När träder Vermont Data Privacy and Surveillance Act i kraft?

Lagen träder i kraft den 1 januari 2028, efter att ha undertecknats den 16 juni 2026.

Vad gör denna Vermont-lag striktare än andra delstatliga integritetslagar?

Den kräver opt-in-samtycke för behandling av känslig data, ger konsumenter en privat rätt att väcka talan och begränsar riktad reklam och beteendeprofilering utan uttryckligt samtycke.

Vilka företag omfattas av Vermont Data Privacy and Surveillance Act?

Företag som kontrollerar eller behandlar personuppgifter om 25 000 eller fler Vermont-konsumenter årligen, eller de som får 25 % eller mer av sina bruttointäkter från försäljning av personuppgifter och behandlar uppgifter om minst 12 500 konsumenter.

Vilka kategorier av data kräver opt-in-samtycke enligt denna lag?

Exakt geografisk position, hälsodata, finansiell data och data om underåriga kräver alla opt-in-samtycke före behandling.

Kan enskilda konsumenter väcka talan vid överträdelser av denna lag?

Ja, lagen ger konsumenter en privat rätt att väcka talan, vilket innebär att de har rättslig talerätt vid vissa överträdelser, istället för att överlåta efterlevnaden helt till statliga tillsynsmyndigheter.

Vermont Data Privacy and Surveillance Act: Vad den innebär 2028

Vermonts guvernör undertecknade S.71, Vermont Data Privacy and Online Surveillance Act, den 16 juni 2026, vilket gör Vermont till en av de striktaste delstaterna i landet när det gäller konsumentdataskydd. Lagen träder inte i kraft förrän den 1 januari 2028, men nedräkningen har redan börjat för företag att få ordning på sina rutiner. För konsumenter utgör övervakningsbestämmelserna i Vermonts dataskyddslag ett av de mest ambitiösa försöken hittills från en amerikansk delstat att tygla hur företag samlar in, använder och delar personlig information.

Vad Vermont Data Privacy and Online Surveillance Act faktiskt kräver

I grunden ger lagen Vermonts invånare meningsfull kontroll över sina personuppgifter. Den kräver att företag inhämtar opt-in-samtycke innan de behandlar känsliga kategorier av information, inklusive exakt geografisk position, hälsodata, finansiell data och data om underåriga. Detta opt-in-krav är betydligt striktare än de opt-out-ramverk som finns i många andra delstatliga lagar.

Företag måste också tillhandahålla tydliga och lättillgängliga sekretessmeddelanden, genomföra dataskyddskonsekvensbedömningar för högriskbehandling och tillmötesgå konsumenters begäran om tillgång, korrigering, radering och portabilitet av deras data. Lagen ger en privat rätt att väcka talan för vissa överträdelser, vilket ger enskilda konsumenter rättslig möjlighet att stämma, inte bara statliga tillsynsmyndigheter. Den egenskapen ensam skiljer Vermont från majoriteten av de amerikanska delstaternas integritetsramverk, där efterlevnad helt lämnas till justitieministrar.

Lagstiftningens del om "onlineövervakning" är särskilt anmärkningsvärd. Den inför specifika begränsningar för användning av personuppgifter för riktad reklam till konsumenter och begränsar hur företag kan bygga beteendeprofiler utan uttryckligt samtycke.

Vem som omfattas, och det breda nät som fångar fler företag än man kan tro

Många delstatliga integritetslagar innehåller trösklar för intäkter eller datavolymer som lämnar mindre företag utanför. Vermonts trösklar är jämförelsevis låga. Lagen gäller företag som kontrollerar eller behandlar personuppgifter om 25 000 eller fler Vermont-konsumenter årligen, eller de som får 25 procent eller mer av sina bruttointäkter från försäljning av personuppgifter och behandlar uppgifter om minst 12 500 konsumenter.

Vermont har en befolkning på ungefär 650 000. Det innebär att tröskeln på 25 000 konsumenter endast utgör cirka fyra procent av delstatens invånare. Företag som är verksamma nationellt och har även en blygsam användarbas i Vermont kan lätt överskrida den gränsen. Datamäklare har särskilt skärpta skyldigheter enligt lagen, inklusive striktare begränsningar för försäljning av känsliga data och ett krav på att registrera sig hos delstaten.

