De structuur van de Privacy Act in 2026

De Privacy Act is het primaire federale gegevensbeschermingsstatuut in Australië, ondersteund door de Australian Privacy Principles (APPs) die de vereisten operationaliseren. De hervormingstranches van 2024 en 2025 herstructureerden verschillende sleutelelementen zonder de wet vanaf nul te herschrijven.

Wat de eerste tranche veranderde

De eerste hervormingstranche, die in 2024 van kracht werd, introduceerde verschillende langverwachte wijzigingen:

• Aanzienlijk verhoogde maximale sancties voor ernstige of herhaalde inbreuken op de privacy, waarmee Australische sancties dichter bij GDPR-niveaus komen
• Nieuwe bevoegdheden voor de OAIC om op eigen initiatief onderzoeken uit te voeren en inbreukberichten uit te geven
• De Children's Online Privacy Code, die specifieke verplichtingen oplegt aan diensten die waarschijnlijk door kinderen worden geraadpleegd
• Versterkte vereisten voor inbreukmelding, inclusief snellere meldingstermijnen

Wat de tweede tranche veranderde

De tweede hervormingstranche, van kracht door 2025 en in 2026, behandelde de meer architectonische kwesties:

• Het wettelijk onrechtmatige daad wegens ernstige inbreuk op de privacy, dat individuen een directe vordering geeft voor ernstige privacyschendingen
• Uitgebreide definities van persoonlijke informatie om de behandeling van online identificatoren en gevolgtrekkingen te verduidelijken
• Verbeterde toestemmingsvereisten voor direct marketing en gerichte reclame
• Nieuwe transparantieverplichtingen voor geautomatiseerde besluitvorming, inclusief een recht op een zinvolle uitleg
• Bijgewerkte regels voor grensoverschrijdende gegevensstromen met hervormde verplichtingen voor redelijke stappen

Wie wordt gereguleerd

De Privacy Act is van toepassing op de meeste Australische overheidsinstanties en op private organisaties met een jaarlijkse omzet boven een drempel (momenteel AUD 3 miljoen). Het is ook extraterritoriaal van toepassing op buitenlandse organisaties die in Australië zaken doen en die persoonlijke informatie in Australië verzamelen of bewaren. Buitenlandse uitgevers die Australische gebruikers bedienen via gelokaliseerde sites of programmatische inventaris die zijn gekocht tegen Australische IP-adressen, vallen doorgaans binnen de scope, en de OAIC heeft de extraterritoriale bepaling in verschillende recente zaken ingeroepen.

Wat als persoonlijke informatie wordt beschouwd

De definitie van persoonlijke informatie in de Privacy Act werd in het hervormingsproces verduidelijkt om de langdurige onzekerheid over online identificatoren aan te pakken.

De bijgewerkte definitie

Persoonlijke informatie is informatie of een mening over een geïdentificeerd individu, of een individu dat redelijkerwijs identificeerbaar is, ongeacht of de informatie waar is of dat het is vastgelegd in een materiële vorm. De hervormingen van 2025 verduidelijkten dat dit online identificatoren, technische gegevens en gevolgtrekkingen uit gedragsgegevens omvat wanneer deze aan een individu kunnen worden gekoppeld, hetzij direct of door combinatie met andere informatie.

Gevoelige informatie

De wet stelt een categorie van gevoelige informatie vast die gezondheidsinformatie, ras of etnische afkomst, politieke opvattingen, lidmaatschap van politieke verenigingen, religieuze overtuigingen, filosofische overtuigingen, lidmaatschap van beroeps- of handelsverenigingen, lidmaatschap van vakbonden, seksuele geaardheid of praktijken, strafblad, biometrische informatie en biometrische sjablonen omvat. De verwerking van gevoelige informatie vereist expliciete toestemming en roept verhoogde verplichtingen op.

Waarom dit belangrijk is voor cookies

Een cookie die een routineidentificator opslaat, is persoonlijke informatie. Een cookie die een publiekssegment voedt dat de gevoelige lijst raakt — gezondheidsinteresses, politieke afstemming, religieuze affiliatie — is verwerking van gevoelige informatie en vereist de verhoogde toestemmingsstroom in plaats van de algemene advertentietoestemming. Uitgevers die publiekssegmenten uitvoeren die de gevoelige lijst overlappen, moeten hun toestemmingsstromen specifiek tegen deze grens controleren.

Cookietoestemming onder de hervormde Privacy Act

Het hervormingsproces verduidelijkte toestemmingsvereisten voor direct marketing en gerichte reclame op manieren die Australië dichter bij een opt-in-model in GDPR-stijl brengen dan het historische Australische regime.

