Persoonsgegevens zijn "heet" voordat ze wettelijk beschermd worden.

Over een paar dagen krijgen gebruikers het recht om te vragen om verwijdering of beperking van de verwerking van hun persoonsgegevens, en de illegale koop en verkoop van persoonsgegevens zal strikt verboden zijn… Dit zijn enkele van de bepalingen in de Wet bescherming persoonsgegevens 2025, die op 1 januari 2026 van kracht wordt. In de aanloop naar de ingangsdatum van de wet is er opnieuw veel ophef over het verzoek van Zalo om een update.

Báo Thanh niên•28/12/2025

Overtreedt Zalo de wet?

De Wet bescherming persoonsgegevens van 2025 introduceert veel specifieke regels met betrekking tot de rechten van betrokkenen (gebruikers), evenals de rechten en plichten van organisaties en bedrijven die persoonsgegevens verzamelen en verwerken. Persoonsgegevens moeten daarom met toestemming van de gebruiker worden verzameld. Sociale media en online communicatiediensten zijn verantwoordelijk voor het duidelijk bekendmaken van de inhoud van de verzamelde persoonsgegevens; het is hen niet toegestaan om afbeeldingen of video's met volledige of gedeeltelijke persoonsgegevens op te vragen ter verificatie van een account.

Zalo kondigt nieuwe gebruiksvoorwaarden aan voordat de wet op de bescherming van persoonsgegevens van 2025 van kracht wordt.

Foto: MP

Onverwacht, vlak voordat de wet van kracht werd, toonde Zalo – het meest gebruikte sociale netwerk van Vietnam – een melding met een update van de gebruiksvoorwaarden, wat bij veel gebruikers tot bezorgdheid leidde. Velen uitten hun twijfels omdat de nieuwe voorwaarden betrekking hadden op het recht op privacy met betrekking tot persoonsgegevens, maar het niet akkoord gaan zou betekenen dat gebruikers de Zalo-app niet langer zouden kunnen gebruiken.

Onder de clausule "Verzameling, bescherming en gebruik van gebruikersinformatie" geeft een gebruiker bijvoorbeeld bij het inloggen op zijn Zalo- account toestemming aan VNG (de uitgever van de applicatie) om via technische methoden gegevens met betrekking tot het gebruikersaccount te verzamelen en te verwerken. Basispersoonsgegevens die gebruikers verstrekken voor identificatiedoeleinden zijn onder andere telefoonnummer, identiteitskaartnummer, volledige naam, leeftijd, geslacht, familiebanden, e-mailadres en persoonlijke foto's. Ook de mededeling dat VNG de persoonsgegevens van gebruikers ontvangt, deelt en overdraagt aan haar leden en gelieerde bedrijven, baart veel gebruikers zorgen over het mogelijke lekken van hun persoonlijke gegevens.

De laatste tijd is er een sterke toename van oplichtingspraktijken waarbij mensen zich voordoen als bezorgers, medewerkers van energiebedrijven of online shoppers, allemaal als gevolg van gelekte data. Slachtoffers verliezen geld of worden verleid door nep-links of apps die hun accounts stelen, met ernstige gevolgen. Hoewel strengere wettelijke maatregelen datalekken niet volledig kunnen voorkomen, vormen ze wel een solide basis voor het voorkomen en bestrijden van online fraude.

De heer Ngo Minh Hieu (Directeur van het Antifraude Project)

Volgens de heer Vo Do Thang, directeur van het Athena Cybersecurity Training Center, vraagt Zalo het recht om toegang te krijgen tot en de persoonlijke gegevens van gebruikers te verwerken. De nieuwe aankondiging laat echter in het midden welke voordelen gebruikers behalen wanneer ze instemmen met het verstrekken en gebruiken van hun persoonlijke gegevens, en welke waarde Zalo hen biedt. Hoe zal Zalo gebruikers compenseren als gegevens lekken en dit schade veroorzaakt? Dit is wat gebruikers van de applicatie zorgen baart. Zalo moet daarom de verplichtingen en rechten van gebruikers duidelijk formuleren, evenals de verantwoordelijkheid voor compensatie in geval van datalekken. Bovendien, hoe zullen de persoonlijke gegevens die Zalo van eerdere gebruikers heeft verzameld na 1 januari 2026 worden opgeslagen en gebruikt? En zullen er verschillen zijn in rechten tussen degenen die vóór 1 januari 2026 hebben ingestemd en degenen die dat later doen? Tot slot moet Zalo, als het wijzigingen wil doorvoeren, gebruikers minstens 30 dagen van tevoren op de hoogte stellen, zodat ze zich kunnen voorbereiden. Dit zijn zaken waarover deze sociale media-applicatie transparanter moet communiceren, zodat gebruikers goed geïnformeerd zijn.

