De Verordening Digitale Persoonsgegevensbescherming (DPDP), 2025, is deze week bekendgemaakt, initieert de oprichting van de Data Protection Board of India (DPBI) en het wettelijke kader voor het online beveiligen van de gegevens van Indiase mensen. De DPDP-wet zelf werd in augustus 2023 door het parlement aangenomen, en een ontwerp van de regels dat op vrijdag (14 november 2025) werd aangekondigd, werd in januari ter consultatie vrijgegeven.
Wat doet de DPDP-wet en -regels?
De DPDP Act, 2023 is de Indiase versie van de wetgeving inzake gegevensbescherming, zoals de Europese Algemene Verordening Gegevensbescherming (AVG) en soortgelijke regelingen in veel andere landen, zoals de Singaporese Personal Data Protection Act, 2012. Net als deze regelingen bevat de wet enkele richtlijnen voor de manier waarop bedrijven (“gegevensbeheerders”) omgaan met gegevens over hun gebruikers in India (“dataprincipes”). Er moeten bijvoorbeeld toegangscontrole en encryptie zijn, samen met beveiligingsaudits voor grote bedrijven (“belangrijke gegevensbeheerders”).
Dataprincipes zijn ook vereist om ‘geïnformeerde’ toestemming te verkrijgen van hun gebruikers en van iedereen wiens gegevens zij verzamelen, door een overzicht te bieden van welke gegevens zij verzamelen en hoe zij deze zullen gebruiken. De wet geeft gebruikers ook het recht om gegevens die zij aan bedrijven verstrekken te verwijderen, te wijzigen of te verwijderen. Na een bepaalde periode van inactiviteit zijn de bedrijven verplicht de gegevens die zij over de gebruikers hebben te verwijderen. Door grote bedrijven moet een functionaris voor gegevensbescherming worden aangesteld die toezicht houdt op de naleving ervan.
De wet beperkt ook gerichte reclame en bepaalde gegevensverzamelingen voor kinderen. De regels bieden hier een uitzondering voor ouders die de locatie van hun kinderen volgen.
Om gebruikers in staat te stellen rechten uit te oefenen over een reeks beheerders (multiplatformaccounts), schetst de wet- en regelgeving het raamwerk voor een ‘Consent Manager’, een dienst waarmee gebruikers hun gegevens over meerdere beheerders kunnen beheren, vergelijkbaar met de instellingen voor toestemmingsbeheer op een smartphone.
Datalekken moeten zo snel mogelijk worden gemeld, zegt de wet. Boetes voor het niet naleven van verschillende delen van de wet variëren van ₹ 10.000 tot ₹ 250 crore.
Zijn deze eisen van toepassing?
Nee. Hoewel er ruim twee jaar zijn verstreken sinds de wet werd aangekondigd, heeft het Ministerie van Elektronica en Informatietechnologie (MeitY) ervoor gekozen bedrijven nog eens achttien maanden de tijd te geven om aan de wet te voldoen. Sommige eisen, zoals het aanstellen van een DPO voor grote bedrijven, zullen over een jaar van kracht worden.
Sommige delen van de wet zijn al in gang gezet, zoals de oprichting van de DPBI. DPBI zal toezicht houden op de implementatie van de wet en zal een ondergeschikt kantoor zijn van MeitY. Het orgaan zal uit vier leden bestaan.
Een ander deel van de wet dat in de lucht gaat is het amendement op de Right to Information Act uit 2005, waar zowel digitale rechten- als transparantiegroepen zich tegen hebben verzetten.
Hoe wordt de RTI-wet gewijzigd? Waarom is het amendement controversieel?
De wet van 2023 wijzigde sectie 8(1)(j) van de Right to Information Act uit 2005, waardoor burgers openbare informatie kunnen opvragen bij overheidsinstanties. Die sectie stond overheidsinstanties toe verzoeken om ‘persoonlijke informatie’ te weigeren, maar zei dat die uitzondering niet van toepassing zou zijn als er een groter publiek belang was bij het vrijgeven van de informatie.
De DPDP Act maakte een einde aan deze uitsluiting, waardoor overheidsorganisaties meer discretie kregen met betrekking tot wat wel en niet persoonlijke informatie is, en werd deze afgewezen, zelfs als dit in het algemeen belang zou zijn. Het was niet de bedoeling dat de wet van 2023 in werking zou treden – inclusief deze wijziging – totdat de EU-regering hiervan kennis had gegeven. Transparantieactivisten, zoals die van de Mazdoor Kisan Shakti Sangathan (MKSS) en de Nationale Campagne voor het Volksrecht op Informatie (NCPRI), hebben zich jarenlang (sinds de publicatie van het DPDP Act 2022-ontwerp) tegen deze verandering verzet.
Maar vrijdag negeerde de regering deze reactie en deed zij specifiek een beroep op haar macht om de verandering door te drukken in de vorm van een kennisgeving. Een ander amendement op de Information Technology Act uit 2000 is nog niet in werking getreden.
Organisaties als MKSS hebben samengewerkt met grassroots-bewegingen om toegang te krijgen tot ‘monsterrollen’ en werkorderlogboeken waarmee ze openbare registers nauwkeurig kunnen onderzoeken op bewijs van omkoping en misbruik. Met een brede definitie van ‘persoonlijke informatie’ hebben zij betoogd dat burgers wellicht niet de ruimte hebben om dergelijke sociale audits uit te voeren. Het amendement zou ook kunnen worden gebruikt om misbruik door machtige functionarissen te beschermen, zeiden ze.
Nikhil Dey, een van de oprichters van de MKSS, beloofde dat “(wij) het volk” terug zal vechten” nadat het amendement van kracht werd.
Uitgegeven – 15 november 2025 om 14:32 IST
