De Algemene Verordening Gegevensbescherming is sinds 25 May 2018 rechtstreeks van toepassing in de gehele Europese Economische Ruimte. India's Digital Personal Data Protection Act 2023 ontving in augustus 2023 presidentiele instemming, maar bleef sluimerend in afwachting van uitvoeringsregels. Die regels, de Digital Personal Data Protection Rules 2025, werden afgekondigd op 13 November 2025, wat een gefaseerde inwerkingtreding in gang zette: de bepalingen over de Data Protection Board traden onmiddellijk in werking, de registratieverplichtingen voor Consent Managers volgen op het eenjarige moment, en de materiele verplichtingen en rechten van de data-principal worden afdwingbaar vanaf 13 May 2027 (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Wat volgt contrasteert daarom een volwassen, volledig gehandhaafd regime met een jong regime dat juridisch compleet is maar operationeel nog in zijn aanloop naar naleving zit. De status van de wet wordt weergegeven per 6 June 2026, wat ongeveer eleven months overlaat voordat de materiele verplichtingen en rechten van de data-principal van de DPDP afdwingbaar worden op 13 May 2027. Voor een programma dat rechtmatige verwerking opnieuw moet baseren op toestemming, een Consent Manager moet integreren en een regime voor onder de achttien jaar moet opzetten, is eleven months een enkele planningshorizon, geen comfortabele marge.
De gedeelde afstamming, en de drie verschillen die ertoe doen
De twee wetten delen een gemeenschappelijke afstamming. India's opstellers leenden de GDPR-woordenschat van verantwoording, doelbinding, dataminimalisatie en toestemming, en de gelijkenis is dicht genoeg dat een multinational met een werkend GDPR-programma al ongeveer zeventig procent bezit van wat de DPDP eist. De resterende dertig procent is waar het geld en het risico zitten, want de verschillen zijn structureel in plaats van cosmetisch.
Drie verschillen domineren al het andere. Ten eerste, rechtmatige verwerking: de GDPR biedt zes rechtsgrondslagen inclusief de elastische afwegingstoets van het gerechtvaardigd belang, terwijl de DPDP enkel toestemming en een gesloten lijst van opgesomde rechtmatige toepassingen erkent, zonder enige algemene terugvaloptie wanneer toestemming onpraktisch is. Ten tweede, de rechtencatalogus: de GDPR verleent acht rechten aan de betrokkene, inclusief overdraagbaarheid, bezwaar en bescherming tegen uitsluitend geautomatiseerde besluiten, terwijl de DPDP een smaller pakket verleent en een eigenzinnig recht van benoeming toevoegt. Ten derde, de handhavingseconomie: de GDPR begrenst boetes op het hoogste van twenty million euro or four per cent van de wereldwijde jaaromzet en geeft individuen een privaat recht op schadevergoeding, terwijl de DPDP vaste geldboetes oplegt tot two hundred and fifty crore rupees zonder omzetkoppeling, zonder strafrechtelijke aansprakelijkheid en zonder privaat recht op rechtsvordering.
Voor de organisatie die onder beide regimes valt, is de praktische les dat GDPR-naleving noodzakelijk maar niet voldoende is. Een programma van GDPR-niveau moet worden uitgebreid, niet louter gekopieerd, om de toestemming-eerst-architectuur van de DPDP, haar regime voor kinderen onder de achttien, haar negatieve-lijst-benadering van grensoverschrijdende overdrachten en haar inbreukmeldingsregel die geen risicodrempel tolereert, op te nemen.
Twee getallen omkaderen de inzet. De GDPR bestuurt de persoonsgegevens van ongeveer four hundred and fifty million mensen in de Europese Economische Ruimte; de DPDP bestuurt die van bijna one and a half billion data-principals in India, ongeveer drie keer zoveel. Dus hoewel het boeteplafond per geval van de DPDP lager en vast is, draait de operationele belasting die zij oplegt, het vastleggen en intrekken van toestemming, de afhandeling van rechten en de inbreukmelding zonder drempel, op een veel grotere populatieschaal. Capaciteit die comfortabel is voor een Europese gebruikersbasis kan overweldigd raken door een Indiase, en die capaciteit moet worden gebouwd voordat de klok afloopt: met de materiele verplichtingen afdwingbaar vanaf 13 May 2027, ongeveer eleven months vanaf het moment van schrijven, is het venster om toestemmings-, rechten- en inbreukpijplijnen te ontwerpen voor meer dan een miljard principals smal.
