De Turkse KVKK en de wijzigingen van 2024: de gids voor uitgevers en adverteerders over cookietoestemming, grensoverschrijdende doorgifte en expliciete toestemming in 2026
De Turkse Wet bescherming persoonsgegevens (KVKK, Wet nr. 6698) is van kracht sinds 2016, maar gedurende het grootste deel van dat decennium functioneerde de wet als een stillere neef van de GDPR — herkenbaar vergelijkbaar qua structuur, maar merkbaar soepeler in handhaving. Dat tijdperk is voorbij. De KVKK-wijzigingen van 2024, gepubliceerd in het Staatsblad op 12 maart 2024, hebben het regime voor grensoverschrijdende gegevensdoorgiften geherstructureerd om aan te sluiten bij de GDPR-stijl van adequaatheid en standaardcontractbepalingen, en de KVKK-raad (Kişisel Verileri Koruma Kurulu) heeft de handhaving gedurende 2025 en in 2026 aanzienlijk verscherpt. Voor elke uitgever, adverteerder of platform die gegevens van Turkse gebruikers verwerkt — of dat nu vanuit Turkije zelf is of vanuit het buitenland de Turkse markt bedient — is 2026 het jaar waarop een moderne toestemmingsstack ophoudt een prettige aanvulling te zijn en de basisvereiste wordt. Deze gids bespreekt de wet in de gewijzigde vorm, wat cookietoestemming daadwerkelijk vereist, hoe grensoverschrijdende doorgifte nu werkt, en hoe de handhaving door de raad er in de praktijk uitziet.
De structuur van de KVKK na de wijzigingen van 2024
De KVKK is de primaire wet voor gegevensbescherming in Turkije, en de gewijzigde tekst is nu het referentiepunt. Uitgevers die nog werkten op basis van de versie van vóór 2024 hanteren een verouderd kader.
Wat de wijzigingen van 2024 hebben veranderd
De meest ingrijpende wijziging was een herschrijving van artikel 9, dat internationale gegevensdooorgiften regelt. Het regime van vóór 2024 was notoir moeilijk te voldoen — het vereiste ofwel expliciete toestemming of een geval-voor-geval raadsautorisatie voor bijna elke grensoverschrijdende stroom, wat onwerkbaar was voor elke moderne advertentietechstack. Het gewijzigde artikel 9 introduceert drie niveaus van overdrachtmechanismen: een adequaatheidsbeslissing van de raad, een reeks passende waarborgen inclusief standaardcontractbepalingen, en in beperkte gevallen een reeks uitzonderingen. Dit brengt het Turkse overdrachtsrecht eindelijk in lijn met het GDPR-patroon en maakt programmatische advertising internationaal compliant zonder per-leverancier een raadsindieining.
Wat niet is veranderd
De kerndefinities, rechtsgrondslagen, rechten van betrokkenen en de standaard voor expliciete toestemming voor gevoelige gegevens blijven ongewijzigd. De Turkse lat voor expliciete toestemming is in de praktijk, als er al sprake is van een verschil, strenger dan de GDPR-standaard, en dit is waar de meeste nalevingstekorten bij uitgevers nog steeds liggen.
Het VERBIS-register
Verwerkingsverantwoordelijken boven bepaalde drempelwaarden — inclusief de meeste buitenlandse verwerkingsverantwoordelijken die op schaal Turkse persoonsgegevens verwerken — moeten zich registreren in het Register van Verwerkingsverantwoordelijken (VERBIS). Registratie vereist openbaarmaking van verwerkingsactiviteiten, rechtsgrondslagen en overdrachtmechanismen. Veel buitenlandse uitgevers hebben de VERBIS-registratie historisch overgeslagen; de raad heeft door 2025 en 2026 heen een actievere houding op dit punt gesignaleerd.