Lagstiftningens betoning på "onlineövervakning" i dess titel signalerar tydligt dess ambitioner. Plattformar och reklamteknikföretag som förlitar sig på genomgripande spårning för att bygga konsumentprofiler omfattas direkt.

Hur Vermonts lag jämförs med andra delstatliga integritetslagar i USA

Vermont är nu en av ungefär två dussin delstater med en omfattande konsumentintegritetslagstiftning, men dess lag ligger i den striktare änden av spektrat. Kaliforniens CPRA nämns ofta som den amerikanska guldstandarden, men Vermonts krav på opt-in för känslig databehandling och den privata rätten att väcka talan går längre än vad Kalifornien för närvarande kräver.

Delstater som Texas och Florida har antagit lagar med bredare företagsundantag och ingen privat rätt att väcka talan, vilket gör efterlevnaden i praktiken ganska tandlös. Vermonts tillvägagångssätt ligger i andan närmare europeiska dataskyddsprinciper, utan att direkt kopiera GDPR. Kombinationen av låga tillämplighetströsklar, ett förvalt opt-in för känsliga data och rätten att stämma individuellt skapar ett verkligt ansvarstryck på företag.

Lagen drar också en snävare cirkel kring datamäklares verksamhet än de flesta delstatliga ramverk, vilket är betydelsefullt med tanke på hur mycket av den kommersiella övervakningsekonomin som löper genom datamäklare snarare än genom företag som konsumenter interagerar direkt med.

Vad detta innebär för dina datarättigheter även om du inte bor i Vermont

Delstatliga integritetslagar har en väldokumenterad tendens att skapa nationella politiska förskjutningar. När företag uppdaterar sina datarutiner för att följa en strikt delstatlig lag tillämpar de ofta dessa förändringar brett i stället för att upprätthålla separata system för olika delstater. Kaliforniens integritetslag hade precis denna effekt, då företag införde nya samtyckesflöden och verktyg för dataradering för alla amerikanska användare, inte bara för kalifornier.

Vermonts lag skulle kunna utlösa en liknande dynamik, särskilt kring datamäklare. Om företag måste erbjuda Vermonts invånare rätten att neka till att deras data säljs, kommer många att finna det enklare operativt att utöka det alternativet överallt. För konsumenter utanför Vermont innebär det en meningsfull förstärkning av datarättigheter som de annars inte skulle ha.

De övervakningsspecifika bestämmelserna är också värda att följa i ett bredare sammanhang. Lagstiftning som riktar in sig på beteendespårning och onlineövervakning blir alltmer en del av policydiskussionen även på federal nivå. Vermonts tillvägagångssätt kan påverka hur federala lagstiftare utformar framtida förslag.

Självklart räcker juridiska skydd bara en viss bit. Lagar sätter golv, inte tak, och efterlevnad tar tid. Att använda tekniska integritetsverktyg tillsammans med juridiska rättigheter ger konsumenter en mer komplett bild. Ett VPN, till exempel, begränsar vad tredje part kan observera om din surfaktivitet på nätverksnivå och kompletterar de rättigheter som en delstatlig lag ger på datalagrings- och delningssidan.

Slutsatser

Om du driver ett företag: Börja se över din datainventering nu. Januari 2028 kan kännas avlägset, men att bygga kompatibla samtyckesflöden, bedömningsprocesser och rutiner för begäran från registrerade tar tid.
Om du är bosatt i Vermont: Dina rättigheter enligt denna lag blir verkställbara från och med den 1 januari 2028. Spara dokumentation om de dataförfrågningar du skickar in och svar du får.
Om du bor utanför Vermont: Bevaka hur nationella företag reagerar på denna lag. Nya opt-out-verktyg eller samtyckesalternativ som lanseras för Vermont-användare kan bli tillgängliga även för dig.
För alla: Juridiska skydd och tekniska integritetsmetoder fungerar bäst tillsammans. Att hålla sig informerad om delstatlig och federal övervakningslagstiftning är ett första steg mot att förstå vilka rättigheter du faktiskt har.

Vermonts lag är en viktig markering i den pågående ansträngningen att föra amerikanska integritetsstandarder närmare vad konsumenter i andra delar av världen redan förväntar sig. Huruvida den skapar en nationell dominoeffekt kommer att bero på hur kraftfullt den efterlevs och hur villiga företag är att bygga genuint kompatibla datarutiner snarare än minimala kryphålslösningar.