Instrumenten, status en regelgevingsarchitectuur
De GDPR is een verordening, wat betekent dat zij rechtstreeks van toepassing is in elke lidstaat zonder nationale omzetting, hoewel lidstaten beperkte ruimte behouden om wetgeving te maken over specifieke punten zoals de leeftijd van digitale toestemming en werkgelegenheidsgegevens. Zij wordt gehandhaafd door een netwerk van onafhankelijke nationale toezichthoudende autoriteiten, gecoordineerd via de European Data Protection Board, met het coherentiemechanisme en het een-loket-principe die grensoverschrijdende zaken oplossen. Regelgeving, richtsnoeren en handhaving liggen dus bij onafhankelijke toezichthouders en, uiteindelijk, de rechtbanken en het Court of Justice of the European Union (onze GDPR-frameworkpagina vat de verplichtingen samen, wie zij bindt en de officiele bron in het kort).
De DPDP-architectuur is meer gecentraliseerd en meer aangestuurd door de uitvoerende macht. De DPDP Act is primaire wetgeving; het operationele detail leeft in de DPDP Rules, die de Central Government maakt en kan wijzigen (onze DPDP-frameworkpagina zet de kernverplichtingen van de wet uiteen, wie zij bindt en de officiele bron in het kort). De Data Protection Board of India is het beslissende orgaan, maar het is smaller dan een Europese toezichthoudende autoriteit: het onderzoekt inbreuken en legt boetes op, maar geeft geen bindende codes of richtsnoeren uit, en de materiele regelgevende bevoegdheid berust bij de Central Government in plaats van bij de Board. Beroepen van de Board gaan naar het Telecom Disputes Settlement and Appellate Tribunal. Het ontwerpgevolg is dat in India de politieke uitvoerende macht hefbomen behoudt (vrijstellingen, overdrachtsbeperkingen, regelwijzigingen) die in Europa bij onafhankelijke autoriteiten of rechtbanken liggen.
Reikwijdte en bereik
De GDPR bestuurt persoonsgegevens die geheel of gedeeltelijk geautomatiseerd worden verwerkt, en niet-geautomatiseerde verwerking waarbij de gegevens deel uitmaken of bestemd zijn om deel uit te maken van een bestand. Zij zondert een speciale categorie gevoelige gegevens af onder Article 9: ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap, genetische en biometrische gegevens, gezondheid, en seksleven of geaardheid, elk onderworpen aan verhoogde voorwaarden. De DPDP is in een opzicht smaller en in een ander opzicht vlakker. Zij bestuurt enkel digitale persoonsgegevens, dat wil zeggen gegevens in gedigitaliseerde vorm of gegevens die op papier zijn verzameld en vervolgens gedigitaliseerd, en zij reguleert geen zuiver niet-digitale documenten. Cruciaal is dat zij geen wettelijk onderscheid maakt tussen gewone en gevoelige persoonsgegevens. Er is geen speciale-categorie-laag; gezondheidsdossiers en winkelgeschiedenissen vallen onder dezelfde basisregels, met extra bescherming die slechts indirect arriveert via het Significant Data Fiduciary-mechanisme en de bepalingen voor kinderen. Voor een organisatie die onder beide regimes valt, snijdt deze asymmetrie aan twee kanten: de Indiase wet legt geen Article 9-voorwaarden op, maar een volwassen verwerkingsverantwoordelijke zal doorgaans zijn GDPR-controles voor gevoelige gegevens wereldwijd handhaven in plaats van twee dataclassificatieschema's bij te houden.
Beide wetten reiken voorbij hun thuisgebied. De GDPR, onder Article 3, is van toepassing op verwerking in het kader van een EU-vestiging ongeacht waar de verwerking plaatsvindt, en op verwerkingsverantwoordelijken buiten de Unie die goederen of diensten aanbieden aan, of het gedrag monitoren van, individuen in de Unie. De DPDP, onder section 3, is van toepassing op verwerking van digitale persoonsgegevens binnen India, en op verwerking buiten India waar deze verband houdt met het aanbieden van goederen of diensten aan data-principals in India. De DPDP laat de expliciete gedragsmonitoring-tak van de GDPR weg, dus pure profilering van Indiase inwoners zonder een aanbod van goederen of diensten zit in een grijzere zone dan zijn Europese tegenhanger.