Wat als persoonsgegevens geldt onder de KVKK
De definitie van persoonsgegevens onder de KVKK is breed en komt nauw overeen met de GDPR. Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, en de raadsrichtlijnen hebben cookies, advertentie-identifiers, IP-adressen en apparaatvingerafdrukken consequent behandeld als persoonsgegevens wanneer zij direct of via redelijke middelen aan een gebruiker kunnen worden gekoppeld.
Gevoelige persoonsgegevens
De lijst van gevoelige categorieën onder de KVKK is breder dan die van de GDPR: de wet omvat expliciet ras, etnische afkomst, politieke opvatting, filosofische overtuiging, godsdienst, sekte, uiterlijk, lidmaatschap van vereniging of stichting, gezondheid, seksueel leven, strafrechtelijke veroordeling, veiligheidsmaatregelen, en biometrische en genetische gegevens. De verwerking van een van deze categorieën vereist expliciete toestemming — niet de vage of gebundelde variant, maar een specifieke, geïnformeerde, vrij gegeven toestemming die is gekoppeld aan de specifieke gevoelige verwerking.
Waarom dit van belang is voor cookies
Een cookie die alleen een sessie-ID opslaat, betreft basale persoonsgegevens. Een cookie die een doelgroepsegment voedt zoals Liberale kiezers of Devote religieuze gemeenschap betreft gevoelige persoonsgegevens onder de Turkse definitie — en de vereiste toestemmingsconfiguratie is expliciete toestemming of niets. Uitgevers die doelgroepsegmenten inzetten die de gevoelige lijst van de KVKK raken, mogen die segmenten niet laten lopen op basis van algemene reclametoestemming.
Cookietoestemming onder de KVKK in 2026
Het standpunt van de raad over cookies is de afgelopen twee jaar aangescherpt. De huidige richtlijn is ondubbelzinnig: cookies en trackingtechnologieën die persoonsgegevens verwerken, vereisen toestemming tenzij ze strikt noodzakelijk zijn voor een dienst die de gebruiker heeft aangevraagd.
De vier elementen van geldige expliciete toestemming
Turkse expliciete toestemming moet:
- Betrekking hebben op een specifiek onderwerp — algemene parapluïtoestemming voor onbepaalde toekomstige verwerking is niet geldig
- Geïnformeerd zijn — de gebruiker begrijpt welke gegevens worden verwerkt, voor welk doel, door wie en hoe lang
- Vrij gegeven zijn — de gebruiker kan weigeren zonder te worden ontzegd een dienst waarop hij anders recht heeft
- Tot uitdrukking worden gebracht via een duidelijke actieve handeling — vooraf aangevinkte vakjes, impliciete toestemming en scrollen als toestemming zijn alle ongeldig
Hoe een compliant CMP eruitziet
Een CMP die is geconfigureerd voor Turks verkeer in 2026 dient te presenteren:
- Een zichtbare banner voordat een niet-essentiële cookie wordt geactiveerd, standaard in het Turks (Türkçe) voor Turkse gebruikers
- Gelijke visuele prominentie voor Accepteren, Weigeren en Aanpassen — de raad heeft specifiek banneron twerpen aangekaart waarbij Weigeren minder zichtbaar is dan Accepteren
- Granulaire schakelaars per doel: analyse, reclame, personalisatie, grensoverschrijdende doorgifte en eventuele verwerking van gevoelige categorieën
- Een persistente, gemakkelijk toegankelijke manier om toestemming in te trekken na de initiële keuze
- Een Turkstalige Aydınlatma Metni (privacyverklaring) die de identiteit van de verwerkingsverantwoordelijke, doeleinden, ontvangers, bewaartermijnen en rechten openbaar maakt
- Een aparte, duidelijk gelabelde expliciete toestemmingsstroom (açık rıza) voor eventuele verwerking van gevoelige categorieën, vergrendeld achter een eigen handeling
Toestemmingsregistraties
De verwerkingsverantwoordelijke moet registraties van toestemming bijhouden — wie heeft ingestemd, wanneer, waarmee, via welke interface. De KVKK-raad heeft in meerdere handhavingsacties onvoldoende toestemmingslogboeken aangehaald, en exporteerbare tijdgestempelde logboeken zijn de basisverwachting.
