Vietnam is een van de landen met de hoogste internetontwikkelings- en -gebruikscijfers ter wereld , met bijna 80% van de bevolking die internet gebruikt. Hierdoor worden de persoonsgegevens van tweederde van de Vietnamese bevolking online opgeslagen, geüpload, gedeeld en verzameld in diverse vormen en met verschillende detailniveaus.
In 2022 en 2023 heeft Vietnam vijf strafzaken aangespannen met betrekking tot de aan- en verkoop van duizenden gigabytes aan data en miljarden stukjes persoonlijke informatie. Dit onderstreept de dringende noodzaak om de wetgeving inzake de bescherming van persoonsgegevens te verbeteren op basis van onderzoek en verwijzing naar internationaal recht.
Internationale wetgeving inzake de bescherming van persoonsgegevens
 |
| De AVG wordt beschouwd als een belangrijke juridische stap voorwaarts en creëert 's werelds strengste mechanisme voor de bescherming van persoonsgegevens. |
De Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) wordt beschouwd als een belangrijke juridische stap voorwaarts. Het is 's werelds strengste mechanisme voor de bescherming van persoonsgegevens en is van toepassing op alle organisaties en bedrijven die persoonsgegevens van EU-burgers verwerken.
De AVG (Algemene Verordening Gegevensbescherming) hanteert uniforme sancties voor overtredingen door bedrijven in de hele EU. Concreet bedraagt de maximale boete 2% van de omzet of € 10 miljoen voor lichte overtredingen en 4% van de omzet of € 20 miljoen voor ernstige overtredingen. Naast boetes kunnen bedrijven die de AVG overtreden ook andere sancties opgelegd krijgen, zoals het verplicht staken van gegevensverwerkingsactiviteiten of het verwijderen van gegevens die in strijd met de AVG zijn verwerkt.
De EU-autoriteit voor de bescherming van persoonsgegevens is de Europese Autoriteit voor Gegevensbescherming (EDPS) – een onafhankelijk orgaan waarvan de leden ervaren juristen, IT-professionals en beheerders zijn.
De belangrijkste taak van dit agentschap is het toezicht houden op de verwerking van persoonsgegevens binnen EU-instellingen en het adviseren over zaken die verband houden met persoonsgegevens. De AVG vereist ook de oprichting van een autoriteit voor de bescherming van persoonsgegevens in elke lidstaat, zoals een nationale commissie voor de bescherming van persoonsgegevens (Frankrijk, Ierland, enz.) of een inspectiedienst voor gegevensbescherming (Finland, Letland, enz.).
Naast de EDPS heeft de EU ook de Europese Commissie voor Gegevensbescherming (EDPB) opgericht, bestaande uit vertegenwoordigers van de nationale gegevensbeschermingsagentschappen van de lidstaten en vertegenwoordigers van de EU. De functie van de EDPB is om op te treden als het belangrijkste onafhankelijke adviesorgaan inzake de bescherming van persoonsgegevens en is verantwoordelijk voor de consistente toepassing van de AVG in de hele Unie.
De AVG voorziet in krachtige afschrikkende sancties, zowel materiële als immateriële. Bovendien werkt het EU-agentschap voor de bescherming van persoonsgegevens volgens een model waarbij de Commissie en de Commissaris samenwerken. Dit geeft het agentschap aanzienlijke bevoegdheden en onafhankelijkheid om sancties op te leggen aan organisaties die de regelgeving inzake de bescherming van persoonsgegevens overtreden en om zelfstandig de verwerking van persoonsgegevens te beoordelen en daarover te beslissen.
De Chinese wet op de bescherming van persoonsgegevens (PIPL), die in 2021 werd aangenomen, wordt beschouwd als de eerste alomvattende nationale wet op de bescherming van persoonsgegevens in China. De PIPL biedt een relatief uniforme visie op persoonsgegevens als informatie die bedoeld is om een specifiek individu te identificeren of te herkennen, met name gericht op personen binnen China (artikel 4, hoofdstuk 1 van de PIPL). Tegelijkertijd reguleert de wet gevoelige persoonsgegevens en stelt daarmee regels vast met betrekking tot de rechten en plichten van partijen ten aanzien van meer specifieke gegevensgroepen.
De sancties voor schendingen van de rechten op persoonsgegevens onder de PIPL-regelgeving zijn zeer streng, waaronder verplichte herstelmaatregelen, confiscatie van illegale inkomsten, opschorting van diensten, intrekking van bedrijfs- of exploitatievergunningen en boetes tot 50 miljoen RMB of 5% van de jaaromzet van een organisatie in het voorgaande fiscale jaar. Daarnaast kunnen overtredingen ook worden geregistreerd in het kredietdossier van de verwerkende instantie binnen het nationale sociale kredietsysteem.
