Gids voor Cookie Toestemming onder de Israëlische Privacybeschermingswet: Amendment 13 Compliance voor Uitgevers

De Israëlische Wet op de Bescherming van de Persoonlijke Levenssfeer heeft een lange geschiedenis. De originele wet dateert uit 1981, de Privacy Protection Authority — de nationale toezichthouder voor gegevensbescherming — werd opgericht in 2006, en de EU heeft Israël sinds 2011 erkend als een adequaat rechtsgebied voor de overdracht van persoonsgegevens, een van slechts een handvol landen met die status. Gedurende het grootste deel van die periode waren de inhoudelijke normen globaal GDPR-conform, maar de handhavingsarchitectuur was lichter en de technische bijzonderheden waren minder ontwikkeld. Amendment 13, dat in augustus 2025 van kracht werd, verandert dat. De wijziging moderniseert de toestemmingsnorm, breidt het rechtenkader uit, verscherpt de regels voor grensoverschrijdende doorgiften en versterkt de handhavingsbevoegdheden van de Privacy Protection Authority aanzienlijk. Voor uitgevers die in of gericht op Israëlisch verkeer opereren — een markt met een van de meest digitaal betrokken bevolkingsgroepen ter wereld — is het praktische effect dat cookie-toestemming en naleving van online tracking nu betekenisvol dichter bij de Europese norm liggen. Deze gids bespreekt wat er veranderd is, wat de huidige operationele norm is en waar uitgevers hun remediëringsinspanningen op moeten richten.

De Wet Bescherming Persoonsgegevens in 2026

Het Israëlische kader bestaat uit drie lagen: de Wet Bescherming Persoonsgegevens zelf (de primaire wet), de Privacy Protection Regulations (die de operationele details invullen, met name de Data Security Regulations uit 2017) en de richtlijnen en standpuntpapieren van de Privacy Protection Authority. Amendment 13 wijzigt de eerste laag en triggert updates in de tweede; de derde — de interpretatieve richtlijnen van de Autoriteit — is continu bijgewerkt sinds de wijziging van kracht werd.

De kernprincipes zullen bekend zijn voor iedereen die met de GDPR werkt: rechtmatige grondslag, doelbinding, dataminimalisatie, juistheid, opslagbeperking, integriteit en verantwoording. De rechtmatige grondslagen naar Israëlisch recht omvatten toestemming, uitvoering van een overeenkomst, wettelijke verplichting, publiek belang en gerechtvaardigde belangen, elk met zijn eigen reikwijdte. Voor online tracking zijn de relevante grondslagen toestemming en, in beperkte omstandigheden, gerechtvaardigde belangen — hetzelfde kader dat de meeste exploitanten al kennen.

Wat Amendment 13 Daadwerkelijk Veranderde

De wijziging gaat verder dan cookie-toestemming, maar vier veranderingen zijn het belangrijkst voor online uitgevers.

Versterkte toestemmingsnorm

De wijziging verscherpt de definitie van toestemming en vereist dat deze vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig is — bewoordingen die nauw aansluiten bij GDPR Article 4(11). Impliciete toestemming en voortgezet gebruik als toestemming, die onder de oudere interpretatie dubbelzinnig aanvaardbaar waren, zijn nu ondubbelzinnig onvoldoende voor niet-essentieel tracking.

Uitgebreide rechten van betrokkenen

Toegangs-, correctie-, verwijderings- en bezwaarrechten worden verduidelijkt en uitgebreid. De wijziging introduceert expliciete termijnen voor reacties (45 dagen, verlengbaar met 30 in complexe gevallen) en verduidelijkt de verplichting van de uitgever om een duidelijk pad voor de uitoefening van rechten te bieden.

Scherper kader voor grensoverschrijdende doorgiften

Doorgiften aan niet-adequate rechtsgebieden vereisen nu expliciete waarborgen — modelcontractbepalingen, bindende bedrijfsregels of specifieke uitzonderingen. Het kader ligt dichter bij GDPR Chapter V dan de oudere Israëlische aanpak, en de Autoriteit is begonnen modelbepalingen te publiceren die vergelijkbaar zijn met de EU SCC's.

Sterkere handhavingsbevoegdheden

Administratieve boetes zijn aanzienlijk verhoogd. De maximumboete is gekoppeld aan een percentage van de organisatieopbrengsten met een hoog absoluut plafond, vergelijkbaar met de gelaagde structuur van de GDPR. De Autoriteit heeft uitgebreide onderzoeksbevoegdheden gekregen, waaronder de mogelijkheid om documenten op te vragen en bedrijfsinspecties uit te voeren.

Cookie-toestemming Onder de Gewijzigde Norm

De Wet Bescherming Persoonsgegevens bevat geen cookie-specifieke bepaling zoals de EU-ePrivacy Richtlijn dat doet. In plaats daarvan vloeit de toestemmingsverplichting voort uit de algemene toestemmingsnorm en de interpretatieve richtlijnen van de Autoriteit. De richtlijnen van 2026 over online tracking, kort na het van kracht worden van Amendment 13 gepubliceerd, formuleren verwachtingen die nauw aansluiten bij de criteria van de EDPB Cookie Banner Taskforce.

