India's DPDP Act in 2026: De Gids voor Uitgevers en Adverteerders over Toestemmingsbeheerders, Grensoverschrijdende Overdrachten en de Gegevensbeschermingsraad
India's Digital Personal Data Protection Act (DPDPA, 2023) werd aangenomen in augustus 2023 en bracht vervolgens het grootste deel van 2024 en 2025 door in een langzame, gefaseerde uitrol die veel buitenlandse uitgevers in een afwachtende positie hield. Die periode is voorbij. De DPDP-regels werden volledig bekendgemaakt in 2025, de Data Protection Board of India (DPBI) is nu operationeel en behandelt klachten, en het Toestemmingsbeheerder-raamwerk — India's kenmerkende architectonische bijdrage aan de wereldwijde privacywetgeving — is live in productie. Voor elke uitgever, adverteerder of platform die in 2026 persoonsgegevens van Indiase gebruikers verwerkt, is de DPDPA geen toekomstige zorg meer. Het is de huidige nalevingsbasislijn, en het verschilt van de GDPR op manieren die belangrijk zijn voor hoe CMP's, grensoverschrijdende stromen en rechten van betrokkenen worden ontworpen. Deze gids behandelt de DPDPA in zijn uitgerolde vorm, wat Indiase toestemming werkelijk vereist, hoe het ecosysteem van Toestemmingsbeheerders het CMP-landschap verandert en hoe de handhavingshouding van de DPBI in 2026 er in de praktijk uitziet.
De Structuur van de DPDPA in 2026
De DPDPA is een zelfstandige gegevensbeschermingswet, onderscheiden van India's sectorspecifieke wetten op het gebied van bankieren, telecom en gezondheid. De uitrol was bewust gefaseerd zodat het ecosysteem van Toestemmingsbeheerders, de DPBI en het regime voor grensoverschrijdende overdrachten elk afzonderlijk in werking konden treden.
De Aanvaarding in 2023 en de Uitrol van 2024-2025
De DPDPA werd in augustus 2023 door het Parlement aangenomen en ontving kort daarna de presidentiële goedkeuring. Het Ministerie van Elektronica en Informatietechnologie (MeitY) bracht 2024 door met consultatie over de implementatieregels, en de definitieve regels werden gedurende 2025 in meerdere tranches bekendgemaakt: eerst het registratieraamwerk voor Toestemmingsbeheerders, daarna de procedures voor rechten van betrokkenen, daarna meldingen van grensoverschrijdende overdrachten, daarna drempelwaarden voor significante gegevensfiduciairs. Aan het begin van 2026 was het volledige raamwerk van kracht.
Wie wordt Gereguleerd
De DPDPA is van toepassing op de verwerking van digitale persoonsgegevens van personen in India. Het is ook extraterritoriaal van toepassing wanneer verwerking plaatsvindt in verband met het aanbieden van goederen of diensten aan gegevensprincipalen in India. Een in de VS gevestigde uitgever die Indiase gebruikers bedient via een gelokaliseerde site, een Indiase taalversie of programmatische inventaris die is gekocht op Indiase IP-adressen, valt in scope. Dit extraterritoriale bereik is ondubbelzinnig in de wet en is bevestigd in vroege DPBI-richtlijnen.
De Terminologiekloof
DPDPA gebruikt zijn eigen vocabulaire, dat verschilt van de GDPR en van de meeste nieuwere Aziatische raamwerken. Een gegevensfiduciair is wat de GDPR een verwerkingsverantwoordelijke noemt. Een gegevensverwerker komt nauwkeurig overeen met de verwerker van de GDPR. Een gegevensprincipaal is de betrokkene. Een significante gegevensfiduciair is een verwerkingsverantwoordelijke boven de door de centrale overheid bekendgemaakte drempelwaarden voor omvang of gevoeligheid. Buitenlandse uitgevers die voor het eerst met DPDPA te maken krijgen, brengen deze termen vaak verkeerd in kaart; het vroeg goed in kaart brengen bespaart latere verwarring.
