yovale-site uitgerold, op elk plan. Hetzelfde platform regelt ook CCPA, CO CPA, CT DPA en UT UCPA — een stack, elke Amerikaanse privacywet op staatsniveau.
Onder de VCDPA kun je bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling. Je kunt de data die we van je hebben ook inzien, corrigeren, verwijderen of exporteren.
Zes verplichtingen waar je aan moet voldoen.
De Virginia Consumer Data Protection Act trad op 1 januari 2023 in werking en maakt Virginia na Californië de tweede Amerikaanse staat met een brede consumentenprivacywet. De wet geldt voor controllers die persoonsgegevens verwerken van 100.000 of meer consumenten in Virginia, of vanaf 25.000 wanneer 50% of meer van de omzet uit de verkoop van persoonsgegevens komt. Handhaving ligt bij de Virginia Attorney General, met civiele boetes tot $7,500 per overtreding.
- 01
Opt-out voor verkoop, gerichte reclame, profiling
Consumenten kunnen bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling met juridische of vergelijkbaar significante gevolgen. Het mechanisme moet helder en zichtbaar zijn en vrij van dark patterns.
- 02
OPT-IN voor gevoelige data
Je mag geen gevoelige data verwerken zonder uitdrukkelijke toestemming. Gevoelige data omvat etnische afkomst, religie, diagnose van mentale of fysieke gezondheid, seksuele geaardheid, nationaliteit en immigratiestatus, genetische of biometrische data, exacte geolocatie en gegevens van een bekend kind.
- 03
Consumentenrechten: inzage, correctie, verwijdering, portabiliteit
Consumenten in Virginia kunnen inzage vragen in de persoonsgegevens die je bewaart, onjuistheden laten corrigeren, hun data laten verwijderen en een draagbare kopie krijgen in een direct bruikbaar formaat. Je antwoordt binnen 45 dagen, eenmaal verlengbaar met 45 dagen als dat redelijkerwijs nodig is.
- 04
Beroepsprocedure
Als je een verzoek afwijst, moet je de consument een duidelijke route bieden om in beroep te gaan en binnen 60 dagen op het beroep reageren. Wordt het beroep ook afgewezen, dan geef je een uitleg plus een link om een klacht in te dienen bij de Virginia Attorney General.
- 05
Verplichtingen controller en processor
Contracten tussen controller en processor moeten verwerkingsinstructies, vertrouwelijkheid, verwijdering of retournering van data aan het einde van de dienst en hulp bij consumentenverzoeken vastleggen. Yovale treedt op grond van een schriftelijk contract op als jouw processor.
- 06
Data protection assessments
Voer een gedocumenteerde data protection assessment uit voor elke verwerking met een verhoogd risico op schade — gerichte reclame, verkoop van persoonsgegevens, profiling met significante gevolgen en elke verwerking van gevoelige data.
Ingebouwd in het platform. Geen plugin die je installeert.
Yovale levert VCDPA-compliance als gesigneerde must-use plugin — onderdeel van de hosting zelf, niet iets dat je uit de WordPress-repository haalt. Het plugin is versie-gepind, wordt vanuit R2 met SHA-256-verificatie opgehaald en tijdens provisioning in een per-site bind-gemounte mu-plugins-map gezet. Updates lopen via hetzelfde kanaal als je hosting-updates.
Geo-bewuste consent en opt-out
Bezoekers uit Virginia zien VCDPA-opt-out-controles voor verkoop, gerichte reclame en profiling, plus opt-in-prompts voordat een gevoelige categorie wordt verwerkt. EU-bezoekers zien GDPR-opt-in. Bezoekers uit Californië zien CCPA. Een platform, elke regulering.
Privacyportaal
/.well-known/privacy op elke Yovale-site. Consumenten in Virginia dienen inzage-, correctie-, verwijderings- en portabiliteitsverzoeken in zonder support-ticket. Elk verzoek verschijnt in het Compliance-tabblad van je dashboard met een SLA-timer van 45 dagen.
Beroepsworkflow
Wordt een verzoek afgewezen, dan krijgt de consument een een-klik-beroepslink. Het beroep opent een aparte zaak van 60 dagen SLA in je dashboard, met de oorspronkelijke beslissing eraan vast. Wijs je het beroep ook af, dan voegt het platform automatisch de klachtlink naar de Virginia AG toe.
Ondertekend processor-contract
Vooraf ondertekend controller-processor-contract conform VCDPA § 59.1-579, als PDF in je dashboard. Vermeldt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, verwijdering aan het einde van de dienst en hulp bij consumentenverzoeken.
Waarom infrastructuur het wint van een plugin.
