De structuur van de hervorming 2024–2026

De hervorming wordt in twee tranches uitgerold, en alleen de eerste is volledig van kracht. Inzicht in de volgorde is belangrijk om te weten wat juridisch van kracht is versus wat er komt.

Tranche 1 — Van kracht vanaf 2024–2025

De Privacy and Other Legislation Amendment Act 2024, toegelaten in november 2024, leverde verschillende wijzigingen die al van toepassing zijn:

• Wettelijke onrechtmatige daad voor ernstige privacyschendingen — individuen kunnen direct procederen voor ernstige privacyschendingen, zonder dat ze een schending van de Privacy Act zelf hoeven aan te tonen
• Nieuwe civiele boetes — de OAIC kan boetes zoeken voor elke inbreuk op de privacy, niet alleen voor ernstige of herhaalde schendingen
• Transparantievereisten voor geautomatiseerde besluitvorming — entiteiten moeten bekendmaken wanneer significante beslissingen over individuen worden genomen met behulp van geautomatiseerde systemen
• Doxing strafbaar gesteld — opzettelijke publicatie van persoonsgegevens om schade te veroorzaken is nu een strafbaar feit
• Children's Online Privacy Code — de OAIC is verplicht een bindende code te ontwikkelen voor diensten die waarschijnlijk door kinderen worden benaderd, met de code gepland voor 2026

Tranche 2 — Onder actief overleg voor 2026–2027

De tweede tranche omvat de meer structurele wijzigingen en wordt in 2025 en 2026 door de overheid besproken. Verwachte elementen zijn:

• Verwijdering of significante versmalling van de vrijstelling voor kleine bedrijven die momenteel entiteiten met een jaarlijkse omzet onder AUD 3 miljoen vrijstelt
• Een duidelijkere eerlijke en redelijke toets die van toepassing is op elke verwerking van persoonsgegevens, onafhankelijk van toestemming
• Expliciete regulering van gerichte reclame, met opt-in-toestemming waarschijnlijk voor gevoelige categorieën
• Een nieuw recht op wissing, waardoor de Australische wet dichter bij de GDPR komt
• Strengere controles op grensoverschrijdende gegevensoverdrachten

Wat telt als persoonsgegevens onder Australisch recht

De Australische Privacy Act definieert persoonsgegevens breed. Het omvat alle informatie over een geïdentificeerde of redelijk identificeerbare persoon, en de OAIC interpreteert redelijk identificeerbaar om online-identificatoren, apparaat-ID's, IP-adressen gecombineerd met andere gegevens en reclame-identificatoren te omvatten. In de praktijk verwerken cookies, pixeltracking, apparaatfingerprinting en identiteitsgrafieken die worden gebruikt voor cross-site-reclame allemaal persoonsgegevens onder Australisch recht en vallen volledig binnen het toepassingsgebied van de naleving van Australian Privacy Principles (APP).

Hoe cookietoestemming werkt onder Australisch recht in 2026

Australisch recht vereist momenteel geen volledig GDPR-stijl opt-in-banner voor alle cookies. Maar het is ook geen vrije-voor-al, en verschillende recente ontwikkelingen hebben de lat aangescherpt.

APP 3 — Verzameling vereist kennisgeving

Australian Privacy Principle 3 vereist dat persoonsgegevens alleen worden verzameld door rechtmatige en eerlijke middelen, met kennisgeving van de doeleinden. Voor cookies die persoonsgegevens verzamelen, betekent dit dat een zichtbare, informatieve kennisgeving moet worden gepresenteerd voor of op het moment van verzameling. Verborgen tracking voldoet niet aan APP 3.

APP 6 — Gebruik en openbaarmaking vereisen een doelovereenstemming

Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld, voor een redelijk gerelateerd secundair doel of met toestemming van de persoon. Het delen van cookie-afgeleide gegevens met een digitaal advertentieplatform voor cross-context gedragsreclame valt doorgaans buiten het primaire doel, wat het naar toestemming duwt.

