De structuur van de Vietnamese gegevensbeschermingswet in 2026

Het Vietnamese regime bestaat nu uit een tweelaagsstructuur: de PDPD uit 2023 en de PDPL uit 2026. Beide zijn van kracht en uitgevers moeten begrijpen welke laag welke verplichting regelt.

De PDPD — Besluit 13/2023/ND-CP

Het besluit introduceerde Vietnams eerste uitgebreide definitie van persoonsgegevens, een catalogus van rechten van betrokkenen, vereisten voor toestemming, regels voor grensoverschrijdende gegevensoverdrachten en de fundamentele verplichting tot een gegevensbeschermingseffectbeoordeling (DPIA). Het blijft van kracht en blijft operationele details regelen.

De PDPL — Van kracht vanaf 2026

De PDPL verheft het kader tot primaire wetgeving met hogere sancties en een breder bereik. Het versterkt het op toestemming gerichte model, versterkt de rechten van betrokkenen en breidt de handhavingsbevoegdheden uit van het Ministerie van Openbare Veiligheid (MPS), dat de primaire toezichthouder blijft. De PDPL introduceert ook duidelijkere regels voor gevoelige persoonsgegevens, geautomatiseerde besluitvorming en de verwerking van gegevens van minderjarigen.

Wie er onder valt

De wet is van toepassing op elke verwerking van Vietnamese persoonsgegevens, ongeacht waar de verwerker zich bevindt. Een in de VS gevestigde uitgever die Vietnamese gebruikers bedient via een gelokaliseerde website of een programmatische koper die biedt op Vietnamese inventory valt onder de reikwijdte. Dit extraterritoriale bereik spiegelt het GDPR-patroon en is een van de meer agressieve elementen van het Vietnamese kader.

Wat als persoonsgegevens geldt

De Vietnamese definitie van persoonsgegevens is breed en sluit nauw aan bij de internationale standaard. Persoonsgegevens zijn alle informatie die een specifieke natuurlijke persoon identificeert of kan identificeren, en ze vallen uiteen in twee categorieën die sterk van belang zijn voor cookietoestemming.

Basis persoonsgegevens

Basis persoonsgegevens omvatten naam, geboortedatum, identificatienummers, contactgegevens, apparaat-id's, IP-adressen en gegevens over online activiteiten. De meeste via cookies verzamelde gegevens vallen hier, inclusief advertentie-id's, sessie-ID's en gedragsprofielen die zijn samengesteld op basis van surfgeschiedenis.

Gevoelige persoonsgegevens

Gevoelige persoonsgegevens omvatten politieke en religieuze opvattingen, gezondheidsgegevens, genetische gegevens, biometrische gegevens, seksuele geaardheid, strafregisters, financiële gegevens en — cruciaal — locatiegegevens die kunnen worden gebruikt om een specifiek persoon te identificeren. Gevoelige gegevens vereisen de strengste toestemmingsvereisten, waaronder specifieke, afzonderlijke en in sommige gevallen schriftelijke of elektronisch verifieerbare toestemming.

Waarom dit belangrijk is voor cookies

Een cookie die alleen een basis-sessie-ID verzamelt, betreft basis persoonsgegevens. Een cookie die een op locatie gebaseerd advertentiepubliek voedt — gebruikelijk bij retargeting- en geo-gerichte campagnes — raakt waarschijnlijk gevoelige persoonsgegevens zodra locatie identificerend wordt. De CMP-configuratie moet deze doeleinden scheiden.

Cookietoestemming onder Vietnamees recht

Vietnam volgt het opt-in toestemmingsmodel. Er is geen terugval op kennisgeving-en-keuze voor cookies die persoonsgegevens verzamelen, en de lat voor geldige toestemming is vergelijkbaar met de GDPR-standaard.

