India stelt regels voor digitale data voor, met strenge straffen en eisen op het gebied van cyberbeveiliging

De Indiase regering heeft een conceptversie van de Digital Personal Data Protection (DPDP)-regels gepubliceerd voor openbare raadpleging.

“Gegevensfiduciaires moeten duidelijke en toegankelijke informatie verstrekken over de manier waarop persoonlijke gegevens worden verwerkt, waardoor geïnformeerde toestemming mogelijk wordt gemaakt”, zei het Indiase Persinformatiebureau (PIB) in een zondag vrijgegeven verklaring.

“Burgers hebben het recht om het wissen van gegevens te eisen, digitale genomineerden te benoemen en toegang te krijgen tot gebruiksvriendelijke mechanismen om hun gegevens te beheren.”

De regels, die tot doel hebben de Wet bescherming persoonsgegevens uit 2023 in praktijk te brengen, geven burgers ook meer controle over hun gegevens, waardoor ze opties krijgen om geïnformeerde toestemming te geven voor de verwerking van hun informatie, evenals het recht om ze via digitale platforms te wissen en aan te pakken. grieven.

Bedrijven die in India actief zijn, zijn verder verplicht om beveiligingsmaatregelen te implementeren, zoals encryptie, toegangscontrole en gegevensback-ups, om persoonlijke gegevens te beschermen en de vertrouwelijkheid, integriteit en beschikbaarheid ervan te garanderen.

Enkele van de andere opmerkelijke bepalingen van de DPDP-wet waaraan gegevensfiduciaires geacht worden te voldoen, worden hieronder opgesomd:

  • Implementeer mechanismen voor het detecteren en aanpakken van inbreuken en het onderhouden van logboeken
  • In het geval van een datalek dient u, indien bekend, binnen 72 uur (of meer, indien toegestaan) aan het College Bescherming Persoonsgegevens (DPB)
  • Verwijder persoonlijke gegevens die niet langer nodig zijn na een periode van drie jaar en stel personen 48 uur op de hoogte voordat dergelijke informatie wordt gewist
  • Op hun websites/apps duidelijk de contactgegevens weergeven van een aangewezen functionaris voor gegevensbescherming (DPO) die verantwoordelijk is voor het beantwoorden van eventuele vragen over de verwerking van persoonsgegevens door gebruikers
  • Verifieerbare toestemming verkrijgen van ouders of wettelijke voogden voordat de persoonlijke gegevens van kinderen onder de 18 jaar of personen met een handicap worden verwerkt (uitzonderingen zijn onder meer gezondheidszorgprofessionals, onderwijsinstellingen en kinderopvangaanbieders, maar alleen beperkt tot specifieke activiteiten zoals gezondheidszorg, educatieve activiteiten, veiligheidsmonitoring en transport volgen)
  • Voer eenmaal per jaar een Data Protection Impact Assessment (DPIA) en een uitgebreide audit uit en rapporteer de resultaten aan DPB (beperkt tot alleen gegevensfiduciaires die als “significant” worden beschouwd)
  • Houd u aan de eisen die de federale overheid stelt als het gaat om grensoverschrijdende gegevensoverdracht (de exacte categorieën van persoonlijke gegevens die binnen de grenzen van India moeten blijven, zullen worden bepaald door een gespecialiseerde commissie)

De ontwerpregels hebben ook bepaalde waarborgen voor burgers voorgesteld wanneer hun gegevens worden verwerkt door federale en deelstaatoverheidsinstanties, waarbij wordt geëist dat een dergelijke verwerking gebeurt op een manier die wettig, transparant en “in lijn met wettelijke en

beleidsnormen.”

Organisaties die de digitale gegevens van individuen misbruiken of er niet in slagen deze te beveiligen, of die de DPB op de hoogte stellen van een inbreuk op de beveiliging, kunnen boetes krijgen van maximaal ₹ 250 crore (bijna $30 miljoen).

Het Ministerie van Elektronica en Informatietechnologie (MeitY) vraagt ​​tot 18 februari 2025 om feedback van het publiek op de ontwerpvoorschriften. Het zei ook dat de inzendingen aan geen enkele partij openbaar zullen worden gemaakt.

De DPDP-wet werd formeel aangenomen in augustus 2023, nadat deze sinds 2018 verschillende keren was herwerkt. De verordening inzake gegevensbescherming kwam voort uit een uitspraak uit 2017 van de Indiase hoogste rechtbank, waarin het recht op privacy opnieuw werd bevestigd als een fundamenteel recht onder de grondwet van India.

De ontwikkeling komt ruim een ​​maand nadat het ministerie van Telecommunicatie de Telecommunications (Telecom Cyber ​​Security) Rules, 2024, heeft uitgevaardigd onder de Telecommunicatiewet van 2023, om communicatienetwerken te beveiligen en strenge richtlijnen voor de openbaarmaking van datalekken op te leggen.

Volgens de nieuwe regels moet een telecomentiteit elk beveiligingsincident dat zijn netwerk of diensten aantast, binnen zes uur na kennisname aan de federale overheid melden, waarbij het getroffen bedrijf ook binnen 24 uur aanvullende relevante informatie deelt.

Bovendien zijn telecommunicatiebedrijven verplicht een Chief Telecommunication Security Officer (CTSO) aan te stellen, die een Indiaas staatsburger en inwoner van India moet zijn, en verkeersgegevens – met uitzondering van de berichtinhoud – met de federale overheid moet delen in een gespecificeerd formaat voor ‘het beschermen en het waarborgen van de cyberveiligheid van telecom.”

De Internet Freedom Foundation (IFF) zei echter dat de “al te brede formulering” en het verwijderen van de definitie van “verkeersgegevens” uit het ontwerp de deur zouden kunnen openen voor misbruik.

Thijs Van der Does