Vereiste bannerelementen

De Autoriteit verwacht dat banners een expliciete weigeroptie op de eerste laag bevatten, gedetailleerde categoriebedieningen die strikt noodzakelijke cookies scheiden van analyse en van marketing, en een duidelijk intrekkingsmechanisme. Vooraf aangevinkte vakjes en misleidend linkontwerp zijn expliciete gebreken. De verwachting is convergentie met Europese normen en elke banner die EU-scrutiny doorstaat, zal de Autoriteit bevredigen.

Vereiste Hebreeuwse taal

Banners die Israëlisch verkeer bedienen, moeten beschikbaar zijn in het Hebreeuws. De Autoriteit heeft dit niet geformaliseerd als een strikte vereiste, maar heeft in richtlijnen opgemerkt dat de beschikbaarheid van het Hebreeuws deel uitmaakt van het «geïnformeerde» aspect van de toestemmingsnorm voor Hebreeuwssprekende doelgroepen.

Documentatie en verantwoording

Het verantwoordingsprincipe in het Israëlisch recht volgt dat van de GDPR. Uitgevers moeten op verzoek toestemmingsbeslissingen kunnen aantonen. Audit-niveau logging — tijdstempel, bannerversie, keuze, jurisdictie van de bezoeker — is de praktische vereiste.

De EU-adequaatheidskwestie

De EU-adequaatheidsbeslissing van Israël is een van de strategisch meest belangrijke kenmerken van zijn privacyregime. De beslissing uit 2011 maakt het mogelijk dat persoonsgegevens van de EU naar Israël stromen zonder aanvullende waarborgen, waardoor Israëlische exploitanten aanzienlijk aantrekkelijkere partners zijn voor Europese bedrijven dan exploitanten in niet-adequate rechtsgebieden. Het periodieke adequaatsheidsbeoordeling van de Commissie vereist dat het Israëlische kader gelijke tred houdt met de Europese normen. Amendment 13 was, voor een significant deel, ingegeven door het handhaven van adequaatheid door de volgende herzieningscyclus.

Voor uitgevers is de praktische implicatie dat naleving van het gewijzigde Israëlische kader niet alleen gaat over het vermijden van binnenlandse handhaving; het gaat over het bewaren van de adequaatstatus van het land en de bevoorrechte toegang tot Europese datastromen die die status biedt. De handhavingsprioriteiten van de Autoriteit weerspiegelen dit — bannerontwerpgebreken op Israëlische sites worden door de Autoriteit serieuzer genomen dan dezelfde gebreken in niet-adequate rechtsgebieden vanwege de systemische adequaatimplicaties.

De Handhavingspositie van de Privacy Protection Authority

De Autoriteit opereert vanuit het Ministerie van Justitie maar met aanzienlijke operationele onafhankelijkheid. Haar handhavingspositie is historisch gezien gemeten geweest — capaciteitsopbouw, sectoroverleg en gerichte spraakmakende zaken in plaats van hoge-volume beboeting — maar de uitgebreide toolkit van Amendment 13 heeft het patroon merkbaar verschoven.

Onderzoekstriggers

De Autoriteit opent onderzoeken hoofdzakelijk via drie kanalen: klachten van betrokkenen, dataleknotificaties en sectorale beoordelingen. Online uitgevers komen doorgaans via het eerste kanaal naar voren — een klacht over bannerontwerp of trackinggedrag wordt vaak het toegangspunt.

Sanctiepraktijk

De boetes van de Autoriteit na Amendment 13 hebben een patroon gevolgd: eerst een remediëringsperiode aangeboden, met geldelijke sancties alleen opgelegd wanneer remediëring onvolledig is of geweigerd. Het signaal is dat een te goeder trouw nalevingshouding telt, zelfs wanneer gebreken aanwezig zijn.

Coördinatie met EU-toezichthouders

De Autoriteit neemt actief deel aan de Article 29-stijl coördinatiemechanismen voor adequate rechtsgebieden. Handhavingsposities volgen doorgaans de EDPB-richtlijnen, en grensoverschrijdende klachten met EU- en Israëlisch verkeer worden toenemend via gecoördineerde procedures afgehandeld.

Een Praktische Nalevingschecklist

Zes concrete vragen om te beantwoorden voor elke cookie-banner die Israëlisch verkeer bedient.

Waar Israël Past in het Globale Beeld

Amendment 13 van Israël weerspiegelt een breder patroon: rechtsgebieden die dateren van vóór de GDPR moderniseren hun kaders om afstemming met de Europese normen te behouden. Japan, het Verenigd Koninkrijk, Zuid-Korea en Brazilië hebben allemaal vergelijkbare trajecten gevolgd. Voor uitgevers die in deze markten opereren, is de praktische implicatie dat één CMP-infrastructuur gebouwd naar Europese normen het grootste deel van het regelgevingslandschap afdekt — het Israëlische kader, na de wijziging, valt stevig binnen die envelop. De strategische waarde is tweeledig: binnenlandse naleving plus voortdurende deelname aan de bevoorrechte gegevensstroom-relatie met de EU die adequate status biedt. De investering in correcte bannerarchitectuur en toestemmingslogging die Europese compliance al rechtvaardigt, is in Israël een meer direct verdedigbare investering dan in de meeste niet-adequate rechtsgebieden.

← Blog Alles lezen →