De vier toestemmingsvereisten

Toestemming onder Vietnamees recht moet:

• Specifiek zijn — gekoppeld aan een duidelijk omschreven verwerkingsdoel, niet een algemene paraplu-toestemming
• Geïnformeerd zijn — de betrokkene begrijpt welke gegevens worden verwerkt, waarom, wie ze ontvangt en voor hoe lang
• Vrijwillig zijn — geen vooraf aangevinkte vakjes, geen toestemming-of-vertrek-muren voor niet-essentiële verwerking
• Uitdrukbaar en intrekbaar zijn — de gebruiker kan toestemming geven en intrekken via een duidelijk mechanisme

Hoe een conforme CMP eruit ziet

Een CMP die geconfigureerd is voor Vietnamees verkeer in 2026 moet presenteren:

• Een zichtbare banner voordat er een niet-essentiële cookie of tracker wordt geactiveerd, standaard in het Vietnamees (Tiếng Việt) voor Vietnamese gebruikers
• Afzonderlijke acties Accepteren, Weigeren en Aanpassen, met gelijke visuele prominentie — geen donkere patronen
• Gedetailleerde bedieningselementen voor ten minste de volgende doeleinden: analyses, reclame, personalisatie, grensoverschrijdende overdracht en elke verwerking van gevoelige categorieën zoals precieze locatie
• Een persistent, gemakkelijk te vinden mechanisme om toestemming na de initiële keuze te wijzigen of in te trekken
• Privacybeleid in het Vietnamees met duidelijke informatie over verwerkers, gegevenscategorieën, bewaartermijnen en de rechten van de gebruiker

Toestemmingsregistraties

Verwerkers moeten toestemmingsregistraties bijhouden — wie toestemming heeft gegeven, wanneer, waarvoor, via welke interface. Vietnamese handhavingsacties hebben al melding gemaakt van ontbrekende of niet-verifieerbare toestemmingslogboeken, en de PDPL formaliseert deze verplichting. Een CMP die geen exporteerbare, tijdgestempelde toestemmingslogboeken produceert, voldoet niet aan de eisen.

Grensoverschrijdende gegevensoverdracht — het moeilijkste onderdeel

Het Vietnamese regime voor grensoverschrijdende overdrachten is een van de meest veeleisende in de regio en het element waarmee de meeste buitenlandse uitgevers moeite hebben.

De overdrachtseffectbeoordeling

Voordat Vietnamese persoonsgegevens naar het buitenland worden overgedragen — waaronder het verzenden van via cookies afgeleide identificatoren naar een buitenlandse advertentiebeurs of analytics-leverancier — moet de verwerkingsverantwoordelijke een overdrachtseffectbeoordeling opstellen. In de beoordeling moeten het doel, de gegevenscategorieën, het ontvangende land en de ontvanger, technische en organisatorische waarborgen en de rechtsgrond voor de overdracht worden gedocumenteerd.

Indiening bij het MPS

De beoordeling moet binnen 60 dagen na aanvang van de verwerking worden ingediend bij het Ministerie van Openbare Veiligheid. Het MPS heeft de bevoegdheid om grensoverschrijdende overdrachten op te schorten als de beoordeling ontoereikend is of als de bestemmingsjurisdictie als onvoldoende wordt beschouwd.

Praktische implicaties voor uitgevers

Een typische programmatische advertentiestack routeert gebruikersgegevens in milliseconden door tientallen buitenlandse leveranciers. Elk van die stromen is, strikt genomen, een grensoverschrijdende overdracht van Vietnamese persoonsgegevens. De realiteit van 2026 is dat de meeste buitenlandse uitgevers ofwel geconsolideerde beoordelingen indienen voor hun volledige leverancierslijst, ofwel hun leveranciersset inkrimpen om de beoordelingslast te verminderen. Geen van beide is triviaal, en het MPS heeft gesignaleerd dat het in 2026 actiever zal gaan handhaven op grensoverschrijdende stromen.

Rechten van betrokkenen

De PDPL consolideert en versterkt de rechten die onder het besluit zijn verleend. Vietnamese betrokkenen hebben het recht om:

• Geïnformeerd te worden over de verwerking van hun gegevens
• Toegang te krijgen tot de verwerkte gegevens
• Onjuiste gegevens te corrigeren
• Gegevens te laten verwijderen wanneer verwerking niet langer gerechtvaardigd is
• Verwerking te beperken onder bepaalde omstandigheden
• Toestemming even gemakkelijk in te trekken als die is gegeven
• Bezwaar te maken tegen geautomatiseerde besluitvorming die significante gevolgen heeft
• Een klacht in te dienen bij het Ministerie van Openbare Veiligheid

Reactietermijnen

Verwerkingsverantwoordelijken moeten in de meeste gevallen binnen 72 uur reageren op verzoeken van betrokkenen — een aanzienlijk strikter venster dan de 30-daagse standaard van de GDPR. Operationele gereedheid voor deze termijn is een van de meest voorkomende nalevingstekorten voor buitenlandse uitgevers en vereist tooling en draaiboeken die sneller zijn dan wat gebruikelijk is in andere regio's.