Bovendien kunnen de verwerkingsbedrijven aansprakelijk worden gesteld voor schadevergoeding indien zij inbreuk maken op de rechten en belangen van organisaties en individuen. Strafrechtelijke sancties voor dit soort overtredingen zijn specifiek vastgelegd in het Chinese Wetboek van Strafrecht, dat een zwaardere strafrechtelijke aansprakelijkheid voorschrijft voor degenen die een geheimhoudingsplicht hebben, de mogelijkheid tot inbeslagname van bezittingen introduceert en levenslange gevangenisstraf als zwaarste straf vaststelt.
De Singaporese wet op de bescherming van persoonsgegevens (Personal Data Protection Act, PDPA), aangenomen in 2012 (gewijzigd in 2020), erkent het recht op bescherming van persoonsgegevens en de noodzaak voor organisaties om informatie te verzamelen, te gebruiken en openbaar te maken voor doeleinden die passend zijn bij de specifieke omstandigheden.
De PDPA schrijft ook strenge financiële sancties voor bij datalekken. Personen die de wet overtreden, riskeren boetes of gevangenisstraf. De hoogte van de boete hangt af van de aard en ernst van de overtreding en varieert van S$ 2.000 tot S$ 100.000 (ongeveer VND 1,6 miljard) en/of een gevangenisstraf van maximaal 12 maanden, of tot 3 jaar in ernstige gevallen. Voor overtredende organisaties en bedrijven kan de boete oplopen tot 10% van hun jaaromzet.
De instantie die een cruciale rol speelt bij de handhaving van de PDPA is de Commissie voor de Bescherming van Persoonsgegevens (PDPC). Deze gespecialiseerde instantie beschikt over uitgebreide bevoegdheden en ruime handhavingsmogelijkheden, waaronder de bevoegdheid om personen en organisaties te verzoeken informatie en documenten te verstrekken met betrekking tot de verwerking van persoonsgegevens, financiële sancties op te leggen voor overtredingen en andere corrigerende maatregelen te nemen.
De oprichting van een speciaal daarvoor opgericht agentschap, de Personal Data Protection Commission of Singapore, dat onafhankelijk en proactief overtredingen opspoort, aanpakt en sancties oplegt, is een van de voorwaarden voor een effectieve bescherming van persoonsgegevens in Singapore.
Aanbevelingen voor het verbeteren van de wetgeving inzake de bescherming van persoonsgegevens in Vietnam.
Momenteel zijn er in Vietnam 69 wettelijke documenten die rechtstreeks betrekking hebben op de bescherming van persoonsgegevens, geregeld in verschillende documenten, waaronder de Grondwet, het Wetboek (4), de Wet (39), de Verordening (1), het Besluit (2), de Circulaire/Gezamenlijke Circulaire (4) en het Besluit van de Minister (1).
Deze documenten benaderen de kwestie van de bescherming van persoonsgegevens in essentie door het principe van het waarborgen van de privacy van individuen te benadrukken; ze bevatten echter verschillende regels met betrekking tot informatie die verband houdt met persoonsgegevens, waarbij kwesties aan bod komen zoals de rechten en plichten van individuen, de verwerking van informatie en methoden voor de bescherming van persoonsgegevens. De Vietnamese wetgeving inzake de bescherming van persoonsgegevens heeft enkele opmerkelijke resultaten geboekt, met name de uitvaardiging van decreet nr. 12/2023/ND-CP inzake de bescherming van persoonsgegevens op 17 april 2023 – een uniek document dat deze kwestie in ons land regelt. Deze juridische documenten hebben een wettelijk kader gecreëerd voor de bescherming van persoonsgegevens. Ze specificeren de rechten van betrokkenen en verwerkende partijen, schrijven sancties voor bij schendingen van de bescherming van persoonsgegevens voor en wijzen het gespecialiseerde agentschap voor de bescherming van persoonsgegevens aan als de afdeling Cyberbeveiliging en Preventie van Hightechcriminaliteit onder het Ministerie van Openbare Veiligheid .
 |
| Vietnam wordt geconfronteerd met talrijke risico's, uitdagingen en bedreigingen vanuit het internet, met name het lekken en stelen van persoonlijke informatie en gegevens, wat aanzienlijke schade toebrengt aan burgers en de samenleving. |
De praktische toepassing van deze documenten heeft echter ook veel beperkingen aan het licht gebracht, zoals het feit dat de huidige afzonderlijke wettelijke documenten slechts op decreetniveau bestaan en niet voldoen aan het belang van de bescherming van persoonsgegevens; veel huidige bepalingen zijn vaag en onduidelijk, wat leidt tot een gebrek aan specifieke richtlijnen voor elk afzonderlijk geval; en de sancties zijn nog steeds te licht en onvoldoende afschrikkend.
