Texas · TDPSAWordPress-hosting met TDPSA-plugin ingebouwd in het platform.
Opt-out-signalen voor verkoop, gerichte reclame en profiling, opt-in voor gevoelige data, erkenning van het Universal Opt-Out Mechanism (GPC) sinds januari 2025 en een beroepsworkflow — afgehandeld door Yovale's compliance-MU-plugin. Je installeert hem niet. Je update hem niet. Je betaalt er niet voor. Anders dan de meeste Amerikaanse staatswetten heeft de TDPSA geen drempel van 100.000 consumenten — als je geen US-SBA-kleinbedrijf bent en je bedient inwoners van Texas, val je eronder. Hetzelfde platform regelt ook CCPA, VCDPA, CPA, CTDPA en elke andere Amerikaanse staatsprivacywet.
Onder de TDPSA kun je bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling. Je kunt de data die we van je hebben ook inzien, corrigeren, verwijderen of exporteren. Het Global Privacy Control-signaal van je browser wordt automatisch gerespecteerd.
Zes verplichtingen waar je aan moet voldoen.
De Texas Data Privacy and Security Act trad op 1 juli 2024 in werking, met de UOOM-verplichting vanaf 1 januari 2025. Anders dan VCDPA, CPA of CTDPA heeft de TDPSA geen drempel van 100.000 consumenten. De wet geldt voor elke entiteit die zakendoet in Texas of producten of diensten levert die door inwoners van Texas worden gebruikt, persoonsgegevens verwerkt of verkoopt en geen kleinbedrijf is zoals gedefinieerd door de US SBA. Daarmee is het op papier de breedste Amerikaanse staatsprivacywet — zelfs een WordPress-blog met één auteur en lezers in Texas kan eronder vallen. Handhaving ligt bij de Texas Attorney General, met civiele boetes tot $7,500 per overtreding.
- 01
Opt-out voor verkoop, gerichte reclame, profiling
Consumenten in Texas kunnen bezwaar maken tegen de verkoop van persoonsgegevens, gerichte reclame en profiling met juridische of vergelijkbaar significante gevolgen. Het mechanisme moet helder, zichtbaar en vrij van dark patterns zijn — en sinds 1 januari 2025 worden herkend via het Universal Opt-Out Mechanism.
- 02
OPT-IN voor gevoelige data
Je mag geen gevoelige data verwerken zonder uitdrukkelijke toestemming. Gevoelige data omvat etnische afkomst, religie, diagnose van mentale of fysieke gezondheid, seksuele geaardheid, nationaliteit en immigratiestatus, genetische of biometrische data, exacte geolocatie en gegevens van een bekend kind onder de 13.
- 03
Universal Opt-Out Mechanism (UOOM)
Sinds 1 januari 2025 verplicht de TDPSA controllers om browsersignalen zoals Global Privacy Control te erkennen als geldige opt-out voor verkoop en gerichte reclame. Het signaal moet op controllerniveau worden gerespecteerd — niet alleen als banneroptie worden getoond.
- 04
Consumentenrechten: inzage, correctie, verwijdering, portabiliteit, beroep
Consumenten in Texas kunnen inzage, correctie, verwijdering en een draagbare kopie van hun persoonsgegevens vragen. Je antwoordt binnen 45 dagen, eenmaal verlengbaar met 45 dagen. Wijs je een verzoek af, dan kan de consument in beroep gaan — je reageert binnen 60 dagen op het beroep.
- 05
Verplichtingen controller en processor
Contracten tussen controller en processor moeten verwerkingsinstructies, vertrouwelijkheid, verwijdering of retournering van data aan het einde van de dienst en hulp bij consumentenverzoeken vastleggen. Yovale treedt op grond van een schriftelijk contract op als jouw processor.
- 06
Data protection assessments
Voer een gedocumenteerde data protection assessment uit voor elke verwerking met een verhoogd risico op schade — gerichte reclame, verkoop van persoonsgegevens, profiling met significante gevolgen en elke verwerking van gevoelige data. De Texas AG kan de assessment opvragen bij een onderzoek.