OAIC-begeleiding over tracking

De OAIC-begeleiding van 2024 over trackingtechnologieën is ondubbelzinnig: entiteiten moeten een duidelijk mechanisme bieden voor individuen om zich af te melden voor tracking, en voor elk gebruiksgeval dat gevoelige informatie of profilering voor significante beslissingen betreft, verwacht de OAIC opt-in-toestemming. Dat plaatst gerichte reclame, programmatisch retargeting, sessieregistratie en gedragsanalyse in de praktijk stevig op opt-in-terrein, ook al heeft het statuut het nog niet in elk geval verplicht gesteld.

De praktische CMP-configuratie voor 2026

De meeste uitgevers die actief zijn in Australië gebruiken nu een CMP die een banner met drie statussen presenteert: Accepteren, Weigeren en Aanpassen. Voor EU- of UK-verkeer is opt-in strikt. Voor Australisch verkeer is opt-in de aanbevolen standaard voor gerichte reclame en sessieregistratie, terwijl analyses vaak kunnen worden uitgevoerd onder een kennisgevings-en-keuzemodel zolang IP-anonimisering en gegevensminimalisatie aanwezig zijn.

De wettelijke onrechtmatige daad — Wat het daadwerkelijk mogelijk maakt

De nieuwe wettelijke onrechtmatige daad is de meest significante verandering voor digitale adverteerders in praktische termen. Voorheen kon alleen de OAIC privacyrechten handhaven, en individuele rechtsmiddelen waren beperkt. De wettelijke onrechtmatige daad verandert dit.

Wat is een ernstige privacyschending?

De onrechtmatige daad omvat opzettelijk of roekeloos gedrag dat een ernstige privacyschending veroorzaakt, hetzij door inbreuk op afzondering of door misbruik van privégegevens. Rechtbanken wegen de ernst af tegen het openbaar belang en andere overwegingen.

Waarom adverteerders zich zorgen moeten maken

Agressieve tracking, met name sessieregistratie die toetsaanslagen en cursorgedrag op gevoelige pagina's vastlegt, fingerprinting die de opt-out van een gebruiker omzeilt, of ongeautoriseerde koppeling van anoniem gedrag aan een benoemde identiteit — dit zijn allemaal nu plausibele feitelijke grondslagen voor een vorderingseis. Verwacht dat eisers-firmamen in 2026 de grenzen beginnen te testen. Australië heeft niet de class action-cultuur van de Verenigde Staten, maar vertegenwoordigende acties zijn mogelijk en sommige firma's positioneren zich duidelijk voor hen.

De Children's Online Privacy Code

De Children's Online Privacy Code is het meest specifieke nieuwe regelgevingsstuk voor uitgevers wiens sites waarschijnlijk door kinderen worden bezocht.

Wie valt binnen het toepassingsgebied

De Code is van toepassing op sociale-mediadiensten, relevante elektronische diensten die waarschijnlijk door kinderen worden benaderd, en bepaalde aangewezen internetdiensten. In de praktijk reikt dit veel verder dan pure kinderensites — elk algemeen publiekplatform dat een betekenisvol aantal minderjarigen benadert, wordt waarschijnlijk meegenomen, en de OAIC zal naar verwachting een inclusieve lezing hanteren.

Kernverplichtingen die in de Code worden verwacht

• Standaard hoge privacyinstellingen voor gebruikers onder de 18 jaar
• Beperkingen op gerichte reclame aan minderjarigen
• Verboden op donkere patronen die kinderen naar zwakkere privacyinstellingen leiden
• Leeftijdsgeschikte uitleg over gegevensverwerking
• Beoordelingen van de beste belangen van het kind voordat functies worden ingezet die hun persoonsgegevens verwerken

Wat nu voor te bereiden

Uitgevers wiens publiek een significant aantal bezoekers onder de 18 jaar omvat, moeten beginnen met het auditen van hun trackingstack, reclameconfiguratie en standaardinstellingen voordat de Code wordt gefinaliseerd. Retrofitting achteraf is doorgaans duurder en meer verstorend dan naleving van meet af aan in de stack ontwerpen.

Handhavingshouding in 2026

De OAIC heeft samen met de hervormingen aanzienlijk meer middelen gekregen. De auditactiviteit is toegenomen, en de Commissaris heeft een meer openbare handhavingsaanpak aangegeven.

