Sri Lanka PDPA Cookie Toestemmingsnaleving Gids: Wet Nr. 9 van 2022 van kracht voor Uitgevers in 2026
Sri Lanka bracht meer dan een decennium door in de wetgevende pijplijn voordat zijn Wet Bescherming Persoonsgegevens uiteindelijk werd aangenomen als Wet Nr. 9 van 2022, gecertificeerd door de Speaker op 19 March 2022. De Wet neemt de brede architectuur over die de wereldwijde standaard is geworden sinds de GDPR — doelbinding, rechtmatige grondslag, rechten van betrokkenen, verantwoording, controles op grensoverschrijdende overdracht, meldplicht datalekken en een onafhankelijke toezichthouder met bevoegdheden tot het opleggen van bestuurlijke boetes — maar verankert ze in een regime op maat van de commerciële en constitutionele realiteiten van Zuid-Azië. De Wet trad gefaseerd in werking vanaf 17 March 2023, waarbij de materiële verplichtingen 18 maanden later van kracht werden en de handhavingsbepalingen progressief werden ingevoerd gedurende 2025 en in 2026. Voor uitgevers en elke andere entiteit die persoonsgegevens van individuen in Sri Lanka verwerkt, is de implicatie direct: een cookietoestemmingspositie die voldeed aan het eerdere lappendeken van sectorale regels is niet langer voldoende, en een positie die voldoet aan de GDPR zal alleen voldoen aan de PDPA als de integratie is geconfigureerd voor de specifieke punten waar de twee regimes uiteenlopen.
Wat de Sri Lanka PDPA daadwerkelijk vereist
De PDPA is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in Sri Lanka bevinden, ongeacht waar de verwerkingsverantwoordelijke of verwerker is gevestigd, en op verwerkingsverantwoordelijken en verwerkers die in Sri Lanka zijn gevestigd, ongeacht waar de betrokkenen zich bevinden. Het extraterritoriale bereik weerspiegelt GDPR Artikel 3 en betekent dat een uitgever zonder Sri Lankaans kantoor maar met Sri Lankaanse lezers, app-installaties of betalende klanten volledig binnen de reikwijdte valt. Persoonsgegevens worden ruim gedefinieerd als alle informatie met betrekking tot een geïdentificeerde of identificeerbare levende natuurlijke persoon, waarbij bijzondere categoriepersoonsgegevens zoals biometrische, genetische, financiële, gezondheids-, ras-, etnische, religieuze overtuigings-, politieke mening- en strafregistratiegegevens onder strengere regels vallen.
De Wet stelt zeven kernbeginselen voor gegevensbescherming, zes rechtmatige grondslagen voor verwerking, de standaard reeks rechten van betrokkenen — toegang, rectificatie, verwijdering, beperking, bezwaar en gegevensoverdraagbaarheid waar technisch haalbaar — en een toezichthouder, de Autoriteit Persoonsgegevens van Sri Lanka, met de bevoegdheid om richtlijnen uit te vaardigen, bestuurlijke boetes op te leggen tot LKR 10 miljoen per schending en ernstige zaken door te verwijzen voor strafrechtelijke vervolging.
Hoe de PDPA specifiek omgaat met cookietoestemming
De PDPA bevat geen afzonderlijke ePrivacy-achtige bepaling over cookies, zoals de ePrivacy Richtlijn van de EU dat doet. In plaats daarvan vouwt het cookieverwerking in het algemene GDPR-achtige toestemmingskader: elke verwerking van persoonsgegevens die berust op toestemming als rechtmatige grondslag moet worden verkregen op basis van een duidelijke bevestigende handeling waarmee de betrokkene instemming geeft, vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig. De DPA heeft, in lijn met de mondiale trend, aangegeven dat vooraf aangevinkte vakjes, voortgezet-browsen-taal en gebundelde toestemmingsbanner geen geldige vormen van toestemming zijn onder de Wet.