Ingebouwd in het platform. Geen plugin die je installeert.
Yovale levert TDPSA-compliance als gesigneerde must-use plugin — onderdeel van de hosting zelf, niet iets dat je uit de WordPress-repository haalt. Het plugin is versie-gepind, wordt vanuit R2 met SHA-256-verificatie opgehaald en tijdens provisioning in een per-site bind-gemounte mu-plugins-map gezet. Het Universal Opt-Out Mechanism wordt aan de edge gerespecteerd voordat analytics-, advertentie- of profiling-code draait. Updates lopen via hetzelfde kanaal als je hosting-updates.
Geo-bewuste consent met UOOM/GPC-erkenning
Bezoekers uit Texas zien TDPSA-opt-out-controles voor verkoop, gerichte reclame en profiling. Stuurt hun browser Global Privacy Control, dan wordt de opt-out automatisch toegepast op de Cloudflare edge worker — geen klik nodig. Gevoelige categorieën vereisen expliciete opt-in.
Privacyportaal
/.well-known/privacy op elke Yovale-site. Consumenten in Texas dienen inzage-, correctie-, verwijderings- en portabiliteitsverzoeken in zonder support-ticket. Elk verzoek verschijnt in het Compliance-tabblad van je dashboard met een SLA-timer van 45 dagen.
Beroepsworkflow met audit log
Wordt een verzoek afgewezen, dan krijgt de consument een een-klik-beroepslink. Het beroep opent een aparte zaak van 60 dagen SLA in je dashboard. Elke opt-out, elk verzoek, elke afwijzing en elk beroep wordt gelogd met tijdstempel en regio — exporteerbaar als JSON of CSV als de Texas AG ernaar vraagt.
Ondertekend processor-contract (DPA)
Vooraf ondertekend controller-processor-contract conform TDPSA § 541.104, als PDF in je dashboard. Vermeldt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, verwijdering aan het einde van de dienst en hulp bij consumentenverzoeken.
Waarom infrastructuur het wint van een plugin.
Typische WordPress-TDPSA-plugin
- Voegt 200-500 ms toe aan elke pageload (banner-JS, geo-lookup, DB-writes)
- Negeert Global Privacy Control of implementeert het inconsistent — TDPSA-overtreding sinds januari 2025
- Bewaart opt-out-signalen in wp_options — traag, untyped, breekt met object caching
- Kost $49-149/jaar per site en dekt UOOM, beroepen of audit logs zelden
- Breekt bij hostingmigratie; opt-out-historie en beroepsdossiers gaan verloren
Yovale's ingebouwde aanpak
- 0 ms latency — opt-out-status en GPC-signaal worden geëvalueerd op de edge worker
- UOOM/GPC-erkenning ingebouwd in het platform — werkt vanaf dag één op elke Yovale-site
- Audit log in een eigen database, queryable, blokkeert nooit de rendering
- Inbegrepen op elk plan ($149 / $249 / $499 per jaar), geen compliance-kosten per site
- Reist met je site voor altijd mee — opt-out- en beroepshistorie is van jou en exporteerbaar
14 regelgevingen. één toggle per stuk. allemaal automatisch.
- Opt-out voor verkoop, gerichte reclame, profiling
- Opt-in voor gevoelige data
- UOOM/GPC-erkenning sinds 1 januari 2025
- Antwoord op verzoeken binnen 45 dagen
- Beroepsprocedure binnen 60 dagen
TDPSA + Yovale, beantwoord.
Geldt de TDPSA voor mijn site? Er is geen 100k-drempel.
