De Structuur van de revFADP in 2026

De revFADP verving het Zwitserse gegevensbeschermingsregime van 1992 door een kader dat in de meeste operationele opzichten nauw aansluit bij de GDPR, terwijl het een handvol uitgesproken Zwitserse standpunten behoudt. De herziene Verordening inzake Gegevensbescherming (rev-OPDP) en de Verordening inzake Gegevensbeschermingscertificeringen, beide van kracht naast de revFADP, vullen de operationele details in.

Wat de Herziening Veranderde

De herziening introduceerde: verplichte melding van datalekken aan de FDPIC, een vereiste voor verwerkingsregisters voor de meeste verwerkingsverantwoordelijken, gegevensbeschermingseffectbeoordelingen voor hoog-risicoверwerking, een werkelijk extraterritoriale reikwijdte vergelijkbaar met artikel 3(2) van de GDPR, versterkte rechten van betrokkenen en een strafrechtelijke aansprakelijkheidsrem die van toepassing is op individuen en niet alleen op de controlerende organisatie. De definitie van persoonsgegevens, de grondslagen voor rechtmatige verwerking en de structuur van de rechten van betrokkenen zijn allemaal nauw afgestemd op de GDPR, wat de Zwitserse naleving materieel vereenvoudigt voor uitgevers die al een GDPR-programma uitvoeren — maar het niet elimineert.

Wie Wordt Gereguleerd

De revFADP is van toepassing op gegevensverwerking in Zwitserland en op verwerking buiten Zwitserland die individuen in Zwitserland treft. Buitenlandse uitgevers die Zwitsers verkeer bedienen via gelokaliseerde sites, een .ch-domein, Duits-Frans-Italiaans-Reto-Romaans content gericht op Zwitsers publiek, of programmatische inventaris gekocht tegen Zwitserse IP's vallen doorgaans onder de reikwijdte, en de FDPIC heeft de extraterritoriale lezing bevestigd in zijn richtsnoerenupdates van 2025.

Bestuurlijke Boetes en de Strafrechtelijke Rem

Het meest besproken verschil van de revFADP met de GDPR is dat de sanctiearchitectuur primair strafrechtelijk is in plaats van bestuursrechtelijk. Individuele boetes — doorgaans voor de verantwoordelijke natuurlijke personen zoals directeuren, functionarissen voor gegevensbescherming of compliance-leiders — kunnen oplopen tot CHF 250.000 per overtreding voor opzettelijke overtredingen, met parallelle strafrechtelijke aansprakelijkheid voor de ernstigste gedragingen. Het maximumbedrag is in absolute termen lager dan het GDPR-plafond van vier procent van de omzet, maar de richting van aansprakelijkheid — bij de genoemde persoon en niet alleen bij de organisatie — verandert de risicocalculatie in de praktijk. Verschillende uitgevers hebben in 2025 interne goedkeuringswerkstromen geherstructureerd specifiek om de blootstelling te verdelen.

Wat als Persoonsgegevens Wordt Beschouwd onder de revFADP

De definitie van persoonsgegevens in de revFADP volgt nauw de GDPR. Persoonsgegevens zijn informatie over een geïdentificeerde of identificeerbare persoon, en de FDPIC heeft cookies, reclame-ID's, IP-adressen, apparaatvingerafdrukken en gedragsprofielen consequent als persoonsgegevens behandeld wanneer ze direct of door combinatie met andere informatie aan een individu kunnen worden gekoppeld.

Bijzonder Gevoelige Persoonsgegevens

De revFADP stelt een categorie vast die bijzonder gevoelige persoonsgegevens wordt genoemd, die iets ruimer is dan de bijzondere categorieën van de GDPR. Ze omvat: gegevens over religieuze, filosofische, politieke of vakbondsopvattingen en -activiteiten, gezondheidsgegevens, gegevens over de persoonlijke levenssfeer of ras of etnische herkomst, genetische en biometrische gegevens die een persoon uniek identificeren, gegevens over bestuurlijke en strafrechtelijke procedures of sancties, en gegevens over bijstandsmaatregelen. Het verwerken van bijzonder gevoelige persoonsgegevens activeert verhoogde toestemmings- en transparantievereisten.