Cybersecurity-expert Nguyen Van Thu interpreteert de aankondiging van Zalo als een update die aansluit bij de geest van de aanstaande Wet Bescherming Persoonsgegevens 2025. Voorheen vereisten veel sociale netwerken en andere applicaties dat gebruikers bij registratie akkoord gingen met de algemene voorwaarden van het bedrijf. Veel mensen besteedden hier geen aandacht aan, lazen de voorwaarden niet zorgvuldig door en gingen automatisch akkoord, of negeerden de voorwaarden met betrekking tot persoonsgegevens zelfs volledig. Bedrijven vroegen gebruikers ook niet expliciet om akkoord te gaan. Met de Wet Bescherming Persoonsgegevens 2025 mogen bedrijven echter alleen nog persoonsgegevens van gebruikers verzamelen om accounts aan te maken als zij hiermee instemmen. Bovendien hebben gebruikers vanaf 2026 het recht om Zalo in het bijzonder, of andere bedrijven in het algemeen, te verzoeken de gegevens te verwijderen als blijkt dat hun persoonsgegevens worden verwerkt of gebruikt voor andere doeleinden dan waarvoor zij toestemming hebben gegeven. Ze hebben zelfs het recht om een schadevergoeding te eisen als hun rechten worden geschonden.

Bijdragen aan het terugdringen van fraude

Een andere interessante bepaling van de Wet bescherming persoonsgegevens 2025 is de duidelijke lijst van zeven verboden handelingen met betrekking tot persoonsgegevens. Deze omvatten het gebruiken van de persoonsgegevens van een ander voor het plegen van illegale handelingen of het kopen en verkopen van persoonsgegevens . In werkelijkheid is de handel in persoonsgegevens de laatste tijd wijdverbreid en openlijk, en dit is de bron van talloze oplichtingspraktijken die overal voorkomen. Deze personen kopen en verkopen al lange tijd openlijk grote hoeveelheden gegevens via internet, via talloze websites, accounts en groepen op sociale mediaplatformen zoals Facebook, Zalo, Telegram en hackerforums. De gegevens bevatten met name zeer gedetailleerde persoonlijke informatie, zoals: volledige naam, geboortedatum, burgerservicenummer, adres, telefoonnummer, bankrekeningnummer (inclusief saldo), familieleden, functietitel en positie.

Sociale media-apps mogen geen afbeeldingen of video's met volledige of gedeeltelijke identificatiedocumenten opvragen als middel voor accountverificatie.

Foto: Ngoc Duong

De heer Ngo Minh Hieu, directeur van het Anti -Fraud Project , is er eveneens van overtuigd dat de Wet bescherming persoonsgegevens, die op 1 januari 2026 van kracht wordt, de recente toename van online fraude weliswaar niet direct zal beëindigen, maar wel zal bijdragen aan de vermindering en geleidelijke beperking ervan. Hij analyseerde: "Deze wet zal een sterker juridisch kader creëren voor de bescherming van persoonsgegevens. Zo worden de rechten van individuen met betrekking tot hun privégegevens vastgelegd, waardoor zij het recht hebben om te verzoeken om verwijdering van gegevens wanneer deze niet langer nodig zijn. Tegelijkertijd reguleert de wet strikt de verzameling en verwerking van gegevens; organisaties en bedrijven moeten processen en de privacy van klanten respecteren en regelmatig de informatiebeveiliging en cyberbeveiliging van hun systemen en applicaties beoordelen."

"In het geval dat het systeem van een organisatie wordt aangevallen, moet deze de autoriteiten onmiddellijk op de hoogte stellen om sancties te voorkomen. In sommige gevallen waarin werknemers of functionarissen van een bedrijf of organisatie informatie extern verkopen, schrijft deze wet ook duidelijk sancties voor, die kunnen variëren van strafrechtelijke sancties tot zeer hoge administratieve boetes gebaseerd op de jaarlijkse omzet. De laatste tijd is er een toename van oplichtingspraktijken waarbij men zich voordoet als transportbedrijven, energiebedrijven of online winkels... allemaal voortkomend uit gelekte gegevens. Slachtoffers verliezen geld of worden verleid door nep-links of -applicaties die hun accounts stelen, met ernstige gevolgen. Hoewel het lekken van informatie niet volledig kan worden voorkomen, biedt de aanscherping van de wettelijke barrières een zeer goede basis voor het voorkomen en bestrijden van online fraude," concludeerde de heer Ngo Minh Hieu.

Expert Nguyen Van Thu beaamde dat bedrijven vóór de invoering van de wet willekeurig klantgegevens verzamelden en gebruikten, met veel negatieve gevolgen voor individuen en de maatschappij als geheel. Wanneer de wet officieel van kracht wordt, zal dit probleem naar verwachting afnemen en zal het bewustzijn van zowel burgers als bedrijven over de bescherming van persoonsgegevens toenemen. Mensen zullen proactiever zijn in het beschermen van hun persoonlijke gegevens bij het online delen ervan. Wanneer iedereen zich bewust is van het belang van gegevensbescherming, zal dit helpen om het openbaar delen van informatie online te beperken en diefstal en handel in persoonsgegevens snel op te sporen en te melden aan overheidsinstanties voor tijdige afhandeling. Dit zal de handel in persoonsgegevens terugdringen en bijdragen aan de bestrijding van fraude.