Het praktische effect is dezelfde positie die uitgevers in de EEA al handhaven: cookies en analoge opslag-en-toegangstechnologieën die niet strikt noodzakelijk zijn voor het leveren van de dienst mogen niet worden geplaatst voordat de gebruiker er actief mee heeft ingestemd. Strikt noodzakelijke cookies — sessie-identificatoren, winkelwageninhoud, beveiligingstokens, load-balancing cookies — kunnen zonder toestemming worden geplaatst omdat ze vallen onder de grondslag van gerechtvaardigde belangen gebonden aan de dienst die de gebruiker actief heeft aangevraagd. Al het andere, inclusief analytics, reclame, personalisatie, A/B-testen, sessieherhaling en externe tags, vereist voorafgaande toestemming.
Hoe de PDPA verschilt van de GDPR
Drie verschillen zijn van belang voor de integratielaag. Ten eerste bevat de catalogus van rechtmatige grondslagen van de PDPA een grondslag van openbaar belang en wettelijke verplichting die nauw aansluiten bij GDPR Artikel 6, maar omvat niet de zelfstandige grondslag van gerechtvaardigde belangen in de vorm waarop Europese uitgevers vertrouwen voor de verwerking van advertentiemetingen. Het equivalent van de PDPA is enger en vereist een gedocumenteerde balanceringstoets die wordt ingediend bij het verwerkingsregister van de verwerkingsverantwoordelijke en op verzoek beschikbaar wordt gesteld aan de DPA. Ten tweede vereisen de regels voor grensoverschrijdende overdracht van de PDPA dat de DPA bestemmingsjurisdicties aanwijst, en overdrachten naar niet-aangewezen jurisdicties vereisen hetzij expliciete toestemming, contractuele garanties goedgekeurd door de DPA of een van de beperkte uitzonderingen. Ten derde is de termijn voor meldingen van datalekken van de PDPA korter voor risicovolle inbreuken en langer voor laagrisico-inbreuken dan de vaste GDPR-regel van 72 uur — verwerkingsverantwoordelijken moeten melden zonder onnodige vertraging en, waar haalbaar, binnen een tijdsbestek dat de leidraad van de DPA heeft aangescherpt gedurende de gefaseerde inwerkingtreding.
Hoe een compliant cookiebanner eruit ziet onder de PDPA
De technische vereisten convergeren met wat elke moderne CMP al produceert, maar de labeling en het toestemmingslogboek moeten Sri Lankaanse specifieke kenmerken weerspiegelen. De eerste laag banner moet de gebruiker een echte keuze bieden — accepteren, weigeren, beheren — waarbij de weigering minstens even prominent is als de acceptatie-optie. Gebundelde toestemming is verboden, dus de tweede laag moet per-categorie opt-in toestaan, minimaal analytics, reclame en grensoverschrijdende overdrachtsafhankelijke verwerking. Categorieën moeten standaard op uit staan; de banner mag geen tags laden totdat de gebruiker ze actief heeft ingeschakeld.
De privacyverklaring die vanuit de banner wordt weergegeven, moet de verwerkingsverantwoordelijke identificeren, de categorieën verzamelde persoonsgegevens, de rechtmatige grondslag voor elk verwerkingsdoel, de bewaartermijn, de categorieën ontvangers inclusief subverwerkers die buiten Sri Lanka opereren, de rechten van de betrokkene onder de PDPA en de contactgegevens van de DPA voor klachten. Een verklaring die voldoet aan de GDPR Artikel 13-norm zal grotendeels overlappen, maar de DPA-contact- en grensoverschrijdende overdrachtsregelregels moeten expliciet worden toegevoegd.