Typische WordPress-VCDPA-plugin
- Voegt 200-500 ms toe aan elke pageload (banner-JS, geo-lookup, DB-writes)
- Bewaart opt-out-signalen in wp_options — traag, untyped, breekt met object caching
- Updatet via wp-admin — jij onderhoudt het, jij breekt het, jij debugt conflicten
- Kost $49-149/jaar per site en dekt de beroepsworkflow zelden
- Breekt bij hostingmigratie; opt-out-historie en beroepsdossiers gaan verloren
Yovale's ingebouwde aanpak
- 0 ms latency — opt-out-status berekend op de edge worker, gecached in de CDN
- Audit log in een eigen database, queryable, blokkeert nooit de rendering
- Updates komen via het platform — je ziet ze niet, je breekt ze niet
- Inbegrepen op elk plan ($149 / $249 / $499 per jaar), geen compliance-kosten per site
- Reist met je site voor altijd mee — opt-out- en beroepshistorie is van jou en exporteerbaar
14 regelgevingen. één toggle per stuk. allemaal automatisch.
- Opt-out voor verkoop, gerichte reclame, profiling
- Opt-in voor gevoelige data
- Antwoord op verzoeken binnen 45 dagen
- Beroepsprocedure binnen 60 dagen
- Data protection assessments
VCDPA + Yovale, beantwoord.
Geldt de VCDPA voor mijn site?
Hij geldt als je in een kalenderjaar persoonsgegevens controleert van 100.000 of meer consumenten in Virginia, of vanaf 25.000 wanneer 50% of meer van je bruto-omzet uit de verkoop van persoonsgegevens komt. Overheidsorganen, bepaalde non-profits, HIPAA-entiteiten en FERPA-onderwijsdata vallen erbuiten. Zit je onder de drempels, dan ben je niet direct gedekt, maar Yovale zet dezelfde bescherming standaard aan zodat je site klaar is zodra je ze overschrijdt.
Wat is het verschil tussen VCDPA en CCPA?
Beide geven consumenten een opt-out voor verkoop en gerichte reclame plus rechten op inzage, verwijdering en portabiliteit. De VCDPA gaat verder op gevoelige data — die vereist een OPT-IN, terwijl Californië werkt met een opt-out-signaal. De VCDPA schrijft ook een formele beroepsprocedure voor bij afgewezen verzoeken en wordt door de Virginia Attorney General gehandhaafd; er is geen private right of action. Yovale dekt beide regimes vanuit één platform.
Hoe werkt de opt-out in de praktijk?
Bezoekers uit Virginia zien een duidelijke opt-out-knop in de consent-banner en in het privacyportaal op /.well-known/privacy. Eén klik stopt verkoop, gerichte reclame en profiling direct op de Cloudflare edge worker — voordat analytics, ad-pixels of third-party tags afvuren. De opt-out wordt vastgelegd in de audit log met tijdstempel en uit het IP afgeleide regio.
Wat valt onder gevoelige data en hoe werkt de opt-in?
Gevoelige data onder de VCDPA omvat raciale of etnische afkomst, religieuze overtuiging, diagnose van mentale of fysieke gezondheid, seksuele geaardheid, nationaliteit of immigratiestatus, genetische of biometrische data die een persoon uniek identificeren, exacte geolocatie en persoonsgegevens van een bekend kind. Yovale's MU-plugin blokkeert elke plugin of script dat een gevoelige categorie raakt totdat de consument via de consent-UI actief heeft opted in.
Wat gebeurt er als ik een verzoek afwijs?
Het platform stuurt de consument een afwijzingsmelding met een een-klik-beroepslink. Het beroep opent een aparte zaak in je Compliance-dashboard met een eigen 60-daagse SLA. Wijs je het beroep ook af, dan voegt Yovale automatisch een link toe waarmee de consument een klacht kan indienen bij de Virginia Attorney General, zoals VCDPA § 59.1-577(C) vereist.
Leveren jullie een processor-contract?
Ja. Een vooraf ondertekend controller-processor-contract conform VCDPA § 59.1-579 staat als PDF in je dashboard. Wij staan vermeld als jouw processor, jij bent de controller. Het noemt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, retournering of verwijdering van data aan het einde van de dienst en onze plicht om te helpen met consumentenverzoeken en data protection assessments.
Lanceer een VCDPA-conforme WordPress-site in 60 seconden.
Elke Yovale-site is vanaf de deploy klaar voor de VCDPA. Geen plugin installeren. Geen processor-contract achterna jagen. Geen beroepsworkflow bouwen. Start de Growth-proef en bekijk je eerste compliance-dashboard.