| Dimensie | GDPR | DPDP |
|---|---|---|
| Vorm van gedekte data | Geautomatiseerd, plus gestructureerde handmatige bestanden | Enkel digitaal (digitaal geboren of vervolgens gedigitaliseerd) |
| Laag voor gevoelige data | Ja (Article 9 speciale categorieen) | Geen wettelijke laag |
| Extraterritoriale trigger | Vestiging; aanbieden; gedrag monitoren | Aanbieden van goederen of diensten aan principals in India |
| Uitgesloten verwerking | Zuiver persoonlijk of huishoudelijk; rechtshandhaving onder een aparte richtlijn | Persoonlijk of huiselijk; bepaalde gepubliceerde data; brede staatsvrijstellingen |
Actoren en woordenschat
De rolarchitectuur vertaalt netjes genoeg dat de vertaling grotendeels een-op-een is, wat helpt bij het opstellen van tweetalig beleid. De GDPR-verwerkingsverantwoordelijke wordt de DPDP Data Fiduciary, een op vertrouwen gebaseerde verwoording wier operatieve verplichtingen niettemin lijken op die van een verwerkingsverantwoordelijke. De GDPR-verwerker wordt de Data Processor, hoewel de DPDP de meeste verwerkersverplichtingen via het contract van de fiduciary routeert in plaats van veel directe wettelijke verplichtingen op te leggen. De betrokkene wordt de Data Principal, en voor een kind is de principal het kind terwijl toestemming wordt uitgeoefend door een ouder of wettelijke voogd. De toezichthoudende autoriteit vindt haar analoog in de Data Protection Board of India, die beslist en beboet maar geen bindende richtsnoeren uitgeeft en daarom geen volledige toezichthouder is. Twee DPDP-rollen hebben geen GDPR-tegenhanger: de Significant Data Fiduciary, een door de overheid aangewezen klasse met verhoogde verplichtingen, en de Consent Manager, een India-specifieke geregistreerde tussenpersoon via wie principals toestemming verlenen, beoordelen en intrekken.
Rechtmatige verwerking: het centrale verschil
Dit is waar de twee regimes het meest ingrijpend uiteenlopen. De GDPR voorziet onder Article 6 in zes rechtsgrondslagen: toestemming, uitvoering van een overeenkomst, naleving van een wettelijke verplichting, bescherming van vitale belangen, vervulling van een taak van algemeen belang, en de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, onderworpen aan een afwegingstoets tegen de rechten van de betrokkene. De grondslag van het gerechtvaardigd belang is bewust open van structuur; het is het werkpaard dat organisaties laat verwerken voor fraudepreventie, netwerkbeveiliging, direct marketing en intra-groepsadministratie zonder voor elke operatie toestemming te zoeken.
De DPDP erkent slechts twee routes naar rechtmatigheid: toestemming onder section 6 en een gesloten lijst van bepaalde rechtmatige toepassingen onder section 7. De lijst van rechtmatige toepassingen is opgesomd en eindig: de vrijwillige verstrekking van data door de principal voor een gespecificeerd doel, staatsfuncties en de verstrekking van subsidies of diensten, naleving van de wet of gerechtelijke bevelen, medische noodgevallen, werkgerelateerde doeleinden, en ramp- of openbare-orde-situaties, naast een handvol andere. Er is geen residuele afwegingstoets. Als een verwerkingsactiviteit niet aansluit op een item op de lijst, is de enige rechtmatige weg toestemming. Dit is het allerbelangrijkste operationele verschil voor een multinational, omdat datastromen die Europa comfortabel afhandelt onder gerechtvaardigd belang, bijvoorbeeld brede analyses, marketingverrijking of grensoverschrijdende groepsrapportage, in India een expliciete toestemmingsarchitectuur kunnen vereisen.
De toestemmingsstandaard zelf is op papier vergelijkbaar. Beide vereisen dat toestemming vrij, specifiek, geinformeerd, ondubbelzinnig en aangegeven door een duidelijke bevestigende handeling is, en beide vereisen dat intrekking even gemakkelijk is als het geven. De DPDP legt er twee India-specifieke kenmerken bovenop. Ten eerste moet de kennisgeving die een toestemmingsverzoek vergezelt, gespecificeerd zijn en, op verzoek, beschikbaar in het Engels of een van de talen in de Eighth Schedule van de Grondwet. Ten tweede kan toestemming worden bemiddeld via een Consent Manager, een geregistreerd platform dat principals een enkel dashboard geeft om toestemmingen te verlenen en in te trekken over fiduciaries heen, een institutioneel construct zonder GDPR-equivalent.