Waarom Dit Belangrijk is voor Cookies

Een cookie die een routinematige reclame-ID opslaat, is gewone persoonsgegevens. Een cookie die een doelgroepsegment voedt dat de bijzonder gevoelige lijst raakt — gezondheidsinteresses, politieke gezindheid, religieuze affiliatie — is verwerking van bijzonder gevoelige persoonsgegevens en vereist uitdrukkelijke toestemming, los van de algemene reclameconsensusflow. Doelgroepgerichte targeting in het Zwitsers die overlapt met deze lijst moet specifiek worden geauditeerd ten opzichte van de grens, die iets anders wordt getrokken dan de grens voor bijzondere categorieën van de GDPR.

Cookietoestemming onder de revFADP in 2026

De revFADP staat meerdere rechtsgrondslagen voor verwerking toe, en anders dan de ePrivacy-richtlijn zoals toegepast in EU-lidstaten legt het Zwitserse recht geen wettelijke toestemming-enige basisregel op voor niet-essentiële cookies. In de praktijk zijn de richtsnoeren van de FDPIC uit 2024 en 2025 en de meest recente handhavingsbeslissingen echter geconvergeerd naar een standpunt dat heel dicht bij de EU-basisregel ligt voor cookies die zijn gekoppeld aan reclame, analyses en cross-context profilering.

Het Operationele Standpunt van de FDPIC

Het gepubliceerde standpunt van de FDPIC is dat niet-essentiële cookies — inclusief reclame, retargeting, cross-site analyses en personalisatie — een voorafgaande, geïnformeerde, vrij gegeven en specifieke toestemming vereisen die is vastgelegd voordat de cookie wordt geplaatst. Strikt noodzakelijke cookies en cookies die een door de gebruiker expliciet gevraagde dienst ondersteunen, mogen worden geplaatst op basis van gerechtvaardigd belang of op basis van contractuele noodzaak zonder een voorafgaande toestemmingsprompt, maar de last van het classificeren van een cookie als strikt noodzakelijk ligt bij de verwerkingsverantwoordelijke en is in 2025 in meerdere klachten betwist.

De Elementen van Geldige Toestemming

Toestemming onder de revFADP moet zijn:

• Vrij gegeven — zonder dwang, koppeling aan essentiële dienstverlening, of een cookiewall die toegang tot kerninhoud afhankelijk stelt van het accepteren van een niet-essentiële cookie
• Geïnformeerd — de betrokkene begrijpt welke gegevens worden verwerkt, door wie, voor welk doel en voor welke ontvangers
• Specifiek — gebonden aan duidelijk geïdentificeerde verwerkingsdoelen in plaats van een algemene toestemming
• Ondubbelzinnig — tot uitdrukking gebracht door een duidelijke actieve handeling, niet afgeleid uit scrollen, voortdurend browsen of inactiviteit
• Uitdrukkelijk in gevallen met bijzonder gevoelige persoonsgegevens, met afzonderlijke toestemming voor de gevoelige verwerking

Hoe een Conforme CMP Eruitziet voor Zwitsers Verkeer

Een CMP die voor Zwitserland in 2026 is geconfigureerd, moet het volgende presenteren:

