Indonesië UU PDP Cookie-toestemming: Nalevingsgids voor uitgevers
Indonesië is de vierde grootste internetmarkt ter wereld. Voor elke uitgever die content levert aan de 215 miljoen online gebruikers, is de Wet Bescherming Persoonsgegevens van het land — Undang-Undang Pelindungan Data Pribadi, of UU PDP — nu het belangrijkste nalevingsaspect om correct te implementeren. Vastgesteld in oktober 2022 en volledig afdwingbaar sinds oktober 2024 na het verstrijken van het tweejarige overgangsvenster, is de UU PDP nauw gemodelleerd naar de GDPR, maar introduceert zijn eigen specifieke toestemmingsformaat, verplichtingen van de verwerkingsverantwoordelijke en sanctieregime. Deze gids leidt uitgevers door wat de UU PDP vereist, waar hij afwijkt van GDPR-gewoonten, en hoe je een toestemmingsbanner configureert die voldoet aan de Indonesische toezichthouders.
Wat de UU PDP dekt en wie er onder valt
De UU PDP is Indonesië's eerste uitgebreide wet op de bescherming van persoonsgegevens. Vóór de inwerkingtreding waren gegevensbeschermingsregels in Indonesië verspreid over sectorale regelgeving — bankwezen, telecom, e-commerce, elektronische systemen. De UU PDP consolideert deze in één horizontaal regime dat van toepassing is op elke verwerkingsverantwoordelijke of verwerker die persoonsgegevens van Indonesische betrokkenen verwerkt, ongeacht waar de verwerkingsverantwoordelijke gevestigd is.
Dit extraterritoriale bereik is het belangrijkste feit voor buitenlandse uitgevers. Een in de VS, EU of Singapore gevestigde uitgever die content levert aan gebruikers die zich fysiek in Indonesië bevinden, valt onder de UU PDP. De aanwezigheidstest is functioneel, niet formeel: als de verwerkingsverantwoordelijke Indonesische gebruikers target — via Bahasa Indonesia-content, Indonesische betaalopties of geografisch gerichte advertenties — is de UU PDP volledig van toepassing.
De toestemmingsstandaard onder Article 22
Article 22 van de UU PDP definieert toestemming en is de hoeksteen van elke cookiebanner gericht op Indonesisch verkeer. Het artikel vereist dat toestemming:
- Expliciet is — stilte, vooraf aangevinkte vakjes en voortgezet gebruik van de site vormen geen toestemming. De gebruiker moet een positieve actie ondernemen.
- Specifiek is — toestemming moet gekoppeld zijn aan een bepaald verwerkingsdoel. Een enkele Alles accepteren-knop die tien verschillende doeleinden dekt is zeer kwetsbaar.
- Geïnformeerd is — de betrokkene moet, vóór het geven van toestemming, de identiteit van de verwerkingsverantwoordelijke, de gegevenscategorieën, de doeleinden, de bewaartermijn, de ontvangers en hun rechten ontvangen.
- Schriftelijk gedocumenteerd of elektronisch vastgelegd is — Article 22(3) vereist dat de verwerkingsverantwoordelijke toestemming kan bewijzen. Een toestemmingslog met tijdstempel gekoppeld aan een gehashte gebruikersidentificator voldoet aan deze vereiste; een vage bewering dat de gebruiker op Accepteren klikte niet.
- Intrekbaar op gelijkwaardige voorwaarden is — intrekking moet even eenvoudig zijn als de oorspronkelijke verlening. Een afwijzingspad dat drie klikken kost terwijl accepteren één klik kost, voldoet niet.
Beoefenaars zullen deze vereisten herkennen: ze komen bijna één-op-één overeen met Article 7 van de GDPR. De verschillen zitten in reikwijdte en handhaving, niet in concept.
Rechtsgronden buiten toestemming
Net als de GDPR erkent de UU PDP andere rechtsgronden dan toestemming voor bepaalde verwerkingen. Article 20 noemt zes rechtsgronden: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, publieke taak en gerechtvaardigde belangen. Voor de meeste cookie- en trackingactiviteiten is echter alleen toestemming realistisch beschikbaar, omdat de strikte noodzakelijkheidsuitzondering voor cookies die essentieel zijn om een dienst te leveren die de gebruiker heeft verzocht, smal is en niet van toepassing is op reclame of analyses.
De strikte noodzakelijkheidsuitzondering
Sessiecookies, inlogcookies, taalvoorkeurscookies en winkelwagencookies vallen onder contractuitvoering of gerechtvaardigde belangen met een zeer laag risico. Ze vereisen geen expliciete toestemming, hoewel hun categorieën nog steeds in de privacyverklaring moeten worden vermeld. Al het andere — analyses, advertenties, retargeting, pixels van derden, fingerprinting — vereist Article 22-toestemming.
Kindergegevens
Article 25 vereist toestemming van ouders voor elke verwerking van betrokkenen jonger dan 18 jaar. Dit is strenger dan de GDPR-standaard van 16 jaar voor de digitale toestemmingsleeftijd (die lidstaten kunnen verlagen naar 13). Een uitgever die kindgerichte content in Bahasa Indonesia aanbiedt, moet de drempel behandelen als 18 jaar en een ouderlijk verificatieproces configureren, niet een zelf-declaratievakje.
Grensoverschrijdende gegevensoverdrachten
Article 56 regelt de overdracht van persoonsgegevens buiten Indonesië. Een verwerkingsverantwoordelijke mag gegevens alleen naar een ander land overdragen als aan minimaal één van drie voorwaarden is voldaan: het doelland heeft een adequaat niveau van bescherming van persoonsgegevens vergelijkbaar met de UU PDP, er zijn passende waarborgen aanwezig, of de betrokkene heeft expliciete toestemming gegeven voor de overdracht.