De bijgewerkte toestemmingsstandaard

Toestemming onder de hervormde Privacy Act moet zijn:

• Vrijwillig — gegeven zonder dwang of onnodige druk
• Geïnformeerd — het individu begrijpt welke gegevens worden verzameld, waarom en hoe ze worden gebruikt en bekendgemaakt
• Actueel — de toestemming is vers genoeg om zinvol te zijn voor de voorgestelde verwerking
• Specifiek — gekoppeld aan duidelijk geïdentificeerde doeleinden in plaats van algemene parapluïtoestemming
• Ondubbelzinnig — uitgedrukt via een duidelijke bevestigende handeling in plaats van afgeleid uit inactiviteit

Hoe een conforme CMP eruit ziet

Een CMP die is geconfigureerd voor Australisch verkeer in 2026, moet het volgende presenteren:

• Een zichtbare banner voordat een niet-essentieel cookie of tracker afgaat
• Gelijke visuele prominentie voor Accepteren, Weigeren en Aanpassen — de OAIC heeft verhoogde aandacht gesignaleerd voor dark-pattern bannerontwerpen
• Gedetailleerde toggles per doel: analyse, reclame, personalisatie, grensoverschrijdende overdracht en eventuele verwerking van gevoelige informatie
• Een afzonderlijke, duidelijk gelabelde stroom voor de verwerking van gevoelige informatie, vergrendeld achter een eigen actie
• Een persistent en gemakkelijk toegankelijk mechanisme om toestemming in te trekken
• Een Engelstalig privacybeleid met volledige APP-conforme onthullingen inclusief het OAIC-klachtenkanaal

Toestemmingsrecords

De hervorming vergrootte het appetijt van de OAIC voor op bewijs gebaseerde handhaving, en toestemmingsrecords zijn in verschillende recente zaken aangehaald. Exporteerbare, van tijdstempels voorziene toestemmingslogs zijn de basisverwachting, en ontoereikende toestemmingsrecords zijn in formele uitspraken bekritiseerd.

Grensoverschrijdende onthullingen onder het hervormde regime

De Privacy Act heeft historisch gezien een andere benadering van grensoverschrijdende gegevensstromen gehad dan de GDPR — de focus ligt op de aansprakelijkheid van de onthullende organisatie in plaats van op voorafgaande autorisatie van de ontvangende jurisdictie. De hervormingen van 2025 verfijnden deze benadering zonder hem op te geven.

De APP 8-verplichting voor redelijke stappen

Australian Privacy Principle 8 vereist dat voordat persoonlijke informatie aan een buitenlandse ontvanger wordt bekendgemaakt, de onthullende organisatie redelijke stappen neemt om ervoor te zorgen dat de ontvanger de APPs niet schendt. Dit betekent doorgaans een contractueel mechanisme, due diligence-beoordeling van de privacypraktijken van de ontvanger of vertrouwen op een substantieel vergelijkbaar juridisch regime in het bestemmingsland.

De aansprakelijkheidsbackstop

Als de buitenlandse ontvanger de APPs schendt in verband met de bekendgemaakte informatie, wordt de Australische onthullende organisatie geacht aan de schending te hebben deelgenomen. Deze aansprakelijkheidsbackstop is de praktische handhavingshendel voor grensoverschrijdende stromen en is wat het contractuele mechanisme meer maakt dan alleen een documentatieoefening.

De praktische aanpak voor 2026

Voor de meeste buitenlandse uitgevers in 2026 is de werkende aanpak het uitvoeren van APP-conforme gegevensoverdrachtsovereenkomsten met buitenlandse verwerkers, het vastleggen van de overdracht in het privacybeleid en het bijhouden van een leveranciers-due-diligence-record dat aantoont dat aan de verplichting voor redelijke stappen is voldaan. Dit is betekenisvol eenvoudiger dan de GDPR's aanpak van voorafgaande autorisatie, maar niet minder rigoureus in de substantie.

Rechten van betrokkenen en geautomatiseerde besluitvorming

De hervormde wet breidt de rechten uit die individuen kunnen uitoefenen.

De kernrechten

• Recht op toegang tot persoonlijke informatie die de organisatie bezit
• Recht op correctie van onnauwkeurige, verouderde, onvolledige, irrelevante of misleidende informatie
• Recht om u af te melden voor direct marketing
• Recht om te weten aan wie persoonlijke informatie is bekendgemaakt
• Recht op een zinvolle uitleg van geautomatiseerde beslissingen die significante gevolgen hebben
• Recht om een klacht in te dienen bij de OAIC

Reactietermijnen

De wet stelt reactietermijnen voor redelijke periodes vast, en de OAIC-richtlijnen interpreteren redelijk als doorgaans niet meer dan 30 dagen voor toegangsverzoeken. Operationele gereedheid voor dit venster — met tooling en runbooks afgestemd op Australisch-specifieke processen — is een veelvoorkomende kloof voor buitenlandse uitgevers.