Speciale regels voor minderjarigen

De PDPL introduceert speciale bescherming voor de verwerking van persoonsgegevens van minderjarigen. Toestemming voor de verwerking van gegevens van een persoon jonger dan 15 jaar moet worden gegeven door een ouder of wettelijke voogd. Voor de verwerking van gegevens van personen tussen 15 en 18 jaar is de toestemming van de minderjarige zelf vereist, maar met verhoogde transparantie- en zorgplichten. Cookietoestemmings-UI's op sites die een aanzienlijk publiek onder de 18 jaar aantrekken, hebben leeftijdsbewuste stromen nodig, die de meeste buitenlandse uitgevers standaard niet hebben gebouwd.

Sancties en handhaving

De PDPL verhoogt het plafond voor administratieve boetes aanzienlijk. Sancties omvatten:

• Boetes van maximaal 5 procent van de mondiale jaaromzet voor ernstige inbreuken waarbij gevoelige persoonsgegevens of systematische fouten zijn betrokken
• Opschorting van verwerkingsactiviteiten
• Verplichte stops op grensoverschrijdende overdrachten
• Openbare bekendmaking van de overtreding
• Strafrechtelijke aansprakelijkheid voor flagrante gevallen, inclusief onrechtmatige verkoop van persoonsgegevens

Handhavingstrend

Het MPS was relatief rustig gedurende 2023 en begin 2024 terwijl het besluit werd ingevoerd, maar de handhaving is door 2025 en 2026 heen versneld. Buitenlandse uitgevers zijn geciteerd in verschillende gepubliceerde acties, bijna altijd gecentreerd rond een van drie kwesties: ontbrekende of onvoldoende toestemming, niet ingediende beoordelingen van grensoverschrijdende overdrachten, of het niet reageren op verzoeken van betrokkenen binnen het 72-uurs venster.

Auditchecklist voor Vietnamees verkeer in 2026

• CMP-banner wordt weergegeven in het Vietnamees voor Vietnamese gebruikers, met Accepteren, Weigeren en Aanpassen op gelijke prominentie
• Toestemmingsdoeleinden zijn gedetailleerd en scheiden gevoelige verwerking zoals precieze locatie
• Toestemmingslogboeken zijn tijdgestempeld, exporteerbaar en bewaard voor de duur van de verwerking plus een controleerbare marge
• Privacybeleid is beschikbaar in het Vietnamees met volledige openbaarmaking van verwerkers, bewaring en rechten
• Overdrachtseffectbeoordeling is ingediend bij het MPS voor elke lopende grensoverschrijdende stroom
• Werkstroom voor verzoeken van betrokkenen kan van begin tot eind binnen 72 uur reageren
• Leeftijdsbewuste toestemmingsstroom is aanwezig voor doelgroepen die minderjarigen omvatten
• Leverancierslijst is beoordeeld op noodzakelijkheid, met ongebruikte of overbodige leveranciers verwijderd om het grensoverschrijdende oppervlak te verkleinen

De vooruitzichten voor 2026

Vietnams regulatoire traject is duidelijk. De PDPD heeft het kader vastgesteld. De PDPL versterkt het. Handhaving breidt uit. Voor uitgevers en adverteerders die Vietnam als een minder strenge markt hebben behandeld, is 2026 het jaar dat die aanpak kostbaar wordt. Het goede nieuws is dat een moderne GDPR-niveau toestemmingsstack het meeste is van wat nodig is — de gaten zijn doorgaans het 72-uurs reactievenster, de indiening van overdrachtseffectbeoordelingen en de Vietnamestalige lokalisatie van de CMP en het privacybeleid. Die gaten zijn operationeel, niet architecturaal, en kunnen in weken worden gedicht in plaats van kwartalen. De uitgevers die ze dichten voordat het MPS op de stoep staat, zullen de overgang niet merken. Degenen die wachten, wel.