GDPR-naleving is noodzakelijk maar niet voldoende. Een programma van GDPR-niveau moet worden uitgebreid, niet louter gekopieerd, om de toestemming-eerst-architectuur van de DPDP op te nemen.
Rechten, verplichtingen en kinderen
De GDPR verleent een breed pakket aan rechten: inzage, rectificatie, wissing, beperking van verwerking, gegevensoverdraagbaarheid, bezwaar inclusief tegen direct marketing, en het recht om niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit met rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen onder Article 22. De DPDP verleent een smaller pakket: inzage in een samenvatting van persoonsgegevens en verwerking, correctie en wissing, klachtenafhandeling, en een onderscheidend recht van benoeming dat een principal toelaat een ander individu aan te wijzen om hun rechten uit te oefenen in geval van overlijden of arbeidsongeschiktheid. De hiaten doen ertoe. De DPDP bevat geen op zichzelf staand recht op gegevensoverdraagbaarheid, geen algemeen recht van bezwaar, geen recht op beperking, en geen Article 22-achtige bescherming tegen geautomatiseerde besluitvorming. Omgekeerd heeft het recht van benoeming geen Europese tegenhanger.
| Recht | GDPR | DPDP |
|---|---|---|
| Inzage | Ja (Art 15) | Ja (samenvatting van data en verwerking) |
| Rectificatie of correctie | Ja (Art 16) | Ja |
| Wissing | Ja (Art 17) | Ja (bij intrekking of doelvoltooiing) |
| Beperking van verwerking | Ja (Art 18) | Nee |
| Gegevensoverdraagbaarheid | Ja (Art 20) | Nee |
| Bezwaar | Ja (Art 21) | Nee |
| Waarborgen bij geautomatiseerde besluiten | Ja (Art 22) | Nee |
| Klachtenafhandeling | Via klacht bij toezichthoudende autoriteit | Ja (wettelijk recht tegen de fiduciary) |
| Benoeming | Nee | Ja |
Beide regimes zijn gebouwd op verantwoording, maar zij verdelen de zwaardere verplichtingen verschillend. Onder de GDPR draagt elke verwerkingsverantwoordelijke een basislijn van verantwoordingsdocumentatie: registers van verwerkingsactiviteiten onder Article 30 met een uitzondering voor kleine organisaties, gegevensbescherming door ontwerp en door standaardinstellingen onder Article 25, een gegevensbeschermingseffectbeoordeling voor hoogrisicoverwerking onder Article 35, en bindende verwerkerscontracten onder Article 28. Een functionaris voor gegevensbescherming is verplicht onder Article 37 waar de kernactiviteiten grootschalige systematische monitoring of grootschalige verwerking van speciale-categorie-gegevens omvatten, en verwerkingsverantwoordelijken buiten de Unie moeten een EU-vertegenwoordiger aanstellen onder Article 27. De DPDP past een lichtere universele basislijn toe en concentreert de zware verplichtingen op de Significant Data Fiduciary. Elke fiduciary moet redelijke beveiligingswaarborgen implementeren, kennisgeving en toestemming eerbiedigen, data wissen bij intrekking of zodra het doel is vervuld, en verwerkersnaleving via contract verzekeren. Alleen entiteiten die de Central Government aanwijst als Significant Data Fiduciaries moeten daarnaast een in India gevestigde Data Protection Officer aanstellen, een onafhankelijke data-auditor inschakelen, en periodieke effectbeoordelingen en audits uitvoeren. De trigger is daarom een aanwijzing door de overheid in plaats van de zelf beoordeelde risicotoets van de GDPR.
Beide regimes lichten kinderen eruit, en hier is de DPDP de strengere. De GDPR stelt onder Article 8 de leeftijd van geldige toestemming voor diensten van de informatiemaatschappij op zestien, en staat lidstaten toe deze te verlagen tot niet minder dan dertien. De DPDP behandelt iedereen onder de achttien als een kind en vereist verifieerbare ouderlijke of wettelijke-voogd-toestemming voordat de data van een kind wordt verwerkt. Zij gaat verder door verwerking te verbieden die waarschijnlijk schadelijke gevolgen heeft voor het welzijn van een kind, en door gedragsmatige tracking, gedragsmonitoring en gerichte reclame op kinderen ronduit te verbieden, onderworpen aan beperkte vrijstellingen die de overheid kan afkondigen. Voor een wereldwijde digitale dienst is dit een betekenisvolle ontwerpbeperking: een laag voor leeftijdsverificatie en ouderlijke toestemming gekalibreerd op een Europese drempel van dertien tot zestien zal niet voldoen aan India's regel voor onder de achttien, en advertentietechnologie-stacks moeten gedragsgerichte targeting voor Indiase minderjarigen op populatieschaal kunnen uitschakelen.