Het Indonesische Ministerie van Communicatie en Informatica (Kominfo) heeft nog geen adequaatheidslijst gepubliceerd. In de praktijk steunen uitgevers die gegevens overdragen naar GDPR-jurisdicties, naar de Verenigde Staten, naar Singapore of naar Australië op passende waarborgen — doorgaans standaardcontractbepalingen aangepast aan de UU PDP, met een bindende clausule dat downstream subverwerkers de UU PDP-rechten respecteren. Voor adtech-leveranciers die vanuit meerdere regio's opereren, moet uw gegevensverwerkingsovereenkomst specificeren welke regio's Indonesische gebruikersgegevens verwerken en welke waarborgen op elke schakel van toepassing zijn.
Rechten van betrokkenen en het 72-uurs venster
De UU PDP kent Indonesische betrokkenen rechten toe die sterk lijken op die van de GDPR: toegang, correctie, verwijdering, bezwaar tegen verwerking, gegevensportabiliteit en het recht om geautomatiseerde beslissingen aan te vechten. Twee specifieke punten zijn van belang voor uitgevers.
Ten eerste vereist Article 30 dat de verwerkingsverantwoordelijke binnen een redelijke termijn reageert op een verzoek om rechten, waarbij de uitvoeringsregeling drie werkdagen heeft vastgesteld voor bevestiging en maximaal veertien werkdagen voor een inhoudelijke reactie. Dit is sneller dan de standaard van één maand van de GDPR.
Ten tweede vereist Article 46 melding van een inbreuk op persoonsgegevens aan de getroffen betrokkenen en aan de Autoriteit Bescherming Persoonsgegevens binnen 3 x 24 uur — dat wil zeggen 72 uur nadat de verwerkingsverantwoordelijke op de hoogte raakt van de inbreuk. De klok begint te lopen wanneer de verwerkingsverantwoordelijke de inbreuk heeft bevestigd, niet wanneer hij deze had kunnen detecteren.
Sancties en recente handhaving
Het sanctieregime van de UU PDP heeft meer tanden dan veel uitgevers aanvankelijk erkenden. Article 57 voorziet in administratieve sancties tot 2% van de jaarlijkse omzet. Article 67 to 73 voorziet in strafrechtelijke sancties tot zes jaar gevangenisstraf en boetes tot 6 miljard rupiah voor de ernstigste overtredingen, waaronder onrechtmatige verzameling van persoonsgegevens en onrechtmatige openbaarmaking.
Tot en met 2025 bevond de handhaving zich in een zachte opstartfase, waarbij Kominfo waarschuwingsbrieven en correctieve bevelen uitvaardigde in plaats van boetes. Die fase eindigde begin 2026. De eerste grote administratieve sanctie onder de UU PDP — opgelegd aan een binnenlandse e-commerce-exploitant in maart 2026 wegens ontoereikende kennisgeving van inbreuken en ontbrekende ouderlijke toestemming voor een op minderjarigen gerichte productlijn — stelde een duidelijk signaal dat de handhaving nu actief is.
Hoe een compliant uitgeverspanner eruitziet
Voor een uitgever die in 2026 Indonesisch verkeer bedient, is de praktische configuratie:
Lokaliseer de banner naar Bahasa Indonesia
De vereiste van geïnformeerde toestemming van Article 22 is niet vervuld door een Engelstalige banner die aan een Bahasa-sprekende gebruiker wordt getoond. De CMP moet Indonesische gebruikers detecteren — via geolocatie, IP of Accept-Language-header — en de banner, de privacyverklaring en de gedetailleerde instellingen in Bahasa Indonesia weergeven.
Behandel toestemming als opt-in only
Geen tracking-, reclame- of analysescripts mogen worden uitgevoerd voordat de gebruiker expliciet heeft geaccepteerd. Vooraf aangevinkte categorieën, impliciete toestemming door voortgezet browsen, en "door gebruik van deze site gaat u akkoord"-berichten zijn allemaal niet-conform.
Behoud gedocumenteerde toestemmingslogs
Article 22(3) is expliciet: de verwerkingsverantwoordelijke moet bewijs kunnen overleggen. Een toestemmingslog die een gebruikersidentificator koppelt aan een tijdstempel, de versie van de getoonde banner en de gemaakte keuzes is het document dat Kominfo zal opvragen bij elk audit- of klachtenonderzoek.
Maak intrekking werkelijk gelijkwaardig
Een permanent zwevend toestemmingspictogram, een één-klik-afwijzing op de pagina met privacyvoorkeuren, of een duidelijke uitschrijving in een e-mail voor gegevensverzameling — elk is een redelijke implementatie. Een verborgen link in een privacybeleid van 4000 woorden is dat niet.
Alles samengebracht
De UU PDP is geen GDPR-kloon, maar is nauw genoeg verwant dat uitgevers met volwassen Europese nalevingsprogramma's hun bestaande toestemmingsinfrastructuur met gerichte aanpassingen kunnen uitbreiden naar Indonesië: Bahasa-lokalisatie, een leeftijdsdrempel van 18 jaar voor ouderlijke toestemming, de 72-uurs melding van inbreuken en standaardcontractbepalingen die uitdrukkelijk de UU PDP dekken. Uitgevers zonder die infrastructuur moeten de UU PDP behandelen als de aanleiding om die op te bouwen. De Indonesische handhaving is nu actief, en de kosten van herstel nadat een Kominfo-onderzoek is gestart, zijn uniformeel hoger dan de kosten van het correct instellen van de banner vóór de lancering.