When does the Vermont Data Privacy and Surveillance Act take effect?

The law takes effect on January 1, 2028, after being signed into law on June 16, 2026.

What makes this Vermont law stricter than other state privacy laws?

It requires opt-in consent for processing sensitive data, grants consumers a private right of action to sue, and restricts targeted advertising and behavioral profiling without explicit consent.

Which businesses are subject to the Vermont Data Privacy and Surveillance Act?

Businesses that control or process the personal data of 25,000 or more Vermont consumers annually, or those that derive 25% or more of gross revenue from selling personal data and process data of at least 12,500 consumers.

What categories of data require opt-in consent under this law?

Precise geolocation, health data, financial data, and data about minors all require opt-in consent before processing.

Can individual consumers bring lawsuits for violations of this law?

Yes, the law includes a private right of action that gives individual consumers legal standing to sue for certain violations, rather than leaving enforcement solely to state regulators.

Vermont Data Privacy and Surveillance Act: Wat het betekent in 2028

De gouverneur van Vermont ondertekende op 16 juni 2026 S.71, de Vermont Data Privacy and Online Surveillance Act, waarmee Vermont een van de strengste staten van het land werd op het gebied van consumentengegevensbescherming. De wet treedt pas op 1 januari 2028 in werking, maar het aftellen is al begonnen voor bedrijven om hun werkwijzen op orde te brengen. Voor consumenten vertegenwoordigen de surveillancebepalingen van de privacywet van Vermont een van de meest ambitieuze pogingen tot nu toe door een Amerikaanse staat om in te perken hoe bedrijven persoonlijke informatie verzamelen, gebruiken en delen.

Wat de Vermont Data Privacy and Online Surveillance Act daadwerkelijk vereist

In de kern geeft de wet inwoners van Vermont betekenisvolle controle over hun persoonlijke gegevens. Het vereist dat bedrijven opt-in toestemming verkrijgen voordat ze gevoelige categorieën informatie verwerken, waaronder precieze geolocatie, gezondheidsgegevens, financiële gegevens en gegevens over minderjarigen. Die opt-in-standaard is aanzienlijk strenger dan de opt-out-kaders die in veel andere staatswetten te vinden zijn.

Bedrijven moeten ook duidelijke, toegankelijke privacyverklaringen verstrekken, gegevensbeschermingseffectbeoordelingen uitvoeren voor verwerkingsactiviteiten met een hoger risico, en verzoeken van consumenten om hun gegevens in te zien, te corrigeren, te verwijderen en over te dragen honoreren. De wet omvat een eigen rechtsvordering voor bepaalde overtredingen, waardoor individuele consumenten de juridische status hebben om te dagvaarden, niet alleen de staatstoezichthouders. Alleen al dit kenmerk onderscheidt Vermont van de meeste Amerikaanse privacykaders op staatsniveau, waar handhaving volledig aan de procureurs-generaal wordt overgelaten.

Het gedeelte "online surveillance" van de wet is bijzonder opmerkelijk. Het plaatst specifieke beperkingen op het gebruik van persoonlijke gegevens voor gerichte reclame aan consumenten en beperkt hoe bedrijven gedragsprofielen kunnen opbouwen zonder uitdrukkelijke toestemming.

Wie eronder valt, en het brede net dat meer bedrijven vangt dan je zou verwachten

Veel privacywetten op staatsniveau bevatten omzet- of datavolumedrempels die kleinere bedrijven buiten schot laten. De drempels van Vermont zijn relatief laag. De wet is van toepassing op bedrijven die de persoonlijke gegevens van 25.000 of meer consumenten in Vermont per jaar beheren of verwerken, of die 25 procent of meer van hun bruto-inkomsten uit de verkoop van persoonlijke gegevens halen en de gegevens van ten minste 12.500 consumenten verwerken.

Vermont heeft een bevolking van ongeveer 650.000. Dat betekent dat de drempel van 25.000 consumenten slechts ongeveer vier procent van de inwoners van de staat vertegenwoordigt. Bedrijven die landelijk actief zijn en zelfs maar een bescheiden gebruikersbestand in Vermont hebben, kunnen die grens gemakkelijk overschrijden. Gegevensmakelaars worden onder de wet met name geconfronteerd met strengere verplichtingen, waaronder striktere limieten op de verkoop van gevoelige gegevens en een vereiste om zich bij de staat te registreren.

De "online surveillance"-framing in de titel van de wet geeft de ambities duidelijk aan. Platformen en advertentietechnologiebedrijven die afhankelijk zijn van alomtegenwoordige tracking om consumentenprofielen op te bouwen, vallen er volledig onder.