Grensoverschrijdende overdrachten: spiegelbeeldige standaardposities
De overdrachtsmodellen zijn bijna spiegelbeelden in hun standaardhouding. De GDPR vertrekt in Chapter V vanuit verbod: persoonsgegevens mogen de EER alleen verlaten onder een adequaatheidsbesluit, passende waarborgen zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften, of een smalle reeks afwijkingen. De last ligt bij de exporteur om een rechtmatig overdrachtsmechanisme vast te stellen, en de Schrems II-jurisprudentie vereist een overdrachtseffectbeoordeling van de surveillanceomgeving van het bestemmingsland. Dit is een whitelist-model: verbod bij verstek, alleen toegestaan waar een mechanisme aanwezig is.
De DPDP vertrekt vanuit toestemming. Overdrachten zijn bij verstek toegestaan aan elk land, en de Central Government kan een negatieve lijst uitvaardigen die overdrachten naar gespecificeerde rechtsgebieden beperkt. Dit is een blacklist-model: toestemming bij verstek, alleen geblokkeerd waar een bestemming wordt genoemd. In principe is het veel toegeeflijker, maar twee kanttekeningen temperen dat. Ten eerste is er nog geen negatieve lijst gevuld, dus de praktische contouren blijven onzeker. Ten tweede blijven sectorale dataloalisatieregels, met name van de Reserve Bank of India voor betalingsgegevens, bovenop de DPDP van toepassing en kunnen zij strenger zijn dan het algemene regime. Voor een multinational is de asymmetrie scherp: het verplaatsen van EU-data naar India vereist een gedocumenteerd Article 46-mechanisme, terwijl het verplaatsen van Indiase data naar de EU momenteel niets vereist onder de DPDP zelf, hoewel prudent bestuur hoe dan ook contractuele waarborgen in stand houdt.
Inbreukmelding: het ontbrekende materialiteitsfilter
Beide regimes convergeren op een klok van tweeenzeventig uur, maar lopen scherp uiteen op drempel en publiek. De GDPR vereist melding aan de toezichthoudende autoriteit zonder onnodige vertraging en, waar haalbaar, binnen tweeenzeventig uur na bekendwording, maar alleen waar de inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van individuen; getroffen individuen worden alleen gemeld waar het risico hoog is. De risicodrempel filtert triviale incidenten weg. De DPDP Rules leggen helemaal geen risicodrempel op. Bij bekendwording van enige persoonsgegevensinbreuk moet de fiduciary getroffen data-principals zonder vertraging informeren en moet zij de Data Protection Board een eerste kennisgeving verstrekken, gevolgd door een gedetailleerd rapport binnen tweeenzeventig uur dat de inbreuk, de omstandigheden ervan, mitigatie en de identiteit van een eventuele verantwoordelijke partij omvat (MediaNama 2025; Ministry of Electronics and Information Technology 2025). De afwezigheid van een materialiteitsfilter betekent dat de Indiase volumes van inbreukmeldingen hoger zullen liggen dan hun Europese tegenhangers, en tegen een populatie van bijna one and a half billion principals moet de meldingsmachinerie navenant schalen. Incident-response-runbooks afgestemd op de risicopoort van de GDPR moeten opnieuw worden opgesteld om elke kwalificerende inbreuk te melden aan zowel de Board als de getroffen individuen.
