Op wie de DPDP Act van toepassing is

De DPDP Act regelt de verwerking van digitale persoonsgegevens binnen India, evenals verwerkingen buiten India die verband houden met het aanbieden van goederen of diensten aan personen in India. In de praktijk geldt: als je website toegankelijk is voor Indiase gebruikers en je er persoonsgegevens via verzamelt — inclusief via cookies, SDKs, pixels of fingerprinting — dan is de wet vrijwel zeker op jou van toepassing.

De wet hanteert twee kernrollen: de Data Fiduciary (equivalent van een GDPR-verwerkingsverantwoordelijke) en de Data Processor. Een klein aantal van de grootste partijen kan worden aangewezen als Significant Data Fiduciaries, wat extra verplichtingen activeert zoals Data Protection Impact Assessments en de aanstelling van een Data Protection Officer die in India woonachtig is.

Hoe de DPDP Act cookies en trackers behandelt

In tegenstelling tot de ePrivacy-richtlijn wijst de DPDP Act cookies niet aan als een aparte categorie. In plaats daarvan reguleert zij elke verwerking van digitale persoonsgegevens. Dit betekent dat cookies, apparaat-ID’s, IP-adressen, advertentie-ID’s en gehashte e‑mails allemaal binnen de reikwijdte vallen wanneer zij — direct of indirect — zijn te koppelen aan een identificeerbare persoon.

De implicatie voor uitgevers is helder: als een cookie of tag op je site ertoe leidt dat persoonsgegevens worden verzameld of gedeeld, heb je een geldige rechtsgrond nodig. Onder de DPDP Act is die grond vrijwel altijd toestemming, met een beperkte set uitzonderingen voor "legitimate uses" zoals door de wet gedefinieerd.

Hoe geldige toestemming eruitziet

De DPDP Act legt de lat voor toestemming hoog. Toestemming moet vrij, specifiek, geïnformeerd, onvoorwaardelijk en ondubbelzinnig zijn, en tot uitdrukking komen via een duidelijke, bevestigende handeling. Vooraf aangevinkte vakjes, veronderstelde toestemming door verder te browsen en "cookiewall"-ontwerpen die toegang tot de site afhankelijk maken van acceptatie, zijn niet te verenigen met deze vereisten.

Twee extra, specifiek op de DPDP gerichte regels zijn belangrijk voor de consent-UX:

• Gespecificeerde kennisgeving: Voor of op het moment van toestemming moet je de gebruiker een duidelijke kennisgeving geven waarin je aangeeft welke gegevens worden verzameld, voor welke verwerkingsdoeleinden en hoe de gebruiker toestemming kan intrekken of een klacht kan indienen bij de Data Protection Board of India.
• Eenvoudige taal en meertalige ondersteuning: Kennisgevingen moeten beschikbaar zijn in het Engels en in een van de 22 erkende talen van India die de gebruiker kiest. Een CMP die de toestemmingsinhoud niet in Hindi, Tamil, Bengali, Marathi en andere grote talen kan tonen, zal moeite hebben om te voldoen.

Gegevens van kinderen en ouderlijke toestemming

De DPDP Act beschouwt iedereen jonger dan 18 jaar als kind en vereist verifieerbare ouderlijke toestemming voordat hun persoonsgegevens mogen worden verwerkt. De wet verbiedt ook gedragsmonitoring en gerichte reclame die op kinderen is gericht. Elke website die toegankelijk is voor minderjarigen in India — in de praktijk dus vrijwel elke site — heeft een leeftijdsverificatie- of risicogebaseerde strategie nodig en moet tracking-scripts kunnen blokkeren als ouderlijke toestemming ontbreekt.

Gebruikersrechten die je CMP moet ondersteunen

Data Principals (gebruikers) in India hebben een reeks rechten die via je toestemmings- en voorkeurslaag uitvoerbaar moeten zijn:

• Recht op inzage in een samenvatting van hun persoonsgegevens die worden verwerkt.
• Recht op rectificatie en verwijdering van hun gegevens.
• Recht om toestemming in te trekken op elk moment, met dezelfde eenvoud als waarmee zij die hebben gegeven.
• Recht om een vertegenwoordiger te benoemen die hun rechten uitoefent in geval van overlijden of onbekwaamheid.
• Recht op klachtenafhandeling, eerst bij de Data Fiduciary en vervolgens bij de Data Protection Board of India.