Hoe de wet van Vermont zich verhoudt tot andere Amerikaanse privacywetgeving op staatsniveau

Vermont behoort nu tot de ongeveer twee dozijn staten met uitgebreide consumentenprivacywetgeving, maar zijn wet bevindt zich aan het strengere uiteinde van het spectrum. De CPRA van Californië wordt vaak aangehaald als de Amerikaanse gouden standaard, maar de opt-in-vereiste van Vermont voor de verwerking van gevoelige gegevens en de eigen rechtsvordering gaan verder dan wat Californië momenteel vereist.

Staten zoals Texas en Florida hebben wetten aangenomen met bredere zakelijke vrijstellingen en geen eigen rechtsvordering, waardoor handhaving in de praktijk grotendeels tandeloos is. De aanpak van Vermont leunt qua geest dichter aan bij Europese principes voor gegevensbescherming, zonder de AVG rechtstreeks te kopiëren. De combinatie van lage toepasselijkheidsdrempels, een opt-in standaard voor gevoelige gegevens en individuele aanklagerechten creëert echte verantwoordingsdruk op bedrijven.

De wet trekt ook een kleinere cirkel rond de activiteiten van gegevensmakelaars dan de meeste staatskaders, wat aanzienlijk is gezien het feit dat een groot deel van de commerciële surveillance-economie via gegevensmakelaars loopt in plaats van via de bedrijven waarmee consumenten rechtstreeks communiceren.

Wat dit betekent voor uw gegevensrechten, zelfs als u niet in Vermont woont

Privacywetten op staatsniveau hebben een goed gedocumenteerde neiging om nationale beleidsverschuivingen teweeg te brengen. Wanneer bedrijven hun gegevenspraktijken bijwerken om te voldoen aan een strenge staatswet, passen ze deze wijzigingen vaak breed toe in plaats van afzonderlijke systemen voor verschillende staten te behouden. De privacywet van Californië had precies dit effect, waarbij bedrijven nieuwe toestemmingsstromen en tools voor gegevensverwijdering uitrolden naar alle Amerikaanse gebruikers, niet alleen naar Californiërs.

De wet van Vermont zou een soortgelijke dynamiek kunnen teweegbrengen, met name rond gegevensmakelaars. Als bedrijven inwoners van Vermont het recht moeten bieden om zich af te melden voor de verkoop van hun gegevens, zullen velen het operationeel eenvoudiger vinden om die optie overal uit te breiden. Voor consumenten buiten Vermont betekent dat een betekenisvolle winst in gegevensrechten die ze anders niet zouden hebben.

De surveillance-specifieke bepalingen zijn ook de moeite waard om in een bredere context te volgen. Wetgeving die zich richt op gedragstracking en online surveillance maakt in toenemende mate ook deel uit van de beleidsdiscussie op federaal niveau. De aanpak van Vermont zou kunnen beïnvloeden hoe federale wetgevers toekomstige voorstellen vormgeven.

Natuurlijk reiken wettelijke beschermingen slechts tot op zekere hoogte. Wetten stellen ondergrenzen, geen plafonds, en handhaving kost tijd. Het gebruik van technische privacyhulpmiddelen naast wettelijke rechten geeft consumenten een completer beeld. Een VPN beperkt bijvoorbeeld wat derde partijen op netwerkniveau kunnen waarnemen van uw surfactiviteit, als aanvulling op de rechten die een staatswet biedt op het gebied van gegevensopslag en -deling.

Concrete actiepunten

Als u een bedrijf runt: Begin nu met het beoordelen van uw gegevensinventaris. Januari 2028 lijkt misschien ver weg, maar het opbouwen van conforme toestemmingsstromen, beoordelingsprocessen en gegevensverwerkingspipelines kost tijd.
Als u inwoner van Vermont bent: Uw rechten onder deze wet zijn afdwingbaar vanaf 1 januari 2028. Bewaar de gegevens van verzoeken die u indient en de antwoorden die u ontvangt.
Als u buiten Vermont woont: Let op hoe nationale bedrijven op deze wet reageren. Nieuwe opt-out-tools of toestemmingsopties die voor gebruikers in Vermont worden uitgerold, kunnen ook voor u beschikbaar komen.
Voor iedereen: Wettelijke beschermingen en technische privacypraktijken werken het beste samen. Op de hoogte blijven van surveillancewetgeving op staats- en federaal niveau is een eerste stap om te begrijpen welke rechten u werkelijk heeft.

De wet van Vermont is een belangrijke markering in het voortdurende streven om de Amerikaanse privacynormen dichter te brengen bij wat consumenten in andere delen van de wereld al verwachten. Of het een nationaal rimpel-effect teweegbrengt, zal afhangen van hoe agressief de wet wordt gehandhaafd en hoe bereid bedrijven zijn om werkelijk conforme gegevenspraktijken op te bouwen in plaats van minimale ontwijkingsconstructies.