| Aspect | GDPR | DPDP |
|---|---|---|
| Melding aan autoriteit | Within 72 hours, indien risico voor rechten | Eerste kennisgeving, dan gedetailleerd rapport within 72 hours, geen drempel |
| Melding aan individuen | Alleen bij hoog risico | Altijd, zonder vertraging |
| Materialiteitsfilter | Ja (risicogebaseerd) | Geen |
Handhavingseconomie
De handhavingseconomie verschilt in aard, niet alleen in graad. De administratieve boetes van de GDPR lopen op tot ten million euro of two per cent van de wereldwijde jaaromzet voor de lagere laag, en tot twenty million euro of four per cent van de wereldwijde jaaromzet voor de hogere laag, het hoogste van beide. De omzetkoppeling schaalt de afschrikking naar de omvang van de onderneming. De GDPR creeert ook een privaat recht: betrokkenen kunnen schadevergoeding vorderen voor materiele en immateriele schade onder Article 82, en kunnen klachten indienen en gerechtelijke rechtsmiddelen aanwenden. De DPDP legt vaste geldboetes op die niet zijn gekoppeld aan omzet, vastgesteld onder verwijzing naar schema's en begrensd per geval: tot two hundred and fifty crore rupees voor het niet nemen van redelijke beveiligingswaarborgen, tot two hundred crore rupees voor tekortkomingen in inbreukmelding of in verplichtingen rond kinderdata, en lagere plafonds voor andere tekortkomingen. Er is geen strafrechtelijke aansprakelijkheid onder de DPDP en, belangrijk, geen privaat recht op rechtsvordering en geen wettelijke schadevergoeding aan individuen; handhaving verloopt via de Data Protection Board, met boetes betaald aan de staat. De DPDP introduceert ook boetes voor data-principals die valse of lichtzinnige klachten indienen, wat geen GDPR-analoog heeft. Het netto-effect is dat, voor een zeer grote onderneming, het op omzet gebaseerde plafond van de GDPR het vaste plafond van de DPDP kan overtreffen, terwijl voor diezelfde onderneming de DPDP de blootstelling aan collectieve actie en individuele procesvoering wegneemt die GDPR-naleving in Europa overschaduwt.
Vrijstellingen
De GDPR houdt vrijstellingen smal en regelgebonden. Article 23 laat het recht van een lidstaat toe om rechten alleen te beperken waar nodig en evenredig voor opgesomde doelstellingen van algemeen belang, en er zijn specifieke uitzonderingen voor journalistiek, academische, artistieke en literaire expressie, en voor onderzoek en archivering onder voorbehoud van waarborgen. De DPDP verleent bredere en meer door de uitvoerende macht gecontroleerde vrijstellingen. Section 17 staat de Central Government toe staatsorganen vrij te stellen van het grootste deel van de wet in het belang van soevereiniteit, veiligheid, openbare orde en vriendschappelijke betrekkingen, en voorziet in vrijstellingen voor verwerking die nodig is voor onderzoek, archivering of statistische doeleinden, voor bepaalde start-ups bij kennisgeving, en voor de handhaving van wettelijke rechten. De breedte van de staatsgerichte vrijstellingen, en het feit dat zij worden verleend en begrensd door de uitvoerende macht in plaats van door een onafhankelijke autoriteit of rechtbank, is een van de meest besproken kenmerken van het Indiase regime en een terugkerend thema in commentaar uit het maatschappelijk middenveld (Internet Freedom Foundation 2025).
Welke controles een programma voor beide regimes moet toevoegen
Voor een organisatie binnen beide regimes is het bedrijfsmodel convergentie met bewuste divergentie. De pragmatische architectuur is om een enkele, wereldwijde basislijn van GDPR-niveau te draaien en India-specifieke modules erop te bouten in plaats van twee onafhankelijke programma's te onderhouden. De herbruikbare GDPR-activa zijn substantieel: de verwerkingsregisters, de beveiligings- en inbreukresponscontroles, de hulpmiddelen voor de rechten van betrokkenen voor inzage, correctie en wissing, de sjablonen voor verwerkerscontracten en de discipline van privacy door ontwerp dragen allemaal over naar de DPDP met kleine aanpassing. De India-specifieke toevoegingen zijn waar de inspanning zich concentreert, en zij zijn precies de controles die een GDPR-only-programma zal missen op de handhavingsdatum van 13 May 2027: een toestemming-eerst-ontwerp van rechtsgrondslag dat niet leunt op gerechtvaardigd belang; integratie met of gereedheid voor een Consent Manager; een regime voor kinderen onder de achttien met verifieerbare ouderlijke toestemming en onderdrukking van gedragsgerichte reclame; een benoemingsworkflow; een inbreukproces dat elk kwalificerend incident meldt zonder risicopoort; en een waakzaamheid op de grensoverschrijdende negatieve lijst van de overheid en sectorale lokalisatieregels. Omgekeerd kan de organisatie geen enkele GDPR-machinerie buiten gebruik stellen, want het smallere rechtenpakket en het toegeeflijke overdrachtsmodel van de DPDP versoepelen de Europese verplichtingen niet.