Gezien deze situatie is het verder verbeteren van het wettelijk kader voor de bescherming van persoonsgegevens in Vietnam een kwestie die aandacht en onderzoek vereist, gebaseerd op de ervaringen van andere landen. Concreet:
Ten eerste moet er een wet inzake de bescherming van persoonsgegevens worden aangenomen . In de context van de Vierde Industriële Revolutie hebben 80 landen op regionaal en nationaal niveau al eigen wettelijke documenten aangenomen ter bescherming van persoonsgegevens. Vietnam moet dringend onderzoek doen naar en een algemene, gespecialiseerde wet inzake gegevensbescherming aannemen, vergelijkbaar met de privacywetgeving in de EU, China en Singapore, die de fundamentele kwesties en beginselen voor de bescherming van persoonsgegevens definieert. Het aannemen van een aparte wet inzake persoonsgegevens zou een cruciale juridische basis vormen voor de bescherming van persoonsgegevens, aangezien de huidige wettelijke documenten in Vietnam een gebrek aan uniformiteit vertonen in terminologie en inhoud.
Ten tweede moeten de sancties voor schendingen van de persoonsgegevensbescherming worden herzien en aangevuld, zodat ze strenger worden en in verhouding staan tot de aard en ernst van de schendingen. Hoewel de sancties voor schendingen van persoonsgegevens in ons land administratieve, civiele en strafrechtelijke sancties omvatten, zijn ze over het algemeen vrij mild en hebben ze geen sterk afschrikkend effect. De belangrijkste methode is momenteel nog steeds het opleggen van administratieve sancties, maar deze zijn verspreid over vele decreten met relatief lage boetes, waarvan de hoogste 100 miljoen VND bedraagt voor individuen en 200 miljoen VND voor organisaties.
Hoewel de schade veroorzaakt door administratieve schendingen van persoonsgegevens niet beperkt is tot materiële verliezen, maar ook de eer en waardigheid aantast, zijn strafrechtelijke sancties voor schendingen van persoonsgegevens momenteel alleen te vinden in de bepalingen over privacy en informatietechnologie en cyberbeveiliging, met name artikel 159 en 288 van het huidige Wetboek van Strafrecht. Deze sancties omvatten relatief lage gevangenisstraffen van maximaal 7 jaar en boetes van maximaal 1 miljard VND. Vergeleken met de 20 miljoen euro in de EU, de 1 miljoen SGD in Singapore of de levenslange gevangenisstraf in China, zijn deze straffen nog steeds erg laag en niet in verhouding tot veel overtredingen.
Tegelijkertijd is het nodig om meer categorieën gedrag te reguleren die momenteel niet in de wet worden genoemd, zoals grootschalige gegevenshandel, het opzetten van systemen voor datalekken, schendingen van marketingregels, enzovoort.
Ten derde, wat betreft het model van een agentschap voor de bescherming van persoonsgegevens in Vietnam : Momenteel is de afdeling Cyberbeveiliging en Preventie van Hightechcriminaliteit van het Ministerie van Openbare Veiligheid het gespecialiseerde agentschap voor de bescherming van persoonsgegevens. Gezien de internationale regelgeving zouden we kunnen overwegen een onafhankelijk agentschap voor de bescherming van persoonsgegevens op te richten dat verantwoordelijk is voor de handhaving van de Wet op de Bescherming van Persoonsgegevens, het uitvoeren van inspecties en audits, het uitvaardigen van richtlijnen, het doen van aanbevelingen en het opleggen van sancties bij overtredingen.
We kunnen leren van deze modellen in de EU of Singapore… om ervoor te zorgen dat wetshandhavingsactiviteiten ter bescherming van persoonsgegevens zeer effectief zijn, waarbij een evenwicht wordt gevonden tussen de bescherming van individuele rechten en de waarborging van cyberbeveiliging.
Het beschermen van persoonsgegevens is geen eenvoudige zaak, vooral niet in de context van integratie, waar grootschalige monitoring en verzameling van persoonsgegevens plaatsvindt. Bovendien is het Vietnamese rechtssysteem dat deze kwestie regelt nog in ontwikkeling en wordt het voortdurend verfijnd.
Door het internationale recht inzake dit onderwerp te bestuderen in samenhang met de praktische situatie in Vietnam, kunnen we snel een alomvattend juridisch kader voor de bescherming van persoonsgegevens ontwikkelen dat in overeenstemming is met het internationaal recht en effectief wordt gehandhaafd.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
Bron
![[Video] Het ambacht van het maken van Dong Ho-volksschilderijen is door UNESCO opgenomen op de lijst van ambachten die dringend bescherming behoeven.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/10/1765350246533_tranh-dong-ho-734-jpg.webp)
Reactie (0)