Malaysia PDPA 2024-wijziging: Cookietoestemming Compliance Gids voor Uitgevers in 2026
Malaysia's Personal Data Protection Act 2010 was, toen het in 2013 in werking trad, een van de eerdere alomvattende privacywetten in Zuidoost-Azië. Tijdens het eerste decennium was de operationele standaard relatief licht: de Personal Data Protection Department (JPDP, nu PDP) voerde een actief registratiestelsel voor gegevensgebruikers in zeven gedekte activiteitenklassen, maar handhaving tegen algemene online-operators was bescheiden en de toestemmingsstandaard werd algemeen als permissief geïnterpreteerd. De 2024 Amendment Act, die Royal Assent ontving in October 2024 en gefaseerd in 2025 in werking trad, veranderde die houding substantieel. De wijziging introduceerde verplichte Data Protection Officers voor verwerkingsverantwoordelijken boven drempelwaarden, verplichte melding van datalekken binnen 72 uur, het recht op dataportabiliteit, een herbenoemde toezichthouder met scherpere handhavingsbevoegdheden, en bevestigde grensoverschrijdende doorgifte-eisen die onder de oorspronkelijke wet ambigu waren geïmplementeerd. Voor uitgevers en SaaS-operators die Maleisisch verkeer bedienen — een markt die een van de meest actieve fintech- en digitale economie-ecosystemen in ASEAN omvat — vertegenwoordigt de gewijzigde PDPA een betekenisvolle operationele verschuiving. Deze gids doorloopt wat er in 2024 veranderde, hoe de PDP de gewijzigde toestemmingsstandaard voor online tracking heeft geïnterpreteerd, en waar het praktische compliance-werk zich op moet richten.
De PDPA in 2026 — Schets na de wijziging
De gewijzigde PDPA blijft gestructureerd rond zeven principes in Section 5: Algemeen, Kennisgeving en Keuze, Openbaarmaking, Beveiliging, Bewaring, Gegevensintegriteit en Toegang. Het Kennisgeving en Keuze-principe in Section 7 is het meest consequent voor cookietoestemming, waarbij gegevensgebruikers verplicht zijn schriftelijke kennisgeving te verstrekken in zowel Engels als Bahasa Malaysia en toestemming te verkrijgen (of te vertrouwen op een alternatieve grondslag in Section 6) voordat wordt verwerkt.
Drie structurele veranderingen uit de 2024-wijziging zijn operationeel van belang voor online uitgevers. Ten eerste heeft de herbenoemde Personal Data Protection Department nu expliciete bevoegdheid om administratieve boetes op te leggen die gekoppeld zijn aan een percentage van de jaaromzet, ter vervanging van het oudere systeem met vaste boetes. Ten tweede is de verplichte DPO-aanwijzing onder Section 12A van toepassing op verwerkingsverantwoordelijken boven gedefinieerde drempelwaarden — de meeste advertentie-ondersteunde uitgevers en SaaS-operators overschrijden die drempelwaarden. Ten derde vereist de nieuwe Section 12B melding van datalekken aan de PDP binnen 72 uur na bewustwording, waarbij kennisgeving aan getroffen betrokkenen vereist is wanneer aanzienlijke schade waarschijnlijk is.
Hoe de gewijzigde PDPA cookies en online tracking behandelt
De PDPA bevat geen cookie-specifieke bepaling. De toestemming- en informatieverplichtingen vloeien voort uit Sections 5, 6 en 7 van de wet en uit de 2025 Public Consultation Paper van de PDP over online tracking, die de verwachtingen van de toezichthouder na de wijziging voor cookiebanners en gedragsgerichte reclame verwoordde. Vier punten hebben de meeste operationele impact.
Expliciete toestemming voor niet-essentiële tracking
De 2025 Public Consultation Paper verwierp impliciete toestemming, voortgezet gebruik en vooraf aangevinkte vakjes als niet voldoend aan het Kennisgeving en Keuze-principe wanneer geïnterpreteerd in de online context. Een expliciete bevestigende handeling is vereist voor niet-essentiële cookies, waarmee de Maleisische praktijk aansluit bij de positie van de EDPB Cookie Banner Taskforce.
Tweetalige kennisgevingseis
Section 7(3) vereist dat de privacyverklaring en het toestemmingsmechanisme beschikbaar zijn in zowel Engels als Bahasa Malaysia. Dit was een kenmerk van de oorspronkelijke wet dat de wijziging herbevestigde; de PDP is steeds explicieter geweest dat eentalige Engelse banners niet voldoen aan de eis voor doelgroepen die Maleisische inwoners bedienen.