Wat CCI's gereedschap verandert
Een programma voor beide regimes faalt het vaakst niet op beleid maar op het niet weten, in bewijstermen, waar persoonsgegevens zich bevinden, op welke rechtsgrondslag elke stroom steunt, en wat een handhavingsgebeurtenis zou kosten. CCI's primitieven vallen precies die hiaten aan, en elke onderstaande claim is een waarschijnlijkheidsreductie ondersteund door een bestaand product in plaats van een garantie.
NetDiagramer brengt de werkelijke data-estate in kaart, de stromen tussen systemen en de rechtsgebieden die elke stroom kruist. Voor het overdrachtsprobleem is dit fundamenteel: u kunt de whitelist van Article 46-mechanismen van de GDPR niet toepassen of de blacklist van de DPDP niet bewaken als u niet kunt zien welke stromen de EER verlaten of in India landen. Dezelfde topologie brengt elke stroom aan het licht die momenteel leunt op gerechtvaardigd belang, wat precies de populatie is die opnieuw op toestemming moet worden gebaseerd voordat de DPDP toeslaat.
EviGen verandert verantwoording van een documentatieoefening in geautomatiseerd bewijs. Verwerkingsregisters onder Article 30, toestemmingsregisters, en de effectbeoordelings- en auditartefacten die een Significant Data Fiduciary moet produceren, worden gegenereerd en actueel gehouden vanuit de live estate in plaats van gereconstrueerd uit spreadsheets op het moment van de audit. Een enkele bewijspijplijn dient zowel de Europese registerverplichting als de Indiase verantwoordings- en auditverplichtingen.
Evidence Vault geeft het inbreukproces de manipulatiebestendige tijdlijn die het nodig heeft om de regel zonder drempel van de DPDP te overleven. Wanneer elk kwalificerend incident binnen tweeenzeventig uur de Board moet bereiken en elke getroffen principal zonder vertraging, is de beperking niet bereidheid maar het vermogen om snel een verdedigbaar verslag samen te stellen van wat er gebeurde, wanneer en aan wie. Dezelfde vault voldoet aan de registerverplichting van Article 33 en 34 van de GDPR.
cVaR prijst de uiteenlopende handhavingseconomie in geld. Het kwantificeert blootstelling onder beide plafonds, de op omzet gekoppelde four per cent van de GDPR en de vaste two hundred and fifty crore per geval van de DPDP, zodat een bestuur zijn boeteoppervlak voor beide regimes ziet als een enkel getal in plaats van twee juridische abstracties, en herstelmaatregelen kan rangschikken naar verwachte verliesreductie.
Domain Separation houdt de Europese en Indiase data-estates logisch scheidbaar, zodat lokalisatievereisten, een toekomstige negatieve lijst en de verschillende regimes van rechtsgrondslag per rechtsgebied kunnen worden gehandhaafd zonder het hele programma in tweeen te splitsen. Het is de controle die convergentie-met-bewuste-divergentie werkbaar maakt in plaats van wensdenken.
Het dubbele mandaat op tijd opgezet krijgen
De materiele verplichtingen van de DPDP landen op 13 May 2027. Vanaf het moment van schrijven is dat ongeveer eleven months, wat ver weg leest en het niet is: een toestemming-eerst-herarchitectuur, een Consent Manager-integratie en een regime voor onder de achttien zijn programma's van meerdere kwartalen, en zij lopen vaker in serie dan parallel omdat elk afhangt van een schoon beeld van de data-estate dat de meeste organisaties nog niet hebben. Terugtellend vanaf May 2027 moet het ontdekkings- en datamappingwerk dit kwartaal beginnen om de bouw-, test- en auditfasen voor de handhaving te laten passen. Waar een organisatie senior privacyleiderschap nodig heeft om die bouw aan te sturen zonder vaste personeelsbezetting toe te voegen, biedt CCI's CISO-as-a-Service een pool van acht of meer CISSP-gecertificeerde practitioners voor interim, fractionele, op afroep beschikbare of post-incident-dekking, met behoud van onafhankelijkheid omdat CCI niet auditeert waar het leidt. Die pool is niet alleen Europees: CCI heeft in India gevestigde CISSP-gecertificeerde practitioners, senior dataprivacyspecialisten die de DPDP, het Consent Manager-model en de taalverplichtingen van de Eighth Schedule van binnenuit kennen. Dat doet er in de praktijk toe, omdat een Significant Data Fiduciary een in India gevestigde Data Protection Officer moet aanstellen, en een lokale privacyleider verkort ook de afstand tot Indiase raadslieden, de Data Protection Board en de realiteiten van toestemming op nationale schaal.