• Een banner die in de taal van de gebruiker wordt aangeboden — Duits, Frans, Italiaans of Reto-Romaans — voordat een niet-essentiële cookie wordt geplaatst, waarbij de taalkeuze aansluit bij de lokalisatie van de .ch-site in plaats van standaard te vallen op het Engels
• Gelijke visuele prominentie voor de acties Accepteren, Weigeren en Instellingen — de richtsnoeren van de FDPIC uit 2025 bekritiseren expliciet bannerontwerpen waarbij Weigeren visueel minder prominent is dan Accepteren
• Granulaire schakelaars per doel: analyses, reclame, personalisatie, grensoverschrijdende doorgifte en eventuele bijzonder gevoelige categorieën
• Een afzonderlijke toestemmingsstroom voor elke verwerking van bijzonder gevoelige persoonsgegevens, achter een eigen actie geplaatst in plaats van gebundeld in de algemene toestemming
• Een persistent en gemakkelijk te vinden mechanisme om toestemming in te trekken na de eerste keuze, met evenveel moeite als het geven van toestemming
• Een volledige Zwitserstalige privacyverklaring met vermelding van de identiteit van de verwerkingsverantwoordelijke, verwerkers, doelen, ontvangers, bewaartermijnen, doorgiftemechanismen en de route voor rechten van betrokkenen

Toestemmingsregisters

Verwerkingsverantwoordelijken moeten bewijs van toestemming bijhouden — wie heeft toestemming gegeven, wanneer, voor welke specifieke doelen en via welke interface. Ontoereikende toestemmingsregisters kwamen voor in verschillende onderzoeksbrieven van de FDPIC in 2025, en tijdgestempelde exporteerbare logs die worden bewaard gedurende de toepasselijke verjaringstermijn zijn de basisverwachting.

Grensoverschrijdende Doorgiften na de Adequaatheidsherziening van 2024

Grensoverschrijdende gegevensdoorgiften zijn het gebied van de revFADP waar het Zwitserse standpunt het meest duidelijk afwijkt van, en iets achterloopt op, het EU-standpunt. De herziening van 2024 na de EU-goedkeuring van het EU-US Data Privacy Framework leverde een parallel Zwitsers-Amerikaans Data Privacy Framework op, maar de reikwijdte en voorwaarden zijn niet identiek.

De Erkende Doorgiftemechanismen

De revFADP en de rev-OPDP erkennen verschillende wegen:

• Adequaatheidsbesluiten van de Zwitserse Bondsraad voor landen die als adequaat beschermingsniveau biedend worden beoordeeld — de huidige lijst omvat de EER, het Verenigd Koninkrijk en een handvol andere rechtsgebieden
• Het Swiss-US Data Privacy Framework voor doorgiften naar Amerikaanse organisaties die zichzelf hebben gecertificeerd onder het kader, dat na 2024 het Swiss-US Privacy Shield verving
• Standaardcontractbepalingen erkend door de FDPIC, inclusief de EU SCC's met een door de FDPIC gepubliceerde Zwitserse addendum
• Bindende bedrijfsregels goedgekeurd door de FDPIC
• Specifieke uitzonderingen waaronder uitdrukkelijke toestemming met adequate openbaarmaking, contractuele noodzaak, vitaal belang en aanzienlijk openbaar belang

Het Swiss-US DPF in de Praktijk

Het Swiss-US DPF dekt doorgiften naar Amerikaanse organisaties die zichzelf hebben gecertificeerd en hun certificering hebben behouden. Uitgevers moeten de actieve certificeringsstatus van elke Amerikaanse ad-tech- of analyticsleverancier op de DPF-lijst verifiëren in plaats van te vertrouwen op een eenmalige controle, omdat verlopen certificeringen eerdere doorgiften niet met terugwerkende kracht ongeldig maken maar wel onmiddellijke sanering voor lopende stromen vereisen. Waar een leverancier niet DPF-gecertificeerd is, blijven de EU SCC's met de Zwitserse addendum van de FDPIC het werkende alternatief.