Geldende boetes

De maximale civiele boete voor ernstige of herhaalde inbreuk op de privacy is het grootste van AUD 50 miljoen, drie keer het voordeel dat uit het gedrag is verkregen, of 30 procent van de gecorrigeerde omzet van de entiteit gedurende de schendingsperiode. De hervorming introduceerde ook een tweede niveau van boetes voor elke inbreuk op de privacy die niet aan de ernstigheidsdrempel voldoet, wat de OAIC gecalibreerde handhavingsmiddelen geeft.

Meldingsplichtige datalekken

Australië heeft sinds 2018 een verplicht meldingssysteem voor datalekken, en de OAIC is zichtbaar agressief geweest in handhaving na de grote Australische datalekincidenten van 2022 en 2023. Elk met cookies of tracking gerelateerd incident dat leidt tot ongeautoriseerde openbaarmaking valt waarschijnlijk binnen het toepassingsgebied.

Grensoverschrijdende overdrachten en wereldwijd verkeer

Australian Privacy Principle 8 vereist dat entiteiten redelijke stappen nemen om ervoor te zorgen dat buitenlandse ontvangers persoonsgegevens consistent met de APP's verwerken. Voor een uitgever die gebruik maakt van globale advertentietechnologie betekent dit ofwel een jurisdictie met substantieel vergelijkbare wetten, een contractueel bindende verbintenis van de buitenlandse ontvanger, ofwel geïnformeerde toestemming van de persoon.

Overdrachten naar de Verenigde Staten

De VS wordt momenteel niet erkend als zijnde een land met substantieel vergelijkbare wetten. Overdrachten aan Amerikaanse advertentietechnologieleveranciers vereisen daarom ofwel bindende contractuele verbintenissen of expliciete toestemming. Uitgevers die vertrouwen op Data Privacy Framework-certificeringen — die EU-VS-overdrachten dekken — moeten er nota van nemen dat die certificeringen niet automatisch voldoen aan de Australische APP 8-vereiste.

Auditchecklist voor Australisch verkeer in 2026

• CMP presenteert duidelijke opties voor Accepteren, Weigeren en Aanpassen met gelijke visuele prominentie op Australisch verkeer
• Gerichte reclame, retargeting en sessieregistratie vereisen opt-in-toestemming; analyses worden uitgevoerd onder kennisgeving plus gegevensminimalisatie
• Privacybeleid identificeert duidelijk cookies, pixeltracking en reclame-identificatoren, met een doelenverklaring afgestemd op APP 3 en APP 6
• Grensoverschrijdende overdrachtsmechanismen zijn gedocumenteerd voor elke niet-Australische verwerker (leverancierslijst, contractuele beschermingen of toestemming)
• Geautomatiseerde besluitvorming wordt bekendgemaakt wanneer significante beslissingen worden genomen met dergelijke systemen
• Gereedheidsbeoordelingen voor de Children's Online Privacy Code zijn volledig, met hoge privacystandaarden beschikbaar voor gedetecteerde minderjarige gebruikers
• Doxing-risicobeoordeling is volledig voor elke functionaliteit die door gebruikers ingediende persoonsgegevens kan publiceren
• Het gegevenslekresponsplan is afgestemd op het 30-daagse kennisgevingsvenster en het huidige OAIC-rapportageformaat

De vooruitzichten voor 2026

Australië bevindt zich midden in een structurele verschuiving van een lichtgewicht privacyregime naar een regime dat steeds meer lijkt op de Europese en Californische kaders — met zijn eigen Australische kenmerken. De eerste tranche is al handhaafbaar en herschikt al de rechtszaken. De tweede tranche, inclusief de versmalling van de vrijstelling voor kleine bedrijven en expliciete regulering van gerichte reclame, zal waarschijnlijk in 2026 of 2027 van kracht worden. Uitgevers en adverteerders die hebben geïnvesteerd in een GDPR-graad toestemmingsstack beschikken al over het grootste deel van de machinerie die ze nodig hebben om te voldoen. Degenen die hebben vertrouwd op de historisch lichtere houding van Australië, betreden het nieuwe regime met bekende lacunes. De juiste stap is om die lacunes nu te sluiten — voordat de wettelijke onrechtmatige daad, de Children's Code of een OAIC-audit de vraag opwerpt op een tijdlijn die niemand controleert.