Handleiding voor naleving van cookietoestemming onder de Keniaanse Wet op gegevensbescherming 2019 voor uitgevers in 2026

Kenya nam de Wet op gegevensbescherming 2019 aan in November van dat jaar, waarmee het het eerste Oost-Afrikaanse land werd dat een uitgebreide privacywet in GDPR-stijl aannam. De wet richtte het Office of the Data Protection Commissioner (ODPC) op als zelfstandige toezichthouder en gaf het vanaf de eerste dag betekenisvolle handhavingsbevoegdheden. Anders dan veel nieuwere privacyregimes in de regio heeft de ODPC niet geleidelijk zijn rol opgebouwd — het is een van de meest actieve Afrikaanse gegevensbeschermingsautoriteiten geweest sinds 2021, waarbij het nalevingsberichten uitvaardigde, administratieve boetes oplegde en gedetailleerde richtlijnen publiceerde over specifieke verwerkingscategorieën. Voor uitgevers, fintech-operators en SaaS-leveranciers die Keniaans verkeer bedienen — Nairobi alleen al is de thuisbasis van een van de grootste concentraties Afrikaanse techbanen, en Kenya is een strategische hub voor pan-Afrikaanse digitale diensten — vertegenwoordigt de DPA een reëel en actief handhavingsrisico. Deze handleiding gaat door wat de wet vereist, hoe de ODPC het heeft geïnterpreteerd voor online tracking en hoe het praktische nalevingswerk eruitziet in 2026.

De Wet op gegevensbescherming 2019 in overzicht

De Keniaanse DPA is gestructureerd rond acht beginselen in Section 25 die nauw aansluiten bij GDPR Article 5: rechtmatigheid, doelbinding, dataminimalisering, nauwkeurigheid, opslagbeperking, integriteit, verantwoordingsplicht en een Keniaanse toevoeging die het grondwettelijke recht op privacy uitdrukkelijk bevestigt. De rechtsgronden in Section 30 zijn een afspiegeling van de GDPR: toestemming, contract, wettelijke verplichting, vitale belangen, publiek belang en gerechtvaardigd belang. De wet is van toepassing op elke verwerkingsverantwoordelijke of verwerker die persoonsgegevens verwerkt van betrokkenen in Kenya, met extraterritoriale reikwijdte die offshore uitgevers omvat die Keniaanse bezoekers bedienen.

Twee structurele kenmerken van de wet zijn operationeel relevant. Ten eerste moeten verwerkingsverantwoordelijken en verwerkers boven bepaalde drempelwaarden zich registreren bij de ODPC, en de Commissaris is zichtbaar geweest in het opsporen van niet-geregistreerde operators. Ten tweede vereist de wet de aanstelling van een functionaris voor gegevensbescherming wanneer de verwerkingsomvang bepaalde drempelwaarden overschrijdt — inclusief grootschalige verwerking van persoonsgegevens, wat de meeste door advertenties ondersteunde uitgevers en SaaS-operators omvat.

Hoe de DPA omgaat met cookies en online tracking

De DPA bevat geen cookiespecifieke bepaling; de verplichtingen inzake toestemming en informatie vloeien voort uit Sections 25, 30 en 32 van de wet. De ODPC 2024 Guidance Note over digitale marketing en gedragsreclame formuleerde specifieke verwachtingen voor online tracking waartegen uitgevers die Keniaans verkeer bedienen, hun ontwerp moeten afstemmen.

Actieve toestemming voor niet-essentiële cookies

Het standpunt van de ODPC is ondubbelzinnig: scrollen als toestemming en voortgezet gebruik als toestemming voldoen niet aan de vrij gegeven en ondubbelzinnige vereisten van Section 32. Een expliciete bevestigende handeling is vereist voor niet-essentiële cookies. De interpretatie sluit nauw aan bij het standpunt van de EDPB Cookie Banner Taskforce.

Gedetailleerde categoriecontroles

De richtlijn van 2024 is expliciet dat banners de gebruiker moeten toestaan categorieën onafhankelijk te accepteren en te weigeren. Gebundeld "Alles accepteren" zonder een gelijkwaardig "Alles weigeren" op hetzelfde oppervlak wordt behandeld als een tekortkoming, evenals het ten onrechte labelen van analytische of marketingcookies als strikt noodzakelijk.