Wat Telt als Persoonsgegevens
De definitie van persoonsgegevens van de DPDPA is breed en sluit nauw aan bij de internationale praktijk. Persoonsgegevens zijn alle gegevens over een persoon die identificeerbaar is door of in relatie tot dergelijke gegevens. De DPBI heeft via vroege richtlijnen aangegeven dat online identificatoren — cookies, advertentie-ID's, IP-adressen, apparaatfingerprints en gedragsprofielen — persoonsgegevens zijn wanneer ze direct of via redelijke middelen aan een identificeerbaar persoon kunnen worden gekoppeld.
Geen Gevoelige Categorie, maar Regels voor Significante Gegevensfiduciairs
In tegenstelling tot de GDPR, LGPD en de PIPA definieert de DPDPA niet formeel een categorie van gevoelige persoonsgegevens. In plaats daarvan vertrouwt de Wet op de aanwijzing van significante gegevensfiduciair, die aanvullende verplichtingen oplegt aan verwerkingsverantwoordelijken die gegevens op schaal verwerken, gegevens van kinderen verwerken, gegevens verwerken die de electorale integriteit kunnen beïnvloeden, of gegevens verwerken die de nationale veiligheid kunnen beïnvloeden. Het nettoresultaat is vergelijkbaar met de regels voor gevoelige categorieën van de GDPR voor de grootste en meest gevoelige verwerkers, maar de architectuur is anders.
Waarom Dit Belangrijk Is voor Cookies
Een cookie die een routinematige advertentie-identifier verzamelt, is persoonsgegevens, maar is niet onderworpen aan verhoogde verplichtingen alleen omdat het een gevoelig uitziend publiekssegment voedt. Maar een uitgever die de drempel voor significante-gegevensfiduciair bereikt — bijvoorbeeld een groot platform met tientallen miljoenen Indiase gebruikers — krijgt aanvullende verplichtingen, waaronder een verplichte Functionaris voor Gegevensbescherming, periodieke audits en Gegevensbeschermingseffectbeoordelingen. Omvangsdrempelwaarden werden in 2025 bekendgemaakt; de meeste mondiale platforms vallen nu in scope.
Toestemming Onder de DPDPA
De DPDPA plaatst toestemming in het middelpunt van zijn raamwerk, maar definieert het met een specifieke reeks vereisten die niet één-op-één overeenkomen met GDPR-toestemming.
De Geldige Toestemmingsnorm
Toestemming onder de DPDPA moet zijn:
- Vrij — niet geconditioneerd op het verlenen van een dienst waarop de gebruiker anders recht heeft, en niet gedwongen
- Specifiek — gebonden aan een duidelijk geïdentificeerd doel, niet een algemene parapluotoestemming
- Geïnformeerd — de gegevensprincipaal begrijpt welke gegevens worden verwerkt en voor welk doel
- Onvoorwaardelijk — de toestemming is niet gebonden aan irrelevante voorwaarden
- Ondubbelzinnig — uitgedrukt door een duidelijke bevestigende handeling, niet afgeleid uit stilte of inactiviteit
De Gespecificeerde Kennisgevingsvereiste
DPDPA vereist een kennisgeving op of vóór het toestemmingspunt die de te verwerken persoonsgegevens beschrijft, het doel van de verwerking, de manier waarop een gegevensprincipaal rechten kan uitoefenen, en de manier waarop de gegevensprincipaal een klacht kan indienen bij de Raad. De kennisgeving moet beschikbaar zijn in het Engels en in elk van de 22 geplande talen van India die de gegevensprincipaal verzoekt.