De Praktische Aanpak voor 2026

Voor de meeste uitgevers is de werkende aanpak om elke grensoverschrijdende datastroom van Zwitsers verkeer in kaart te brengen naar het bestemmingsland en het mechanisme, de passende SCC's-met-Zwitserse-addendum uit te voeren waar DPF-certificering de leverancier niet dekt, het mechanisme te documenteren in de Zwitserstalige privacyverklaring, en aan te vullen met toestemmingsgebaseerde autorisatie alleen waar de gestructureerde mechanismen de verwerking niet duidelijk afdekken.

Rechten van Betrokkenen onder de revFADP

De revFADP kent een reeks rechten toe die nauw aansluiten bij de GDPR, met een paar Zwitserse specifieke contouren:

• Recht op inzage in persoonsgegevens die door de verwerkingsverantwoordelijke worden bewaard, met gratis eerste inzage per jaar en een kostendekkingsplafond voor volgende of omvangrijke verzoeken
• Recht op rectificatie van onjuiste of onvolledige gegevens
• Recht op verwijdering
• Recht op beperking van de verwerking
• Recht op gegevensoverdraagbaarheid voor gegevens die op basis van toestemming of contract op geautomatiseerde wijze worden verwerkt
• Recht van bezwaar tegen de verwerking
• Recht om toestemming in te trekken
• Recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming met rechtsgevolgen of vergelijkbare significante gevolgen, met een waarborg voor handmatige beoordeling
• Recht om een klacht in te dienen bij de FDPIC of om civiele procedures in te stellen

Responstermijnen

Verwerkingsverantwoordelijken moeten binnen 30 dagen reageren op verzoeken van betrokkenen onder het algemene kader, verlengbaar met een gemotiveerde kennisgeving in complexe gevallen. Operationele gereedheid voor dit tijdvenster — met Zwitserstalige tooling en draaiboeken in het Duits, Frans en Italiaans — is een veelvoorkomende lacune voor buitenlandse uitgevers die hun programma hebben afgestemd op één Europese taal.

Sancties en Handhavingshouding in 2026

De handhavingsactiviteit van de FDPIC is door 2024 en 2025 aanzienlijk geëscaleerd, en 2026 zet deze traject voort in plaats van te stagneren.

De Boetestructuur

Boetes zijn primair strafrechtelijk van aard en gericht aan genoemde personen — directeuren, DPO's, compliance-leiders — met een maximum van CHF 250.000 per opzettelijke overtreding. De meest aangehaalde categorieën in de handhaving van 2025 waren: onvoldoende informatie aan betrokkenen, schending van de zorgplicht bij grensoverschrijdende doorgiften, het niet nakomen van de verplichting om datalekken tijdig aan de FDPIC te melden, en niet-naleving van FDPIC-besluiten of -orders.

De Strafrechtelijke Aansprakelijkheidsrem

Anders dan de GDPR is de strafrechtelijke aansprakelijkheidsroute van de revFADP gericht op de verantwoordelijke natuurlijke persoon en niet alleen op de rechtspersoon, wat in 2025 heeft geleid tot aanzienlijke interne herstructurering van goedkeuringswerkstromen. Het praktische effect is dat nalevingsattestaties en auditsporen van belang zijn niet alleen voor de blootstelling van de organisatie maar ook voor die van het individu — en DPO's in het bijzonder hebben de documentatiepraktijk aangepast om dit te weerspiegelen.

Handhavingsthema's

De acties van de FDPIC in 2025 en begin 2026 clusteren rondom: cookiebanners die de actie Weigeren de-emphasizen of vooraf aangevinkte vakjes gebruiken, privacyverklaringen die niet beschikbaar zijn in de Zwitserse nationale taal van de gebruiker, grensoverschrijdende doorgiften naar Amerikaanse leveranciers die niet DPF-gecertificeerd zijn en geen alternatief mechanisme hebben, het niet reageren op verzoeken van betrokkenen binnen het 30-dagenvenster, en vertraagde of ontbrekende lekkmeldingen. Buitenlandse uitgevers zijn geciteerd in alle vijf categorieën, waarbij de categorieën bannerontwerp en grensoverschrijdende doorgifte de docket aanvoeren.