Gebruikers hebben het recht om gegevensverwijdering te verzoeken en een schadevergoeding te eisen.

De Wet bescherming persoonsgegevens 2025 beschrijft een reeks rechten van gebruikers met betrekking tot persoonsgegevens. Deze omvatten het recht om correctie of verwijdering van gegevens te vragen indien deze niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld; het recht om eerder verleende toestemming voor de verwerking van persoonsgegevens in te trekken ; en het recht om klachten in te dienen, rechtszaken aan te spannen en schadevergoeding te eisen. Zo stemden gebruikers er voorheen bijvoorbeeld mee in dat bedrijven hun persoonlijke gegevens, zoals telefoonnummers en adressen, mochten gebruiken bij het registreren voor diensten. Als de gebruiker de dienst echter niet meer gebruikt, blijven deze gegevens door het bedrijf bewaard en gebruikt worden voor reclame- en marketingdoeleinden. Vanaf nu kunnen gebruikers bedrijven verzoeken hun persoonlijke gegevens te verwijderen.

De wet specificeert met name ook de classificatie van gewone persoonsgegevens en gevoelige persoonsgegevens. Gevoelige persoonsgegevens omvatten informatie zoals gezondheidstoestand, financiën, biometrische gegevens, privéleven, politieke opvattingen, enzovoort, en de verwerking van dit type gegevens moet voldoen aan strengere beschermingseisen.

Expert Ngo Minh Hieu benadrukte dat de nieuwe wet de meeste mensen zal raken, omdat persoonlijke informatie en gegevens steeds belangrijker worden, vooral in het tijdperk van de explosieve ontwikkeling van AI. Een van de nieuwe regels geeft gebruikers het recht om hun persoonlijke gegevens te verwijderen of om verwijdering aan te vragen. Mensen moeten deze nieuwe regels in acht nemen om gegevensbeheerders en -organisaties te verzoeken hun gegevens te verwijderen wanneer ze deze niet langer nodig hebben, met name in sectoren zoals de financiële sector en de telecommunicatie.

"Deze regelgeving zal zeker problemen opleveren voor veel mensen die constant onroerend goed, effecten of leningen aangeboden krijgen zonder te weten hoe ze dit kunnen stoppen. Wanneer de wet van kracht wordt, zullen gebruikers een juridische basis hebben om een oplossing te zoeken," aldus de heer Ngo Minh Hieu.

Volgens cybersecurity-expert Nguyen Van Thu zullen bedrijven in de eerste periode na de invoering van de wet het meest worden getroffen. Bedrijven verzamelen en bewaren persoonsgegevens, wat wordt beschouwd als een enorm data-"magazijn", waardoor ze een aantrekkelijk doelwit zijn voor hackers die gegevens willen stelen voor andere doeleinden, zoals fraude, accounthacking en financiële diefstal. Om aan de regelgeving te voldoen en de persoonsgegevens van klanten te beschermen, zullen bedrijven daarom interne processen voor gegevensverzameling, -verwerking en -beveiliging moeten opzetten. Tegelijkertijd moeten ze technische oplossingen implementeren, zoals hardware en software, om het kopiëren van gegevens te voorkomen en risico's te minimaliseren.

Dit omvat het voorkomen van externe aanvallen of het stelen en verspreiden van gegevens door interne medewerkers. Dergelijke maatregelen kunnen de bedrijfskosten verhogen. Dit is echter volledig in het voordeel van gebruikers, en bedrijven zelf zullen hun cyberbeveiliging tijdens hun activiteiten verbeteren. Bovendien zullen overheidsinstanties voldoende gronden hebben om inspecties en controles uit te voeren en sancties op te leggen aan overtredende organisaties en bedrijven, waardoor gebruikers beter worden beschermd.

Bij schendingen van de persoonsgegevens kan een maximale boete van 5% van de omzet van het volgende jaar worden opgelegd.

De Wet bescherming persoonsgegevens 2025 bepaalt het volgende: De maximale boete voor administratieve overtredingen met betrekking tot de koop en verkoop van persoonsgegevens bedraagt tienmaal de omzet die uit de overtreding is verkregen. De maximale boete voor administratieve overtredingen door organisaties die de regelgeving inzake grensoverschrijdende overdracht van persoonsgegevens overtreden, bedraagt 5% van hun omzet in het voorgaande jaar; dit geldt indien er in het voorgaande jaar geen omzet was of indien de op omzet berekende boete lager is dan de vastgestelde maximale boete. De maximale boete voor andere overtredingen op het gebied van persoonsgegevensbescherming bedraagt 3 miljard VND. Personen die dezelfde overtreding begaan, worden onderworpen aan een maximale boete gelijk aan de helft van de boete die aan organisaties wordt opgelegd.