De Architectuur van de Toestemmingsbeheerder
Hier wijkt de DPDPA het meest af van andere raamwerken. De Wet stelt een gelicentieerde rol in genaamd de Toestemmingsbeheerder — een derde partij geregistreerd bij de DPBI die een interoperabel toestemmingsdashboard biedt waarmee gegevensprincipalen toestemmingen kunnen verlenen, beoordelen, beheren en intrekken over meerdere gegevensfiduciairs vanuit één interface. Toestemmingsbeheerders moeten zijn geregistreerd bij de Raad en moeten voldoen aan technische interoperabiliteitsspecificaties. In de praktijk kunnen gegevensfiduciairs toestemming verkrijgen, hetzij rechtstreeks via hun eigen CMP, hetzij via een geregistreerde Toestemmingsbeheerder, en in veel gevallen kiezen gegevensprincipalen ervoor hun toestemming te centraliseren via een Toestemmingsbeheerder in plaats van de banner van elke site afzonderlijk te beheren.
Hoe een Conforme CMP Eruitziet
Een CMP geconfigureerd voor Indiaas verkeer in 2026 zou moeten presenteren:
- Een zichtbare banner vóórdat enige niet-essentiële cookie of tracker wordt geactiveerd, met Accepteren, Weigeren en Aanpassen met gelijke visuele prominentie
- Beschikbaarheid in het Engels en in de gewenste geplande taal van de gebruiker waar gevraagd
- Gedetailleerde toestemmingsschakelaars per doel, inclusief analyse, adverteren, personalisatie en grensoverschrijdende overdracht
- Een duidelijke link naar de volledige gespecificeerde kennisgeving inclusief rechten en het klachtenkanaal van de DPBI
- Een aanhoudend, gemakkelijk te vinden mechanisme om toestemming in te trekken dat even gemakkelijk is als het verlenen van toestemming
- Technische interoperabiliteit met geregistreerde Toestemmingsbeheerders zodat de toestemmingsstatus kan worden gesynchroniseerd met de gekozen Toestemmingsbeheerder van de gegevensprincipaal
Toestemmingsregistraties
Gegevensfiduciairs moeten toestemmingsregistraties bijhouden, inclusief wie heeft toegestemd, wanneer, via welke interface, voor welk doel, en eventuele latere wijzigingen. De DPBI heeft in verschillende vroege procedures ontoereikende toestemmingslogboeken aangehaald, en exporteerbare, met tijdstempel voorziene toestemmingsregistraties zijn de basisverwachting.
Grensoverschrijdende Gegevensoverdrachten
Het raamwerk voor grensoverschrijdende overdrachten van de DPDPA is een van de meest onderscheidende elementen van het Indiase regime en verschilt wezenlijk van het adequaatheid-plus-waarborgenpatroon dat wordt gebruikt door de GDPR, PIPA en de gewijzigde KVKK.
Het Kennisgevingsraamwerk
De DPDPA werkt op basis van een negatieve lijst-benadering: grensoverschrijdende overdrachten zijn in het algemeen toegestaan, tenzij het bestemmingsland voorkomt op een lijst van beperkte jurisdicties die door de centrale overheid is bekendgemaakt. Dit is het omgekeerde van het adequaatheidsmodel van de GDPR, dat overdrachten behandelt als verboden bij afwezigheid van een positief adequaatheidsbesluit of waarborgen. De aanpak van de DPDPA is aan de oppervlakte meer permissief, maar de negatieve lijst kan naar eigen goeddunken van de overheid worden uitgebreid, en verschillende jurisdicties zijn in 2025 op de lijst geplaatst voor specifieke gegevenscategorieën.
Wat Dit Operationeel Betekent
Voor de meeste programmatische advertentiestromen in 2026 is het antwoord dat grensoverschrijdende overdrachten naar grote ad-tech-bestemmingen zijn toegestaan, mits het bestemmingsland niet op de beperkte lijst staat. Uitgevers moeten de huidige bekendgemaakte lijst controleren, documentatie van de overdracht en het doel bijhouden, en bereid zijn stromen om te leiden of te pauzeren als een bestemming wordt toegevoegd. Dit is beduidend eenvoudiger dan GDPR-overdrachtsmecanismen voor de meeste stromen, maar de waakzaamheidsvereiste is reëel.