Het integratiepatroon dat een DPA-beoordeling doorstaat
De referentie-implementatie heeft vier bewegende onderdelen. Het eerste is een CMP die per-categorie, standaard-uitgeschakelde opt-in ondersteunt en de keuze van de gebruiker blootstelt via een gestructureerde toestemmingsstring die de uitgever kan opslaan in een toestemmingslogboek. Het tweede is een taglaadlaag — doorgaans een server-side tagbeheerder of een CMP-native scriptpoort — die de toestemmingsstatus strikt handhaaft voordat niet-essentiële cookies mogen worden geplaatst. Het derde is een toestemmingslogboek, server-side, dat voor elk toestemmingsgebeurtenis de keuze van de gebruiker per categorie, de tijdstempel, de versie van de toestemmingsbanner, het IP-adres (afgekapt of gehasht als de verwerkingsverantwoordelijke heeft besloten dat dit voldoet aan zijn dataminimalisatieanalyse) en de toegewezen versus geweigerde categorieën registreert. Het vierde is een intrekkingspad dat minstens zo eenvoudig is als de oorspronkelijke verlening — een persistente bannerheropening link in de footer is het patroon dat de DPA impliciet heeft goedgekeurd door te verwijzen naar internationale beste praktijken.
- Analytics tags mogen alleen worden geladen nadat de analytics categorie is verleend; Google Analytics 4, Adobe Analytics, Matomo, Amplitude en Mixpanel ondersteunen allemaal een toestemmingsgegrendelde configuratie die cookiewrites voorkomt voordat de poort omschakelt.
- Reclametags — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatische header bidders — moeten op dezelfde manier worden gegrendeld en, waar de reclamepartner gegevens buiten Sri Lanka overdraagt, moet de bestemmingsjurisdictie van de partner in de privacyverklaring worden vermeld.
- Sessieherhaling en heatmaptools — Hotjar, Microsoft Clarity, FullStory — moeten achter een aparte, strengere poort staan omdat de DPA, in lijn met de EDPB, het renderen van invoervelden heeft aangemerkt als een categorie die expliciete en gedetailleerde toestemming vereist.
- Grensoverschrijdende overdrachtsbekendmakingen moeten specifiek zijn voor elke ontvangende jurisdictie, niet generiek. De DPA heeft aangegeven dat gegevens worden verwerkt door dienstverleners wereldwijd geen voldoende bekendmaking is.
Validatie en auditpositie voor 2026
Een verdedigbare Sri Lankaanse implementatie in 2026 moet vier controles doorstaan. Ten eerste moet een schone browsersessie van een Sri Lankaans IP-adres nul niet-essentiële cookies produceren voordat er actie is ondernomen op de banner. Ten tweede moet het alles-weigeren-pad resulteren in dezelfde positie als een niet-actieve sessie — geen analytics-tags, geen reclametags, geen sessieherhaling-scripts, alleen de strikt noodzakelijke set. Ten derde moet een alles-accepteren-flow de tags produceren waarmee de gebruiker heeft ingestemd en het toestemmingslogboek moet de bijbehorende record bevatten. Ten vierde moet een intrekkingsstroom onmiddellijk verdere tagactivering stoppen, de cookies die tijdens de toestemming zijn geplaatst verlopen, en eventuele downstream verwijdering of opt-out signalen activeren die de ontvangende partners vereisen.
De vereiste voor auditsporen is waar de PDPA in 2026 het meest onderscheidend is. De DPA heeft leidraad uitgebracht die aangeeft dat verwerkingsverantwoordelijken op verzoek de specifieke toestemmingsregistratie moeten kunnen overleggen die elke verwerkingsactiviteit heeft geautoriseerd. Dit betekent dat het toestemmingslogboek doorzoekbaar moet zijn op gebruikersidentificator of sessie-identificator, bewaard moet worden voor een periode die de verwerkingsverantwoordelijke heeft gedocumenteerd in zijn bewaartermijnschema en exporteerbaar moet zijn in een gestructureerd formaat. Een correct geconfigureerde CMP met een server-side logboek, gecombineerd met een taglaadlaag die de toestemmingsstatus handhaaft en een privacyverklaring die elke bestemming van grensoverschrijdende overdracht benoemt, is wat de Sri Lankaanse PDPA verandert van een regelgevende onbekende in een verdedigbaar onderdeel van de wereldwijde toestemmingspositie van een uitgever.