Gedetailleerde categoriecontroles
De Consultation Paper verwacht dat banners de gebruiker in staat stellen categorieën onafhankelijk te accepteren en af te wijzen. Een enkele knop om alles te accepteren zonder granulariteit wordt behandeld als een gebrek onder de proportionaliteitslezing van Section 5(c) (verzameling mag niet buitensporig zijn).
Grensoverschrijdende doorgifte (Section 129)
Section 129 van de oorspronkelijke PDPA vereiste dat grensoverschrijdende doorgiften naar een ontvanger in een land op de witte lijst gingen (een lijst die de minister zou moeten onderhouden maar nooit effectief publiceerde). De 2024-wijziging vervangt dit door een werkbaarder kader: doorgiften mogen doorgaan naar rechtsgebieden met vergelijkbare bescherming, of onder passende contractuele waarborgen, of met expliciete toestemming. De PDP heeft modelcontractbepalingen uitgevaardigd die vergelijkbaar zijn met de EU SCCs.
De handhavingshouding van de PDP in 2026
De houding van de Personal Data Protection Department na de wijziging verschilt op drie waarneembare manieren van de benadering voor de wijziging.
Actieve sectorale controles
De PDP heeft prioriteit gegeven aan de fintech-, e-commerce- en digitale kredietverleningssectoren voor proactieve controles sinds de wijziging van kracht werd. Deze controles beginnen doorgaans met een registratieaudit en escaleren naar een bredere inspectie als de registratie niet actueel is.
Hogere boetes
Het nieuwe administratieve boetestelsel heeft grotere en meer publiekelijk zichtbare boetes opgeleverd dan het oudere vaste-boetemodel. Verschillende telecom- en fintech-operators ontvingen in 2025 boetes van acht cijfers in ringgit, die de PDP heeft gebruikt om te communiceren dat de wijziging echte tanden heeft.
ASEAN-regelgevende coördinatie
De PDP neemt deel aan de ASEAN Data Management Framework-werkstroom en coördineert met Singapore's PDPC, Thailand's PDPC en de Philippines NPC. Grensoverschrijdende onderzoeken waarbij Maleisisch en ander ASEAN-verkeer betrokken is, worden steeds vaker afgehandeld via gecoördineerde procedures.
Een praktische compliance-checklist
Zes concrete vragen om te beantwoorden voor elke cookiebanner die Maleisisch verkeer bedient.
- Is de verwerkingsverantwoordelijke geregistreerd bij de PDP? Als de verwerking binnen een gedekte klasse valt, bevestig dat de registratie actueel is. De 2024-wijziging breidde de praktische reikwijdte van registratie uit.
- Is een DPO aangewezen? Section 12A vereist aanwijzing boven drempelwaarden. Bevestig dat de aanwijzing is gedocumenteerd en dat de contactgegevens van de DPO zijn gepubliceerd in de privacyverklaring.
- Is de kennisgeving tweetalig? Engels en Bahasa Malaysia zijn beide vereist onder Section 7(3).
- Is er een expliciete afwijzing op de eerste laag? Het afwijzingspad moet op hetzelfde oppervlak zitten als accepteren. Scrollen-als-toestemming voldoet niet aan de 2025 Public Consultation Paper.
- Zijn grensoverschrijdende doorgiften gedocumenteerd? Identificeer elke niet-Maleisische bestemming en het Section 129-mechanisme dat de doorgifte autoriseert.
- Is de respons op datalekken geregeld? Bevestig dat cookie-gerelateerde incidenten de Section 12B-meldingsworkflow activeren met een 72-uursklok vanaf bewustwording.
Waar Malaysia past in een multi-jurisdictie stack
Malaysia is een van de vier operationeel meest consequente ASEAN-gegevensbeschermingsregimes naast Singapore, Thailand en de Filipijnen. De 2024-wijziging sloot het grootste deel van de kloof tussen de oorspronkelijke PDPA en de GDPR, wat betekent dat een CMP-architectuur gebouwd naar Europese standaarden nu het grootste deel van de Maleisische compliance behandelt met drie specifieke toevoegingen: tweetalige (Engels + Bahasa Malaysia) banner en kennisgeving, PDP-registratie waar drempelwaarden voor gedekte klassen van toepassing zijn, en de Section 12B-meldingsworkflow voor datalekken met zijn 72-uursklok. Voor uitgevers die werken aan pan-ASEAN-operaties is de PDPA na de wijziging een betekenisvolle sjabloon — nieuwere regionale wetten zullen waarschijnlijk op de structuur ervan voortbouwen — en de operationele toevoegingen zijn haalbaar bovenop een reeds geïmplementeerde toestemmingsstack van Europees niveau.