Klopt — en dat maakt de TDPSA op papier de breedste Amerikaanse staatsprivacywet. Hij geldt voor elke entiteit die zakendoet in Texas of producten of diensten levert die door inwoners van Texas worden gebruikt, die persoonsgegevens verwerkt of verkoopt en geen kleinbedrijf is zoals gedefinieerd door de US Small Business Administration. Er is geen ondergrens van 100.000 consumenten zoals bij VCDPA, CPA of CTDPA. Een WordPress-blog met één auteur en lezers in Texas kan er al onder vallen. Yovale activeert volledige TDPSA-bescherming standaard — de vraag wordt daarmee irrelevant, elke Yovale-site is klaar.
Wat telt als US-SBA-kleinbedrijf voor de TDPSA-uitzondering?
De US Small Business Administration stelt groottecriteria vast per NAICS-branchecode — meestal op basis van werknemersaantal (vaak 500 of minder voor veel sectoren) of gemiddelde jaaromzet (vaak $7,5M tot $40M afhankelijk van de sector). De TDPSA-uitzondering is smal: ook als je kwalificeert als SBA-kleinbedrijf mag je geen gevoelige persoonsgegevens verkopen zonder bevestigende toestemming. We geven geen juridisch advies — vergelijk je specifieke NAICS-code met de actuele SBA-groottecriteria als je je op de uitzondering wilt beroepen.
Hoe werkt Universal Opt-Out Mechanism (UOOM)-compliance?
Sinds 1 januari 2025 verplicht de TDPSA controllers om Global Privacy Control (GPC) en vergelijkbare browsersignalen te erkennen als geldige opt-out voor verkoop en gerichte reclame. Yovale evalueert de GPC-header op elk verzoek op de Cloudflare edge worker — voordat analytics, ad-pixels of third-party tags afvuren. Bezoekers met GPC ingeschakeld worden behandeld alsof ze opted out hebben, het besluit wordt vastgelegd in de audit log. Geen bannerklik nodig, geen JavaScript-hack nodig.
Wat is de cure-periode en geldt die nog?
De TDPSA geeft controllers een cure-periode van 30 dagen nadat de Texas Attorney General een kennisgeving van overtreding heeft gestuurd. Herstel je binnen 30 dagen en lever je een schriftelijke bevestiging, dan mag de AG geen civiele boetes opleggen voor die overtreding. Anders dan in Californië (waar de CCPA-cure-periode in 2023 verviel) staat de TDPSA-cure-periode nu niet gepland om te verlopen. Wel kunnen recidivisten en kwade trouw het voordeel kwijtraken — behandel het als een eenmalig vangnet, niet als een workflow.
Wat is het verschil tussen TDPSA en CCPA?
Beide bieden opt-out voor verkoop en gerichte reclame plus rechten op inzage, verwijdering en portabiliteit. De TDPSA gaat verder op gevoelige data — hij vereist OPT-IN, terwijl Californië werkt met een opt-out-signaal. De TDPSA schrijft ook een formele beroepsprocedure voor en wordt door de Texas Attorney General gehandhaafd zonder private right of action (de CCPA kent wel een private right of action voor bepaalde datalekken). De TDPSA heeft geen 100k-drempel; de CCPA heeft drempels voor brutoinkomsten en transactievolume. Yovale dekt beide regimes vanuit één platform.
Leveren jullie een processor-contract voor de TDPSA?
Ja. Een vooraf ondertekend controller-processor-contract conform TDPSA § 541.104 staat als PDF in je dashboard. Wij staan vermeld als jouw processor, jij bent de controller. Het noemt elke sub-processor (Cloudflare, Anexia, R2), doelbinding, vertrouwelijkheid, retournering of verwijdering van data aan het einde van de dienst en onze plicht om te helpen met consumentenverzoeken en data protection assessments.
Lanceer een TDPSA-conforme WordPress-site in 60 seconden.
Elke Yovale-site is vanaf de deploy klaar voor de TDPSA. UOOM/GPC-erkenning vanaf dag één. Geen plugin installeren. Geen processor-contract achterna jagen. Geen beroepsworkflow bouwen. Start de Growth-proef en bekijk je eerste compliance-dashboard.