Sectorspecifieke Lokalisatie
Afzonderlijk van de DPDPA hebben verschillende Indiase sectorale toezichthouders — waaronder de Reserve Bank of India voor financiële gegevens en het Ministerie van Volksgezondheid voor gezondheidsgegevens — hun eigen lokalisatievereisten die bovenop de DPDPA staan. Een uitgever die Indiase gebruikers in een van deze gereguleerde sectoren bedient, moet zowel aan de DPDPA als aan de toepasselijke sectorale regels voldoen.
Rechten van de Gegevensprincipaal
De DPDPA geeft gegevensprincipalen een vertrouwde maar iets smallere cluster van rechten dan de GDPR:
- Recht op toegang tot verwerkte persoonsgegevens, inclusief categorieën en verwerkers
- Recht op correctie, aanvulling en bijwerking van persoonsgegevens
- Recht op wissing van persoonsgegevens die niet langer noodzakelijk zijn voor het vermelde doel
- Recht om een andere persoon aan te wijzen om rechten namens de gegevensprincipaal uit te oefenen bij overlijden of arbeidsongeschiktheid
- Recht op klachtafhandeling via de gegevensfiduciair
- Recht om een klacht in te dienen bij de Gegevensbeschermingsraad als klachtafhandeling onbevredigend is
Wat Niet in de Rechtenlijst Staat
Opmerkelijk is dat de DPDPA geen zelfstandig recht op overdraagbaarheid, een algemeen recht om bezwaar te maken tegen verwerking, of een uitdrukkelijk recht tegen geautomatiseerde besluitvorming bevat — hoewel het regime voor significante-gegevensfiduciairs en het mechanisme voor intrekking van toestemming indirect veel van hetzelfde terrein bestrijken.
Reactietermijnen
Gegevensfiduciairs moeten reageren op verzoeken van gegevensprincipalen binnen de termijnen die zijn gespecificeerd in de bekendgemaakte regels — in de meeste gevallen is dat binnen een redelijke periode die het opgegeven venster niet overschrijdt, waarbij de DPBI betekenisvolle vertraging behandelt als een nalevingsfout. Het klachtafhandelingssysteem is de eerste stap; alleen onopgeloste klachten worden geëscaleerd naar de Raad.
Significante Gegevensfiduciairs
De aanwijzing van significante gegevensfiduciair (SDF) activeert aanvullende verplichtingen bovenop de basisvereisten van de DPDPA.
De Extra Verplichtingen
- Benoeming van een Functionaris voor Gegevensbescherming gevestigd in India
- Periodieke Gegevensbeschermingseffectbeoordelingen voor bepaalde verwerkingsactiviteiten
- Periodieke onafhankelijke audits
- Aanvullende transparantieverplichtingen over algoritmische verwerking
- Strengere melding van inbreuken en bijhouden van gegevens
Wie Kwalificeert
Omvang, volume van verwerkte persoonsgegevens, gevoeligheid van de gegevens, risico voor gegevensprincipalen, potentiële impact op electorale democratie, veiligheid en soevereiniteit, en potentiële impact op de openbare orde zijn allemaal factoren. De centrale overheid stelt SDF's individueel of per klasse vast. De meeste grote mondiale platforms die India bedienen, vallen in 2026 binnen vastgestelde klassen.
Kindergegevens
De DPDPA definieert een kind als elk persoon onder de 18 jaar — een hogere drempel dan de standaard van 16 van de GDPR en de verschillende lagere nationale drempelwaarden. De verwerking van persoonsgegevens van kinderen vereist verifieerbare toestemming van ouders, en tracking, gerichte reclame en gedragsmonitoring van kinderen zijn beperkt ongeacht de toestemmingsstatus. Uitgevers wier publiek significant onder-18-verkeer omvat, hebben leeftijdsverificatie, toestemmingsflows voor ouders en beperkte verwerking voor het minderjarigendsegment nodig — allemaal echte technische werkzaamheden die weinig buitenlandse uitgevers standaard hebben voltooid.
Boetes en Handhaving
De DPDPA introduceerde een boeteregime dat hoger was dan historische Indiase administratieve boetes en zinvol was afgestemd op de ernst van de inbreuk.