Grensoverschrijdende doorgifte onder het gewijzigde artikel 9 van 2024
De wijzigingen van 2024 introduceren een drieniveauskader voor doorgifte dat het GDPR-aanpak weerspiegelt. Begrijpen welk niveau van toepassing is op welke gegevensstroom is de meest voorkomende nalevingslacune voor buitenlandse uitgevers in 2026.
Niveau 1 — Adequaatheidsbeslissing
De raad kan een land, internationale organisatie of sector van een land aanwijzen als adequate bescherming biedend. Doorgifte naar adequate bestemmingen is toegestaan zonder aanvullend mechanisme. Begin 2026 heeft de raad geleidelijk adequaatheidsbeslissingen afgegeven, maar heeft de Verenigde Staten nog niet in het algemeen aangewezen.
Niveau 2 — Passende waarborgen
Bij ontbreken van adequaatheid is doorgifte toegestaan op basis van passende waarborgen. De wijzigingen voorzien specifiek in door de raad goedgekeurde standaardcontractbepalingen, bindende bedrijfsregels voor doorgifte binnen een groep, en door de raad goedgekeurde gedragscodes of certificeringsmechanismen. De standaardcontractbepalingen van de raad zijn in 2024 gepubliceerd en zijn het belangrijkste werkmechanisme voor de meeste uitgevers.
Niveau 3 — Uitzonderingen
Beperkte uitzonderingen bestaan voor incidentele doorgiften, doorgiften die noodzakelijk zijn voor de uitvoering van een contract, of doorgiften waarmee de gebruiker expliciet heeft ingestemd. Deze zijn niet bruikbaar als primaire rechtsgrondslag voor doorlopende programmatische stromen.
Praktische implicatie voor uitgevers
Een typische programmatische stack stuurt cookiegeriveerde gegevens door naar tientallen buitenlandse leveranciers per bod. Elk van die stromen is een grensoverschrijdende doorgifte. De werkbare aanpak voor 2026 is het sluiten van door de raad goedgekeurde standaardcontractbepalingen met elke internationale verwerker en het documenteren van het overdrachtmechanisme in de Aydınlatma Metni en de VERBIS-registratie. Uitgevers die vasthielden aan de logica van expliciete-toestemming-per-doorgifte van vóór 2024 zijn tegelijkertijd te veel blootgesteld aan nalevingsrisico en onderbenutten monetisatiemogelijkheden.
Rechten van betrokkenen
Turkse betrokkenen hebben de volledige set rechten die in de GDPR te vinden zijn, toegepast via het KVKK-kader:
- Recht om te weten of hun gegevens worden verwerkt
- Recht op inzage in de verwerkte gegevens
- Recht op correctie van onjuiste gegevens
- Recht op verwijdering of anonimisering wanneer de verwerking niet langer gerechtvaardigd is
- Recht om geïnformeerd te worden over de derden aan wie de gegevens zijn verstrekt
- Recht om bezwaar te maken tegen geautomatiseerde beslissingen die nadelige gevolgen hebben
- Recht op schadevergoeding voor schade veroorzaakt door onrechtmatige verwerking
Reactietermijnen
Verwerkingsverantwoordelijken moeten binnen 30 dagen reageren op verzoeken van betrokkenen. De betrokkene kan escaleren naar de KVKK-raad als de reactie van de verwerkingsverantwoordelijke onvoldoende is, en de raad heeft 60 dagen om een beslissing te nemen. Operationele gereedheid voor het 30-dagenvenster — met draaiboeken, tools en Turkstalige antwoordsjablonen — is een veelvoorkomende lacune bij buitenlandse uitgevers.
