Deskundigen verwelkomen voorzichtig de digitale regels voor de bescherming van persoonsgegevens, 2025

Foto alleen gebruikt voor representatiedoeleinden. | Fotocredits: Getty Images/iStock

Deskundigen die met de technologie-industrie samenwerken, verwelkomden het ontwerp voorlopig Regels voor de bescherming van digitale persoonsgegevens, 2025uitgegeven op vrijdag (3 januari 2025). De draft Rules document “geeft brede richting aan de industrie om zich voor te bereiden op naleving”, zei Aparajita Bharti, een van de oprichters van TQH Consulting, dat samenwerkt met technologiebedrijven bij het naleven van de Indiase wetten, in een verklaring. “Het is bemoedigend om eindelijk vooruitgang te zien op dit front”, zegt Shreya Suri, senior partner bij IndusLaw in een verklaring.

Zij wezen echter op lacunes waarvan zij hopen dat deze door het daaropvolgende overlegproces zullen worden opgelost. Brancheverenigingen hebben tot nu toe niet direct gereageerd op het ontwerp. “De conceptregels bieden enige duidelijkheid over het inlijsten en weergeven van mededelingen (aan gebruikers, of “data-principals”) onder de Wet bescherming digitale persoonsgegevensmaar ze schieten tekort in het bieden van advies over de wijze van levering of uitgifte – iets dat goed is gedefinieerd onder de AVG”, zei mevrouw Suri, verwijzend naar de Europese Algemene Verordening Gegevensbescherming.

“Een belangrijk punt van zorg in de regels is de potentiële ruimte voor het stellen van datalokalisatievereisten voor belangrijke datafiduciaires, aangezien zij vermelden dat een commissie dit in de toekomst zou kunnen doen”, zei mevrouw Bharti, verwijzend naar het ontwerp dat de deur open liet voor de overheid om de overzeese verwerking van gegevens van Indiërs beperken. Technologiebedrijven zullen op dit vlak waarschijnlijk bijzondere duidelijkheid zoeken, omdat ze gebruikersgegevens doorgaans opslaan en verwerken op servers over de hele wereld.

Ouderlijke toestemming

De regels in het ontwerp rond minderjarigen die toestemming van hun ouders moeten krijgen om zich aan te melden voor onlinediensten, deden enige wenkbrauwen fronsen, omdat de regels voorschrijven dat platforms eerst de identiteit van hun ouders verifiëren. “Hoe weet je of iemand een ouder is of niet”, vroeg Nikhil Pahwa, redacteur van de technologiebeleidswebsite MediaNama. Dit zou kunnen betekenen dat “platforms IEDEREEN zullen moeten verifiëren”, speculeerde hij op X, voorheen Twitter.

Mevrouw Suri was van mening dat de aanpak van de overheid “zou kunnen berusten op zelfverklaringen door gebruikers, waardoor ze kunnen aangeven of ze minderjarig of volwassen zijn”, maar zinspeelde op een brede gegevensverzameling; Afhankelijk van de implementatie zou dit “mogelijk kunnen leiden tot een bredere verwerking van gegevens van ouders of voogden, wat interessante overwegingen oproept met betrekking tot de schaal en reikwijdte van dergelijke gegevensverzameling”, zei ze.

Vrijstelling zorgen

De DPDP Act, 2023 stelt overheidsorganisaties al vrij van de wet, en de regels stellen de “normen” voor dergelijke vrijstellingen vast. Mevrouw Bharti zei echter: “De ontwerpregels gaan ook niet expliciet in op vrijstellingen, verwerkingsgronden of andere raamwerken die specifiek zijn toegesneden op trainingsdoeleinden voor AI-modellen.”

“Het behouden van toestemmingsartefacten en het bieden van de mogelijkheid om toestemming voor specifieke doeleinden in te trekken kan veranderingen op het ontwerp- en architectuurniveau van applicaties en platforms noodzakelijk maken”, zegt Mayuran Palanisamy, partner bij Deloitte India in een verklaring.