Children's Online Privacy Code

De code, die in 2024 van kracht werd, is van toepassing op online diensten die waarschijnlijk door kinderen worden geraadpleegd en legt specifieke verplichtingen op, waaronder leeftijdsgeschikt ontwerp, beperkte profilering en gerichte reclame, standaard hoge privacyinstellingen en vereisten voor ouderbetrokkenheid. Uitgevers wier publiek significant verkeer onder 18 jaar omvat, hebben leeftijdsbewuste stromen nodig, beperkte verwerking voor het minderjarigensegment en Code-conforme standaardinstellingen — geen van alle out-of-the-box beschikbaar voor de meeste buitenlandse uitgevers.

Sancties en handhavingshouding in 2026

De handhavingsactiviteiten van de OAIC zijn aanzienlijk toegenomen gedurende 2024 en 2025, en 2026 bevindt zich op een vergelijkbare koers.

Maximale sancties

Voor ernstige of herhaalde inbreuken op de privacy is de maximale sanctie de hoogste van AUD 50 miljoen, drie keer de waarde van het voordeel verkregen uit het gedrag, of 30 procent van de aangepaste omzet van de organisatie in de relevante periode. Dit brengt Australische sancties beslissend in het GDPR-bereik en verwijdert de mild-regime-karakterisering die eerder van toepassing was.

Het wettelijk onrechtmatige daad

Het wettelijk onrechtmatige daad van 2025 wegens ernstige inbreuken op de privacy geeft individuen een directe vordering voor schadevergoeding, los van de regulerende handhaving. Collectieve acties zijn een opkomende weg, en er zijn er verscheidene ingediend tegen grote platforms eind 2025 en begin 2026.

Handhavingsthema's

De recente zaken van de OAIC clusteren rond terugkerende kwesties: dark-pattern toestemmingsbanners, ontoereikende inbreukmelding, grensoverschrijdende onthullingen zonder gedocumenteerde redelijke stappen, verwerking van gevoelige informatie zonder expliciete toestemming en het niet reageren op toegangsverzoeken binnen het redelijke-periodevenster.

Auditchecklist voor Australisch verkeer in 2026

• CMP-banner met Accepteren, Weigeren en Aanpassen op gelijke visuele prominentie
• Toestemmingsdoelen zijn gedetailleerd en scheiden de verwerking van gevoelige informatie achter expliciete toestemming
• Privacybeleid is APP-conform met volledige onthulling van buitenlandse ontvangers, doeleinden, bewaring en het OAIC-klachtenkanaal
• APP 8-grensoverschrijdende onthullingsovereenkomsten zijn afgesloten met alle buitenlandse verwerkers, met gedocumenteerde due diligence van leveranciers
• Toestemmingslogs zijn van tijdstempels voorzien, exporteerbaar en bewaard voor de toepasselijke bewaarperiode
• Workflow voor toegang van betrokkenen kan binnen het redelijke-periodevenster van begin tot eind reageren
• Children's Online Privacy Code-verplichtingen worden aangepakt waar het publiek minderjarigen omvat, inclusief leeftijdsgeschikt ontwerp en beperkte profilering
• Uitleg over geautomatiseerde besluitvorming is beschikbaar wanneer significante beslissingen worden genomen met behulp van dergelijke systemen
• Runbook voor inbreukmelding is afgestemd op de hervormde termijnen
• Leverancierslijst is beoordeeld op noodzakelijkheid, met ongebruikte of overbodige leveranciers verwijderd om het onthullingsoppervlak te verminderen

De vooruitzichten voor 2026

Australië's privacyregime is eindelijk overgegaan van een lang hervormingsproces naar een geloofwaardige handhavingshouding. De maximale sancties bevinden zich nu in het GDPR-bereik, de OAIC heeft de bevoegdheden die het nodig heeft om ze te handhaven, het wettelijk onrechtmatige daad geeft individuen een directe vordering en de Children's Online Privacy Code verhoogt de lat voor elke dienst die onder-18-publiek bereikt. Voor uitgevers die al een GDPR-kwaliteit toestemmingsstack gebruiken, is de kloof naar Privacy Act-naleving operationeel in plaats van architectonisch: APP-conform privacybeleid, APP 8-documentatie, de standaardinstellingen van de Children's Code en het ritme van reacties op toegangsverzoeken. De kloof kan worden gedicht in weken als het wordt geprioriteerd. De uitgevers die Australië tot 2023 als een relatief mild marktsegment behandelden, vinden 2026 betekenisvol duurder, en de trend zal zich voortzetten. Het goede nieuws is dat de kloof naar naleving klein is voor elke uitgever die het Europese werk heeft gedaan; het slechte nieuws is dat de meeste uitgevers onderschatten hoeveel het hervormde Australische regime van hen verwacht.