Colorado · CPAWordPress-hosting met CPA-plugin ingebouwd in het platform.
Opt-out-signalen voor verkoop, gerichte reclame en profiling, OPT-IN voor gevoelige data, een workflow met 45 dagen responstijd en — uniek onder Colorado-recht — het honoreren van het Universal Opt-Out Mechanism via Global Privacy Control-signalen direct in de Cloudflare edge worker. Afgehandeld door Yovale's compliance-MU-plugin. Je installeert hem niet. Je update hem niet. Je betaalt er niet voor. Hetzelfde platform regelt ook CCPA, VCDPA, CT DPA en TDPSA — een stack, elke Amerikaanse privacywet op staatsniveau.
Onder de Colorado Privacy Act kun je bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling voor juridisch significante beslissingen. Wij respecteren automatisch het Global Privacy Control-signaal van je browser. Je kunt de data die we van je hebben ook inzien, corrigeren, verwijderen of exporteren.
Zes verplichtingen waar je aan moet voldoen.
De Colorado Privacy Act trad op 1 juli 2023 in werking en maakt Colorado de derde Amerikaanse staat met een algemene consumentenprivacywet. Hij geldt voor controllers die jaarlijks de persoonsgegevens van 100.000 of meer inwoners van Colorado verwerken, of vanaf 25.000 wanneer 50% of meer van de omzet uit de verkoop van persoonsgegevens komt. De handhaving ligt bij de Colorado Attorney General en het Colorado Department of Law, met civielrechtelijke boetes tot $20,000 per overtreding onder de Colorado Consumer Protection Act. De herstelperiode van 60 dagen is op 1 januari 2025 verlopen — bij een eerste overtreding krijg je geen vrijbrief meer.
- 01
Opt-out voor verkoop, gerichte reclame, profiling
Inwoners van Colorado kunnen bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling met juridische of vergelijkbaar significante gevolgen. Het mechanisme moet duidelijk, opvallend, symmetrisch in keuze en vrij van dark patterns zijn.
- 02
Universal Opt-Out Mechanism (UOOM)
Sinds 1 juli 2024 verplicht en in deze precisie uniek voor Colorado. Controllers moeten browser-niveau opt-out-signalen zoals Global Privacy Control honoreren. Het signaal geldt als geldige opt-out voor verkoop en gerichte reclame op het moment dat het binnenkomt — geen klik op de banner nodig.
- 03
OPT-IN voor gevoelige data
Verwerking van gevoelige data vereist uitdrukkelijke toestemming. Gevoelige data omvat raciale of etnische afkomst, religie, mentale of lichamelijke gezondheidsdiagnose, seksuele orientatie of seksueel leven, nationaliteit of immigratiestatus, genetische of biometrische data verwerkt om iemand te identificeren, precieze geolocatie en gegevens van een bekend kind.
- 04
Rechten van de consument: inzage, correctie, verwijdering, portabiliteit
Inwoners van Colorado kunnen inzage vragen in de persoonsgegevens die je bewaart, onjuistheden laten corrigeren, ze laten verwijderen en een portable kopie krijgen in een goed bruikbaar formaat. Je reageert binnen 45 dagen, eenmalig verlengbaar met 45 dagen wanneer dat redelijkerwijs nodig is.
- 05
Beroepsprocedure
Wanneer je een verzoek afwijst, moet je een duidelijke beroepsmogelijkheid bieden en binnen 45 dagen op het beroep reageren, verlengbaar met 60 dagen wanneer dat redelijkerwijs nodig is. Wordt het beroep afgewezen, dan geef je een toelichting en een link om een klacht in te dienen bij de Colorado Attorney General.
- 06
Verplichtingen van controller en processor
Contracten tussen controllers en processoren moeten verwerkingsinstructies, vertrouwelijkheid, verwijdering of teruggave van data aan het einde van de dienst en assistentie bij consumentenverzoeken vastleggen. Yovale treedt op basis van een schriftelijk contract conform C.R.S. § 6-1-1305 op als jouw processor.
Ingebouwd in het platform. Geen plugin die jij installeert.
Yovale levert CPA-compliance als ondertekende must-use plugin — onderdeel van de hosting zelf, niet iets dat je uit het WordPress-repository installeert. Hij is versie-vast, wordt vanuit R2 opgehaald met SHA-256-verificatie en bij provisioning in een per-site bind-mounted mu-plugins-directory geplaatst. Updates komen via hetzelfde kanaal als je hosting-updates.
GPC gehonoreerd in de edge worker
Elk verzoek aan een Yovale-site wordt in de Cloudflare edge worker gecontroleerd op de header Sec-GPC: 1 en elk gelijkwaardig Universal Opt-Out-signaal. Als het signaal aanwezig is en de bezoeker uit Colorado komt, worden verkoop, gerichte reclame en profiling geblokkeerd voordat analytics, ad pixel of third-party tag wordt uitgevoerd. De opt-out komt automatisch in je audit log terecht.
Privacy-portaal
/.well-known/privacy op elke Yovale-site. Inwoners van Colorado kunnen verzoeken voor inzage, correctie, verwijdering en portabiliteit indienen zonder support-ticket. Elk verzoek verschijnt in het Compliance-tabblad van je dashboard met een 45-dagen SLA-timer en een beroepsflow met een klik erbij.
Beroepsworkflow
Als een verzoek wordt afgewezen, krijgt de consument een beroepslink met een klik. Het beroep opent een afzonderlijke 45-dagen SLA-zaak in je dashboard, met de oorspronkelijke beslissing aangehecht. Wijs je het beroep af, dan voegt het platform automatisch de klachtenlink naar de Colorado AG toe.