Auditchecklist voor Zwitsers Verkeer in 2026

• De CMP-banner wordt aangeboden in de Zwitserse nationale taal van de gebruiker (DE, FR, IT of RM) met de acties Accepteren, Weigeren en Instellingen met gelijke visuele prominentie
• Toestemmingsdoelen zijn granulaire en scheiden bijzonder gevoelige verwerking achter een eigen toestemmingsstroom
• De privacyverklaring is beschikbaar in elke relevante Zwitserse taal met volledige openbaarmaking van de verwerkingsverantwoordelijke, verwerkers, doelen, bewaring, rechten en de klachtroute bij de FDPIC
• Elke grensoverschrijdende stroom van Zwitsers verkeer is in kaart gebracht naar de bestemming en het mechanisme — adequaatheid, Swiss-US DPF-certificering, FDPIC-Zwitserse-addendum SCC's, BCR's of een gedocumenteerde uitzondering
• De DPF-certificeringsstatus van Amerikaanse leveranciers wordt opnieuw geverifieerd op de gepubliceerde lijst in plaats van eenmalig gecontroleerd en vergeten
• Toestemmingslogs zijn tijdgestempeld, exporteerbaar en bewaard gedurende de toepasselijke verjaringstermijn
• De werkstroom voor verzoeken van betrokkenen kan van begin tot eind binnen 30 dagen reageren, in het Duits, Frans en Italiaans
• Het draaiboek voor lekmeldingen is afgestemd op de termijnen van de revFADP en geïntegreerd met het interne incidentresponsproces
• Goedkeuringswerkstromen weerspiegelen de architectuur van strafrechtelijke aansprakelijkheid bij individuen, met genoemde goedkeurders en documentatiespoor
• Doelgroepsegmenten van bijzonder gevoelige categorieën worden achter afzonderlijk verkregen uitdrukkelijke toestemming geplaatst
• De cookieclassificatie is met een kritisch oog beoordeeld op welke cookies daadwerkelijk kwalificeren als strikt noodzakelijk onder de richtsnoeren van de FDPIC

De Vooruitzichten voor 2026

Het gegevensbeschermingsregime van Zwitserland is geëvolueerd van een gerespecteerde maar stille oudere wet naar een werkend instrument met de operationele specificiteit, de handhavingscapaciteit en de strafrechtelijke aansprakelijkheidsarchitectuur om nalevingsprioriteiten op zichzelf te bepalen in plaats van enkel mee te varen op het EU-programma. De adequaatheidsherziening van 2024 sloot de meest ingrijpende structurele lacune rond Amerikaanse doorgiften, en de escalerende handhavingshouding van de FDPIC in 2025 is consistent met een toezichthouder die op duurzame wijze opschaalt in plaats van een eenmalige campagne te voeren. Voor uitgevers die al een GDPR-waardige toestemmingsstack uitvoeren, is de kloof naar revFADP-naleving smaller dan de kloof voor enig ander niet-EU-rechtsgebied — maar die is reëel, en leeft in de details: Zwitserstalige banners en verklaringen, DPF-versus-SCC-mapping voor elke Amerikaanse leverancier, de iets andere grens van de bijzonder gevoelige categorie, de 30-dagenreactiecadans in drie of vier talen, en de strafrechtelijke aansprakelijkheidsarchitectuur die individuele goedkeuringsdocumentatie een eersteklas nalevingsartefact maakt in plaats van een wenselijkheid. De kloof kan in weken worden gedicht als er prioriteit aan wordt gegeven, en de publisher-CPM's van Zwitserland maken de prioritering economisch eenvoudig. De uitgevers die Zwitserland stilletjes behandelden als een GDPR-doorvoer tot 2024, merken dat 2026 beduidend veeleisender is, en de trend is duidelijk.