De andere terugkerende leemte is fundamenteel in plaats van juridisch: de meeste organisaties kunnen niet zeggen, in bewijs, waar hun persoonsgegevens werkelijk zitten. CCI's data-inventarisatiespecialisten brengen precies dat in kaart over verouderde estates, hete data in live systemen en koude data in archieven en back-ups, gestructureerde dossiers in databases en de veel moeilijkere ongestructureerde wildgroei in documenten, mailboxen, fileshares en object stores. Die inventaris is de voorwaarde voor alles stroomafwaarts, de herbasering van toestemming, de rechten- en wissingsworkflows, het beeld van grensoverschrijdende overdracht en de beoordeling van de inbreukreikwijdte, waarvan geen enkele kan worden vertrouwd als de kaart van de estate onvolledig is. Waar de leemte maatwerkgereedschap is, kan het interne R&D-team, de academici, promovendi en ingenieurs die NetDiagramer, EviGen, cVaR en DORA-MAST bouwden, die primitieven, inventaris-ingestie, configuratiebewijs, topologiekartering en kwantificering, samenstellen tot een snelle gereedheidstoolset voor beide regimes. Dat wordt gesteld als capaciteit, met de geleverde producten als bewijs, niet als een stopwatchbelofte. Om een gereedheidsbeoordeling voor beide regimes af te bakenen, spreek met een practitioner.
Vergelijkende hoofdmatrix
| Dimensie | GDPR | DPDP |
|---|---|---|
| Instrument | Regulation (EU) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| In werking | 25 May 2018 | Gefaseerd; materiele verplichtingen vanaf 13 May 2027 |
| Gedekte data | Geautomatiseerd en gestructureerd handmatig; gevoelige laag | Enkel digitaal; geen gevoelige laag |
| Extraterritoriale trigger | Vestiging; aanbieden; monitoren | Aanbieden van goederen of diensten aan principals in India |
| Rechtsgrondslagen | Zes, inclusief gerechtvaardigde belangen | Toestemming plus gesloten lijst van rechtmatige toepassingen |
| Regime voor gevoelige data | Article 9 speciale categorieen | Geen (indirect via SDF en kinderen) |
| Leeftijd voor kinderen | 16 (lidstaten mogen verlagen tot 13) | Onder 18; verbod op gedragsgerichte reclame |
| Rechten | Acht, inclusief overdraagbaarheid, bezwaar, Art 22 | Inzage, correctie, wissing, klacht, benoeming |
| Functionaris voor gegevensbescherming | Risicogebaseerd verplicht | Alleen Significant Data Fiduciaries; in India gevestigd |
| Grensoverschrijdend model | Whitelist (verbod bij verstek) | Blacklist (toestemming bij verstek) |
| Inbreukmelding | 72h naar SA indien risico; individuen indien hoog risico | 72h naar Board plus alle getroffen principals, geen drempel |
| Maximale boete | EUR 20m or 4% of global turnover | INR 250 crore per instance, no turnover link |
| Privaat recht op rechtsvordering | Ja (Art 82) | Geen |
| Toezichthouder | Onafhankelijke toezichthoudende autoriteiten | Data Protection Board (alleen beslissend) |
| Regelgeving | EDPB, Commission, Supervisory Authorities | Central Government |
Acroniemen
| Acronym | Expansion (English) | Nederlandse vertaling |
|---|---|---|
| BCR | Binding Corporate Rules | Bindende bedrijfsvoorschriften |
| CJEU | Court of Justice of the European Union | Hof van Justitie van de Europese Unie |
| DPDP | Digital Personal Data Protection | Bescherming van digitale persoonsgegevens |
| DPIA | Data Protection Impact Assessment | Gegevensbeschermingseffectbeoordeling |
| DPO | Data Protection Officer | Functionaris voor gegevensbescherming |
| EDPB | European Data Protection Board | Europees Comite voor gegevensbescherming |
| EEA | European Economic Area | Europese Economische Ruimte |
| GDPR | General Data Protection Regulation | Algemene Verordening Gegevensbescherming |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministerie van Elektronica en Informatietechnologie (India) |
| RBI | Reserve Bank of India | Centrale Bank van India |
| SA | Supervisory Authority | Toezichthoudende autoriteit |
| SCC | Standard Contractual Clauses | Standaardcontractbepalingen |
| SDF | Significant Data Fiduciary | Significante datafiduciair |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Tribunaal voor beslechting van telecomgeschillen en beroep |
Referenties
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html