Administratieve Boetes
De DPDPA staat boetes toe van maximaal INR 250 crore (ongeveer USD 30 miljoen) per overtreding voor de ernstigste inbreuken. Lagere boetes gelden voor fouten rond toestemming, kennisgeving, beveiliging, melding van inbreuken en klachtafhandeling. De DPBI heeft meerdere keren het midden van de range toegepast in 2025 en begin 2026, en de boetestructuur is ontworpen om te escaleren bij systematisch falen.
De Handhavingsthema's van de DPBI
Vroege DPBI-beslissingen clusteren rond een kleine reeks terugkerende problemen: toestemmingsbanners zonder een echte Weigeren-optie, kennisgevingen die geen DPBI-klachtenkanalen beschrijven, grensoverschrijdende stromen naar bestemmingen op de beperkte lijst, klachtafhandelingssystemen die niet daadwerkelijk reageren, en interoperabiliteitsstoringen van Toestemmingsbeheerders. Buitenlandse uitgevers zijn in bijna alle categorieën geciteerd.
Reputatiedimensie
De DPBI publiceert haar beslissingen openbaar, inclusief de naam van de fiduciair en een samenvatting van de fout. Op een Indiase markt waar regulatoire wrijving snel vertaalt naar mediadekking en politieke aandacht, zijn de reputatiekosten van een gepubliceerde DPBI-beslissing significant bovenop de financiële boete.
Auditchecklist voor Indiaas Verkeer in 2026
- CMP-banner wordt geserveerd met Accepteren, Weigeren en Aanpassen met gelijke visuele prominentie
- Kennisgeving beschikbaar in het Engels en in de gevraagde geplande taal van de gegevensprincipaal waar van toepassing
- Kennisgeving beschrijft expliciet het klachtenkanaal van de DPBI en de rechten van de gegevensprincipaal
- Toestemmingsdoelen zijn gedetailleerd, met grensoverschrijdende overdracht als afzonderlijk doel
- Technische interoperabiliteit met ten minste één geregistreerde Toestemmingsbeheerder is aanwezig
- Intrekking van toestemming is even gemakkelijk als het verlenen van toestemming, en activeert downstream verwijdering en activeringsfiltering
- Workflow voor rechten van gegevensprincipalen — toegang, correctie, wissing, aanwijzing — is bemand en gedocumenteerd
- Klachtafhandelingskanaal is bemand met bijgehouden reactietermijnen
- Bestemmingen voor grensoverschrijdende overdrachten worden getoetst aan de huidige beperkte lijst en gedocumenteerd
- Verplichtingen voor significante gegevensfiduciairs — DPO, DPIA, audit — zijn aanwezig als de drempel is bereikt
- Leeftijdsbewuste stroom voor gebruikers onder de 18, met verifieerbare toestemming van ouders waar van toepassing
- Sectorspecifieke lokalisatie- en verwerkingsregels zijn gedocumenteerd en nageleefd als de uitgever actief is in een gereguleerde sector
Het Vooruitzicht voor 2026
India's privacyregime is in iets meer dan twee jaar overgegaan van wettelijke abstractie naar operationele realiteit. De architectuur van de DPDPA is onderscheidend — het ecosysteem van Toestemmingsbeheerders is het meest zichtbare mondiale experiment in draagbare, interoperabele toestemming, en de negatieve-lijst-overdrachtsaanpak verschilt wezenlijk van het adequaatheid-plus-waarborgenpatroon dat andere raamwerken domineert. Voor uitgevers die al een GDPR-grade toestemmingsstack draaien, is de kloof naar DPDPA-naleving operationeel in plaats van architecturaal: interoperabiliteit van Toestemmingsbeheerders, geplande-taal-kennisgevingen, DPBI-klachtopenbaarmaking, de onder-18-drempel en de negatieve-lijst-overdrachtscontrole. De kloof kan in weken worden gedicht als het geprioriteerd wordt. De uitgevers die het sluiten vóórdat de DPBI voor de deur staat, zullen de overgang niet opmerken. Degenen die wachten, zullen 2026 en 2027 beduidend duurder vinden dan de jaren daarvoor.