Nigeria Data Protection Act 2023 Handleiding Cookietoestemmingsconformiteit voor Uitgevers in 2026

Nigeria functioneerde jarenlang onder de Nigeria Data Protection Regulation 2019 (NDPR), een subsidiaire verordening uitgegeven door NITDA die GDPR-achtige verplichtingen oplegde zonder de volledige wettelijke autoriteit van een echte gegevensbeschermingswet. De Nigeria Data Protection Act 2023 (NDPA) veranderde dat. Aangenomen door de Nationale Vergadering en ondertekend in June 2023, is de wet Nigerias eerste uitgebreide gegevensbeschermingsstatuut, en het vestigde de Nigeria Data Protection Commission (NDPC) als een zelfstandige toezichthoudende autoriteit met handhavingsbevoegdheden die materieel sterker zijn dan die van NITDA onder het oude regime. Voor uitgevers, SaaS-operators en advertentietechnologieaanbieders die Nigeriaans verkeer bedienen — een markt die snel is gegroeid met de opkomst van fintech, e-commerce en de bredere West-Afrikaanse digitale economie — heeft de NDPA de compliancelat opnieuw gezet. Deze handleiding doorloopt wat de wet vereist, hoe de NDPC deze heeft geïnterpreteerd voor online tracking, en hoe het praktische compliancewerk er in 2026 uitziet.

De NDPA in overzicht

De NDPA is gestructureerd rond zes kernprincipes die nauwkeurig aansluiten bij de GDPR Article 5: rechtmatigheid, eerlijkheid en transparantie, doelbinding, dataminimalisatie, nauwkeurigheid, opslagbeperking en beveiliging. De wet is van toepassing op elke gegevensbeheerder of verwerker die persoonsgegevens verwerkt van personen die zich in Nigeria bevinden, met een extraterritoriaal bereik dat GDPR Article 3 weerspiegelt. Een offshore-uitgever die Nigeriaanse bezoekers bedient, valt volledig binnen het toepassingsgebied, ongeacht waar de uitgever is gevestigd.

De rechtsgrondslagen van de wet op grond van Section 25 zijn ook bekend: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, algemeen belang en gerechtvaardigd belang. Voor online tracking zijn de relevante grondslagen toestemming en — in beperkte, goed gedocumenteerde omstandigheden — gerechtvaardigd belang. De Algemene Toepassings- en Implementatierichtlijn van de NDPC 2025 (GAID) verduidelijkte dat de toestemmingsnorm voor niet-essentiële cookies functioneel identiek is aan die van de GDPR: vrij gegeven, specifiek, geïnformeerd, ondubbelzinnig en in staat te worden ingetrokken even gemakkelijk als het werd gegeven.

De overgang van NDPR naar NDPA

Drie veranderingen tussen het oude NDPR-regime en de nieuwe NDPA zijn het belangrijkst voor online uitgevers.

Wettelijke handhavingsbevoegdheden

De bevoegdheid van NITDA onder de NDPR was gebaseerd op een subsidiaire verordening, wat de kracht beperkte van rechtsmiddelen die de instantie kon nastreven. De NDPC opereert onder primaire wetgeving en kan nalevingsopdrachten uitvaardigen, administratieve boetes opleggen die zijn gekoppeld aan een percentage van de jaarlijkse omzet, en strafrechtelijke verwijzingen nastreven voor opzettelijke overtredingen. De verschuiving van regelgevende overtuiging naar wettelijke handhaving is de meest ingrijpende operationele verandering.

Verplichte verplichtingen van de functionaris voor gegevensbescherming

De NDPA vereist dat gegevensbeheerders die bepaalde verwerkingsdrempels overschrijden, een Functionaris voor Gegevensbescherming (DPO) aanwijzen en zich registreren bij de NDPC. De drempels omvatten de meeste betekenisvolle online uitgevers en SaaS-operators die Nigeriaanse gebruikers bedienen.

Kader voor grensoverschrijdende doorgiften

De NDPA codificeerde grensoverschrijdende doorgifteregels die de NDPR slechts losjes had behandeld. Sections 41-43 vereisen dat doorgiften naar niet-adequate jurisdicties plaatsvinden via een van verschillende opgesomde mechanismen — adequaatheidsbesluit, bindende bedrijfsregels, contractuele waarborgen of specifieke afwijkingen — waarbij de NDPC een lijst van goedgekeurde instrumenten publiceert.