Kindergegevens en toestemmingscapaciteit

De DPA behandelt betrokkenen onder de 18 jaar als kinderen voor toestemmingsdoeleinden, waarbij ouderlijke toestemming vereist is voor verwerking. Voor uitgevers wiens publiek Keniaanse minderjarigen omvat, heeft het kader voor cookietoestemming een leeftijdsbewust pad nodig dat geen volwassen capaciteit veronderstelt.

Regels voor grensoverschrijdende overdrachten

Section 48 van de wet regelt overdrachten buiten Kenya. Overdrachten kunnen plaatsvinden op grond van een van verschillende mechanismen: adequaatheidsbesluit door de Commissaris, passende waarborgen (inclusief de standaard contractuele clausules van de ODPC, uitgebracht in 2023), uitdrukkelijke toestemming of specifieke uitzonderingen. De ODPC is steeds explicieter dat "wij gebruiken Google Analytics" geen voldoende reactie is op een vraag over grensoverschrijdende overdracht; de uitgever moet het feitelijke mechanisme kunnen identificeren dat de gegevensstroom autoriseert.

De handhavingspositie van de ODPC

De ODPC is de meest actieve Afrikaanse gegevensbeschermingstoezichthouder geweest sinds 2022, zowel in absoluut zaakvolume als in de zichtbaarheid van haar acties. Drie patronen bepalen haar handhavingsaanpak.

Vroege zichtbare boetes

De ODPC legde administratieve boetes op aan verschillende fintech-, digitale krediet- en kredietbureauoperators vanaf 2022, waarmee precedent werd geschapen voor financiële rechtsmiddelen onder de wet. De communicatie rondom deze zaken is bewust openbaar geweest, waarmee werd gesignaleerd dat handhaving reëel is en niet slechts theoretisch.

Sectorale focus op fintech en krediet

De fintech- en digitale kredietsector — die in Kenya ongewoon groot is in verhouding tot de totale economie van het land — heeft de meest geconcentreerde aandacht van de ODPC ontvangen. Voor uitgevers die door advertenties ondersteunde bedrijven exploiteren die gericht zijn op fintech-gebruikers, is de regelgevende sfeer rondom het publiek meer geladen dan in veel vergelijkbare markten.

Coördinatie met regionale toezichthouders

De ODPC neemt deel aan het African Network of Data Protection Authorities en onderhoudt werkrelaties met de EDPB en de Nigeriaanse NDPC. Grensoverschrijdende onderzoeken met Keniaans en Europees verkeer worden afgehandeld via gecoördineerde procedures.

Een praktische nalevingschecklist

Zes concrete vragen om te beantwoorden voor elke cookiebanner die Keniaans verkeer bedient.

Waar Kenya past in een multi-jurisdictiestack

Kenya is een van de vier operationeel meest consequente Afrikaanse gegevensbeschermingsregimes — naast Nigeria, Zuid-Afrika en het opkomende kader van Egypte — en zijn voorsprong in 2019 heeft zich vertaald in de meest volwassen handhavingspositie op het continent. Voor uitgevers die werken aan pan-Afrikaanse activiteiten is de Keniaanse DPA het de facto sjabloon dat nieuwere regionale wetten hebben gebruikt: registratievereisten, verplichte DPO's boven drempelwaarden, rechtsgronden in GDPR-stijl en regels voor grensoverschrijdende overdrachten die Chapter V van de GDPR weerspiegelen met regionale aanpassingen. Nalevingswerk voor Kenya staat parallel aan de Europese standaard met drie betekenisvolle toevoegingen: ODPC-registratie, leeftijdsbewuste toestemmingscapaciteit en de specifieke standaard contractuele clausules van de ODPC voor grensoverschrijdende overdrachten. Een toestemmingsbeheerplatform gebouwd volgens Europese normen verwerkt het grootste deel van het werk; de Keniaanse toevoegingen zijn operationele lagen bovenop, geen architecturale verbouwingen.

← Blog Alles lezen →