Een conforme CMP moet een blijvend zichtbare link naar voorkeuren bieden, éénklik-intrekking van toestemming ondersteunen en toestemmingsgebeurtenissen loggen op een manier die op verzoek tijdens een onderzoek kan worden overgelegd.

Grensoverschrijdende gegevensdoorgifte

De DPDP Act hanteert een "negatieve lijst" voor internationale doorgiften: persoonsgegevens mogen buiten India worden doorgegeven tenzij het bestemmingsland expliciet is beperkt door de centrale overheid. Dit is toegestander dan het adequaatheidsregime onder de GDPR, maar je moet nog steeds documenteren naar welke derde landen gegevens van Indiase gebruikers worden doorgegeven en de gepubliceerde beperkingenlijst actief volgen.

Sancties en handhaving

De financiële sancties onder de DPDP Act zijn aanzienlijk. De Data Protection Board kan boetes opleggen tot ₹250 crore (ongeveer $30 million USD) voor het niet nemen van redelijke beveiligingsmaatregelen, en tot ₹200 crore voor het niet nakomen van verplichtingen met betrekking tot kinderen. Inbreuken rond toestemming — waaronder het verzamelen van toestemming via niet-conforme banners — kunnen worden bestraft met boetes tot ₹50 crore per overtreding.

DPDP-conforme toestemming implementeren in je CMP

1. Detecteer geografisch Indiase gebruikers en pas een specifiek DPDP-toestemmingssjabloon toe in plaats van een GDPR-banner te hergebruiken. De vereiste inhoud van de kennisgeving en de taalopties verschillen.
2. Toon kennisgevingen in meerdere Indiase talen. Ondersteun minimaal Hindi en Engels, en voeg regionale talen toe op basis van je verkeersverdeling.
3. Blokkeer standaard alle niet-essentiële trackers. Laad advertentie-, analytics- en derdepartij-SDKs pas na expliciete toestemming.
4. Scheid doeleinden duidelijk. Bundel advertenties, analytics en personalisatie niet in één enkele "accepteer"-actie als een gebruiker redelijkerwijs aan sommige doeleinden wél en aan andere géén toestemming zou willen geven.
5. Log toestemmings- en intrekkingsgebeurtenissen met tijdstempel, de exacte versie van de getoonde kennisgeving en de taalselectie van de gebruiker, zodat je tijdens onderzoeken je naleving kunt aantonen.
6. Bied een goed zichtbare voorkeurenlink op elke pagina waarmee gebruikers hun toestemming op elk gewenst moment kunnen bekijken, bijwerken of intrekken.

DPDP vs. GDPR: praktische verschillen

• Geen grondslag "gerechtvaardigde belangen". De DPDP Act erkent gerechtvaardigde belangen niet als algemene rechtsgrond, zoals de GDPR dat doet. Toestemming weegt zwaarder, waardoor UX-design des te belangrijker wordt.
• Strengere regels voor kinderen. De leeftijd voor digitale toestemming is 18, niet 13 of 16, en gerichte reclame aan minderjarigen is expliciet verboden.
• Meertalige kennisgevingsplicht is uniek voor de DPDP Act en kan niet worden ingevuld met een uitsluitend Engelstalige banner.
• Verplichtingen voor Significant Data Fiduciary creëren een tweede nalevingslaag voor hoogrisico-exploitanten, waarvoor geen direct equivalent in de GDPR bestaat.

Conclusie

De DPDP Act brengt India in het moderne mondiale landschap voor gegevensbescherming, met een eigen karakter: consent-first, van meet af aan meertalig en in uitzonderlijke mate beschermend voor minderjarigen. Uitgevers en platforms die al een GDPR-grade CMP inzetten, hebben een voorsprong, maar moeten nog steeds de bannerinhoud, taalondersteuning, omgang met leeftijden en logging aanpassen om aan de DPDP-vereisten te voldoen. India behandelen als "gewoon weer een GDPR-rechtsgebied" is de snelste route naar een gang langs de Data Protection Board.