Hoe de NDPA cookies en online tracking behandelt

De NDPA bevat geen cookiespecifieke bepaling; de toestemmings- en informatieverplichtingen vloeien voort uit het algemene kader. De GAID van de NDPC en een reeks openbare richtsnoeren gepubliceerd gedurende 2024 en 2025 formuleerden specifieke verwachtingen voor online tracking.

Bevestigende toestemming voor niet-essentiële cookies

Het standpunt van de NDPC sluit aan bij de EDPB Cookie Banner Taskforce en de equivalente standpunten van vergelijkbare African toezichthouders (het ODPC van Kenia, de Informatietoezichthouder van Zuid-Afrika). Scrollen-als-toestemming, voortgezet-gebruik-als-toestemming en vooraf aangevinkte vakjes zijn expliciete tekortkomingen.

Gedetailleerde categoriecontroles

Banners moeten strikt noodzakelijke cookies scheiden van analyses en van marketing, waarbij elke categorie onafhankelijk controleerbaar is. Gebundeld alles-accepteren zonder granulariteit wordt behandeld als een tekortkoming van het "specifieke" aspect van de toestemmingsnorm.

Gedocumenteerde rechtsgrondslag

Section 26 van de NDPA codificeert verantwoordingsplicht — beheerders moeten hun rechtsgrondslag voor elke verwerkingsactiviteit op verzoek kunnen aantonen. Voor cookie-implementaties vertaalt dit zich naar auditgradige toestemmingsregistratie: tijdstempel, bannerversie, de keuze van de gebruiker, en de rechtsgrondslag die voor elke activerende categorie wordt geclaimd.

Openbaarmaking van grensoverschrijdende doorgiften

Voor cookies die gegevens routeren naar leveranciers buiten Nigeria — de meeste in de VS gevestigde advertentietechnologieleveranciers, in de EU gevestigde analyseplatforms — moet de privacyverklaring de ontvanger van de doorgifte en de waarborg identificeren waaronder de doorgifte plaatsvindt. Generieke taal over "wij gebruiken derde partijen" voldoet niet aan de verwachtingen van de NDPC.

De handhavingshouding van de Nigeria Data Protection Commission

De NDPC is bewust publieksgericht geweest since ze in 2023 werd opgericht. Haar handhavingshouding volgt drie waarneembare patronen.

Vroege spraakmakende zaken

De NDPC heeft zichtbare vroege zaken tegen bekende operators geprioriteerd om precedenten te vestigen en ernst te signaleren. Verschillende fintech- en telecomoperators ontvingen in 2024 en 2025 nalevingsopdrachten met publieke communicatie rondom de herstelwerkzaamheden.

Sectorale inspecties

Naast klacht-gedreven zaken heeft de NDPC sectorale reviews uitgevoerd van fintech-, gezondheidszorg- en e-commerceoperators. De inspecties beginnen doorgaans met een verzoek om documentatie (privacyverklaringen, toestemmingslogboeken, leverancierslijsten) en escaleren op basis van wat de documentatie onthult.

Coördinatie met African en Europese toezichthouders

De NDPC neemt deel aan de gegevensstroom van de Continental Free Trade Area van de African Union en onderhoudt werkrelaties met de EDPB en de grote nationale DPAs. Grensoverschrijdende onderzoeken met Nigeriaans en Europees verkeer worden steeds vaker afgehandeld via gecoördineerde procedures.

Een praktische compliancechecklist

Zes concrete vragen om te beantwoorden voor elke cookiebanner die Nigeriaans verkeer bedient.

Waar Nigeria past in een multi-jurisdictionele stapel

Nigeria is de grootste digitale markt in Africa naar gebruikersaantal, en de NDPA wordt steeds meer het sjabloon waarnaar andere African jurisdicties verwijzen bij het moderniseren van hun eigen kaders. Een compliancearchitectuur gebouwd op Europese normen verwerkt Nigeriaanse compliance met hetzelfde soort kleine configuratieaanpassingen die Nieuw-Zeeland vereist: DPO-aanwijzing waar drempels van toepassing zijn, NDPC-stijl doorgiftedocumentatie en Engelstalige openbaarmakingen die Nigeriaanse taalkundige conventies respecteren. Voor uitgevers die pan-African activiteiten opbouwen, staat de NDPA naast Kenya DPA 2019, South Africa POPIA en het opkomende kader van Egypte als de vier meest operationeel ingrijpende African regimes. Nigeriaanse compliance goed doen is zinvol in de eigen markt en signaleert continentale gereedheid voor de rest.

← Blog Alles lezen →