Sancties en handhavingshouding in 2026
De KVKK-raad was in de eerste jaren relatief rustig, maar heeft de handhaving aanzienlijk opgevoerd. Het totaalbedrag aan boetes in 2025 was het hoogste sinds de inwerkingtreding van de wet, en 2026 bevindt zich op een vergelijkbaar traject.
Bestuurlijke boetes
Bestuurlijke boetes worden jaarlijks geïndexeerd aan de inflatie. In 2026 overschrijdt het plafond voor de ernstigste overtredingen TRY 40 miljoen per overtreding, en afzonderlijke plafonds gelden voor tekortkomingen rond gegevensbeveiliging, melding, VERBIS-registratie en raadsbeslissingen. Buitenlandse verwerkingsverantwoordelijken zijn in meerdere acties van 2025 beboet tot het maximum van de bandbreedte.
Reputatieschade
De raad publiceert samenvattingen van handhavingsbeslissingen op zijn website. Boetes voor buitenlandse uitgevers halen regelmatig de Turkse technologiepers, en de reputatieschade van een openbare KVKK-beslissing is doorgaans groter dan de boete zelf.
Handhavingsthema's
De acties van de raad in 2025 en begin 2026 clusteren rondom een kleine reeks terugkerende kwesties: ontbrekende of onduidelijke cookietoestemming, ontoereikende Aydınlatma Metni, niet-geregistreerde buitenlandse verwerkingsverantwoordelijken in VERBIS, en onrechtmatige grensoverschrijdende doorgiften via het kader van vóór 2024.
Auditchecklist voor Turks verkeer in 2026
- De CMP-banner wordt in het Turks aangeboden aan Turkse gebruikers, met Accepteren, Weigeren en Aanpassen op gelijke visuele prominentie
- Toestemmingsdoeleinden zijn granulaire en houden eventuele verwerking van gevoelige categorieën achter een eigen expliciete toestemmingsstroom
- Toestemmingslogboeken zijn tijdgestempeld, exporteerbaar en bewaard gedurende minimaal de verwerkingsduur plus een controleerbare marge
- De Aydınlatma Metni is beschikbaar in het Turks met volledige openbaarmaking van verwerkingsverantwoordelijke, verwerkers, doeleinden, bewaartermijnen en rechten
- VERBIS-registratie is volledig en actueel als de verwerkingsverantwoordelijke de drempel overschrijdt
- Grensoverschrijdende doorgiften zijn gebaseerd op de standaardcontractbepalingen van 2024 of een ander geldig mechanisme van artikel 9, met het mechanisme gedocumenteerd in de Aydınlatma Metni
- De workflow voor verzoeken van betrokkenen kan van begin tot eind binnen 30 dagen reageren, in het Turks
- De leverancierslijst is herzien, met ongebruikte of overbodige leveranciers verwijderd om de blootstelling te verminderen
Vooruitzichten voor 2026
Het Turkse gegevensbeschermingsregime heeft het Europese kader qua vorm ingehaald en haalt het snel in qua handhaving. De wijzigingen van 2024 hebben de grootste structurele belemmering voor moderne internationale advertentietechnologie weggenomen — het oude overdrachtregime — en de raad heeft de twee jaar sindsdien gebruikt om de handhaving van de rest van de wet te intensiveren. Uitgevers met een GDPR-kwaliteitstoestemmingsstack hoeven relatief kleine aanpassingen te doen om klaar te zijn voor Turkije: Turkstalige CMP en privacyverklaring, VERBIS-registratie indien van toepassing, standaard overdrachtbepalingen van 2024, en oplettendheid met de bredere lijst van gevoelige gegevens. Uitgevers die Turkije als een lichtere markt hebben behandeld, zullen 2026 duurder vinden dan 2025, en 2027 duurder dan 2026. De kloof kan in weken worden gedicht als het geprioriteerd wordt — en dat zou het moeten worden.