Getekend processor-contract
Vooraf getekend controller-processor-contract conform C.R.S. § 6-1-1305. Lijst elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, verwijdering aan het einde van de dienst en assistentie bij consumentenverzoeken en data protection assessments. PDF-download vanuit het dashboard.
Waarom infrastructuur een plugin verslaat.
Typische WordPress-CPA-plugin
- Kan GPC niet betrouwbaar honoreren — banner-JS draait pas nadat analytics en ad pixels al hebben gevuurd
- Slaat opt-out-signalen op in wp_options — traag, ongetypeerd, breekt met object caching
- Werkt zich bij via wp-admin — jij onderhoudt het, jij breekt het, jij debugt conflicten
- Kost $49-149/jaar per site en dekt de beroepsworkflow zelden
- Breekt bij hostingmigratie; opt-out-historie en beroepsdossiers raken kwijt
De ingebouwde aanpak van Yovale
- GPC gehonoreerd in de Cloudflare edge worker — voor WordPress, voor pixels, voor analytics
- Audit log in een eigen database, te bevragen, blokkeert het renderen nooit
- Updates komen via het platform — je ziet ze niet, je breekt ze niet
- Inbegrepen in elk plan ($149 / $249 / $499 per jaar), geen compliance-kosten per site
- Reist met je site mee voor altijd — opt-out- en beroepshistorie is van jou, exporteerbaar
14 regelgevingen. één toggle per stuk. allemaal automatisch.
- Opt-out voor verkoop, gerichte reclame, profiling
- Universal Opt-Out Mechanism (GPC) honoreren
- Opt-in voor gevoelige data
- Reactie op consumentenverzoeken binnen 45 dagen
- Beroepsprocedure binnen 45 dagen
CPA + Yovale, beantwoord.
Geldt de CPA voor mijn site?
Hij geldt als je in een kalenderjaar de persoonsgegevens van 100.000 of meer inwoners van Colorado controleert of verwerkt, of van 25.000 of meer wanneer je inkomsten haalt of kortingen op goederen of diensten ontvangt uit de verkoop van persoonsgegevens. In tegenstelling tot Californie is er geen minimum omzetdrempel. Overheidsinstanties, HIPAA-gedekte entiteiten en FERPA-gedekte onderwijsgegevens vallen buiten het bereik. Zit je onder de drempels, dan val je niet rechtstreeks onder de wet, maar Yovale activeert standaard dezelfde bescherming zodat je site klaar is wanneer je ze passeert.
Hoe honoreren jullie Global Privacy Control concreet?
Elk verzoek aan een Yovale-site loopt door een Cloudflare edge worker die de Sec-GPC-header inspecteert. Als de bezoeker wordt herkend als inwoner van Colorado en Sec-GPC: 1 is gezet, injecteert de worker een opt-out-status in het verzoek voordat WordPress het ziet. Analytics, ad pixels en third-party tags die anders verkoop- of gerichte-reclame-cookies zouden zetten, worden bij het HTML-renderen onderdrukt. De opt-out wordt gelogd met tijdstempel en regio afgeleid van het IP. Geen klik op de banner nodig — het signaal is de keuze.
Wat is het verschil tussen CPA, CCPA en VCDPA?
Alle drie geven consumenten in Colorado, Californie en Virginia opt-out voor verkoop en gerichte reclame plus rechten op inzage, verwijdering en portabiliteit. De CPA is het strengst op het Universal Opt-Out Mechanism — controllers moeten browsersignalen zoals GPC standaard honoreren. Hij komt overeen met Virginia in de eis van OPT-IN voor gevoelige data, terwijl Californie alleen een opt-out voor gebruiksbeperking biedt. Het CPA-plafond van $20,000 per overtreding is hoger dan de $7,500 van de VCDPA. Yovale dekt de drie regimes vanuit een platform.
Wat geldt onder de CPA als gevoelige data?
Gevoelige data omvat raciale of etnische afkomst, religie, mentale of lichamelijke gezondheidsdiagnose, seksuele orientatie of seksueel leven, nationaliteit of immigratiestatus, genetische of biometrische gegevens die worden verwerkt om iemand uniek te identificeren, precieze geolocatie en persoonsgegevens van een bekend kind. Yovale's MU-plugin blokkeert elke plugin of script dat een gevoelige categorie raakt, totdat de consument actief opt-in heeft gegeven via de consent-UI.
Geldt de 60-dagen herstelperiode nog?
Nee. De 60-dagen herstelbepaling van de Colorado Privacy Act is op 1 januari 2025 verlopen. Sindsdien kan de Colorado Attorney General een overtreding direct vervolgen onder de Colorado Consumer Protection Act met boetes tot $20,000 per overtreding. Yovale levert elke site vanaf dag een met de volledige compliance-houding, dus er valt niets te herstellen wanneer een onderzoek binnenkomt.
Wat gebeurt er als ik een verzoek afwijs?
Het platform stuurt de consument een afwijzing met een beroepslink met een klik. Het beroep opent een afzonderlijke zaak in je Compliance-dashboard met een eigen 45-dagen SLA, verlengbaar met 60 dagen wanneer dat redelijkerwijs nodig is. Wijs je ook het beroep af, dan hangt Yovale automatisch een link aan zodat de consument een klacht kan indienen bij de Colorado Attorney General, zoals C.R.S. § 6-1-1306 vereist.
Lanceer een CPA-conforme WordPress-site in 60 seconden.
Elke Yovale-site is CPA-klaar vanaf het moment dat je deployt. GPC gehonoreerd aan de edge. Opt-in-flow voor gevoelige data. Beroepsworkflow live in het dashboard. Start de Growth-proef en bekijk je eerste compliance-dashboard.