India DPDPA 2023: technische naleving voor mondiale teams
India's Digital Personal Data Protection Act dekt 1,4 miljard mensen — de werelds grootste privacywet naar bevolking. De Data Protection Board werd in 2025 actief. Handhaving is begonnen. Als uw bedrijf Indiase gebruikers bedient, Indiase personeelsdossiers bewaart of met Indiase IT-leveranciers werkt, is deze wet nu een levende verplichting.
Wat DPDPA dekt
Territoriale reikwijdte: De wet dekt verwerking in India en verwerking buiten India wanneer het doel de verkoop van goederen of diensten aan Indiase gebruikers is. Net als de AVG volgt ze de persoon, niet de server.
Maximale boetes: Tot ₹250 crore per overtreding (circa €27 miljoen). Boetes hangen af van de ernst en duur van de overtreding.
Rechtsgrondslagen: Toestemming moet vrij, geïnformeerd en duidelijk zijn. Andere geldige grondslagen zijn werk, wettelijke plichten, vitale behoeften, openbaar belang en onderzoek.
Individuele rechten: Mensen kunnen vragen hoe hun gegevens worden gebruikt, correctie of verwijdering verzoeken, een klacht indienen en een vertegenwoordiger aanwijzen.
Data Fiduciaries: Dit is de DPDPA-naam voor verwerkingsverantwoordelijken. Zij moeten persoonsgegevens beschermen, lekken binnen 72 uur aan de Board melden en een Data Protection Officer aanwijzen indien zij een Significant Data Fiduciary zijn.
Aadhaar: een uniek detectieprobleem
Aadhaar is India's nationaal biometrisch ID-systeem. Elke houder krijgt een 12-cijferig nummer gekoppeld aan vingerafdrukken en irisscans. Circa 1,36 miljard inwoners hebben er één. Banken, overheidsinstanties, mobiele operators en ziekenhuizen gebruiken het allemaal.
Aadhaar-nummers verschijnen in financiële, zorg- en administratieve dossiers. De Aadhaar Act 2016 beperkt het gebruik. Privédiensten mogen het niet als verplicht ID eisen. Opslag is beperkt tot specifiek geautoriseerde gevallen.
Waarom detectie lastig is: Aadhaar gebruikt de Verhoeff-methode voor het controlecijfer. Een tool die alleen 12-cijferige reeksen scant, markeert elk 12-cijferig getal. Goede detectie vereist Verhoeff-controlelogica — eenvoudige patroonherkenning volstaat niet.
Andere Indiase PII-formaten
PAN (Permanent Account Number): Een 10-tekens fiscaal ID. Formaat: vijf letters, vier cijfers, één letter. De vierde letter toont het type belastingbetaler. Verplicht bij transacties boven ₹50.000.
Indiaas paspoort: De letter X gevolgd door zeven cijfers — een formaat uniek voor India.
Rijbewijzen: Elke staat heeft een eigen formaat. Een Delhi-rijbewijs kan eruitzien als DL-0420110149646.
Bankrekeningen: Geen nationale norm. Rekeningnummers lopen van 9 tot 18 cijfers. IFSC-codes — 11-tekens bankfiliaalcodes — verschijnen naast rekeningnummers in betalingsdossiers.
Mobiele nummers: Tien cijfers met landcode +91. India heeft 1,2 miljard mobiele abonnees.
Zie hoe anonym.legal alle Indiase PII-formaten verwerkt op /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
DPDPA technische vereisten
Beveiligingswaarborgen: DPDPA vraagt om "redelijke beveiligingswaarborgen" afgestemd op het risico. Minimale technische normen worden verwacht in DPDPA-regels vanaf 2025.
Melding van lekken: Meld elk lek binnen 72 uur aan de Board. Grote lekken vereisen zowel Board-kennisgeving als kennisgeving aan betrokkenen — beide binnen 72 uur.
Lokalisatie: De overheid kan bedrijven als Significant Data Fiduciary aanwijzen. Die bedrijven moeten mogelijk een kopie van gegevens in India bewaren. Definitieve regels zijn nog niet vastgesteld.
Grensoverschrijdende overdrachten: De wet blokkeert overdrachten naar landen die niet op een goedgekeurde lijst staan. Die lijst was in 2025 nog niet vastgesteld.
Voor een overzicht van hoe grensoverschrijdende regels zich stapelen, zie /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Technische basiscontrolelijst
Bij verwerking van Indiase persoonsgegevens, begin hier:
- Aadhaar-detectie met Verhoeff-controlecijferlogica.
- PAN-detectie met tekens voor belastingbetalertype.
- Indiase paspoort- en staatsrijbewijsondersteuning.
- Bankrekeningdetectie voor 9–18 cijfers met IFSC-codes.
- Doelregisters die overeenkomen met DPDPA-rechtsgrondslagen.
- Een lek-plan dat het 72-uursvenster haalt.
Lees hoe één preset alle Indiase PII-typen dekt op /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.