Egyptische Wet op de Bescherming van Persoonsgegevens Nr. 151 van 2020 — Gids voor Cookietoestemmingsnaleving: Draaiboek 2026 voor Uitgevers
De Egyptische Wet op de Bescherming van Persoonsgegevens Nr. 151 van 2020 — gewoonlijk aangeduid als de Egyptische PDPL — werd uitgevaardigd op 15 juli 2020 en trad in werking op 14 oktober 2020. Gedurende het grootste deel van de periode sindsdien betekende het ontbreken van uitvoeringsregels dat de Wet bleef bestaan als een verklaring van beginselen in plaats van een afdwingbaar regime. Dat veranderde toen het Centrum voor de Bescherming van Persoonsgegevens — de toezichthouder opgericht op grond van de Wet, gehecht aan het Ministerie van Communicatie en Informatietechnologie — zijn operationeel kader, licentievereisten en de uitvoeringsregelingen publiceerde die de Wet had overgelaten om te worden uitgevaardigd. Tegen 2026 is het regime volledig operationeel, het licentietraject voor verwerkingsverantwoordelijken en verwerkers is actief, en uitgevers die actief zijn in of gericht zijn op Egypte zijn onderworpen aan een binnenlandse toestemmingsstandaard die dichter bij de GDPR staat dan bij enig ouder regionaal model. De implicatie voor cookietoestemming is direct: een banner die werkte in Egypte onder het vorige regime volstaat niet meer, en een banner die voldoet aan de GDPR voldoet aan de PDPL alleen wanneer de integratie rekening houdt met de punten waarop de twee kaders van elkaar afwijken.
Wat de Egyptische PDPL feitelijk vereist
De Wet is van toepassing op de verwerking van persoonsgegevens van Egyptische ingezetenen ongeacht waar de verwerkingsverantwoordelijke of verwerker is gevestigd, en op verwerkingsverantwoordelijken en verwerkers die in Egypte zijn gevestigd ongeacht waar de betrokkenen zich bevinden. Dat extraterritoriale bereik weerspiegelt GDPR Artikel 3 en betekent dat een uitgever die buiten Egypte is gevestigd maar Egyptische lezers, app-installaties of betalende klanten heeft, duidelijk binnen het toepassingsgebied valt. Persoonsgegevens zijn ruim gedefinieerd als alle gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon, waarbij gevoelige persoonsgegevens — waaronder gezondheids-, biometrische, genetische, geestelijke gezondheids-, financiële, religieuze, politieke opinie- en strafrechtelijke veroordelingsgegevens — onderworpen zijn aan een hogere toestemmingsdrempel en aanvullende waarborgen.
De Wet stelt rechtmatige grondslagen voor verwerking vast, de standaard reeks rechten van betrokkenen — inzage, rectificatie, wissing, beperking, bezwaar en overdraagbaarheid — een verantwoordelijkheidsraamwerk voor verwerkingsverantwoordelijken en verwerkers, verplichtingen tot kennisgeving van inbreuken, controles op grensoverschrijdende overdrachten en een regime van administratieve sancties met boetes variërend van EGP 100.000 voor lichte overtredingen tot EGP 5 miljoen voor ernstige of herhaalde inbreuken. Strafrechtelijke sancties gelden voor de ernstigste categorieën, waaronder ongelicentieerde grensoverschrijdende overdracht en verwerking van gevoelige gegevens zonder toestemming.
Hoe de PDPL specifiek omgaat met cookietoestemming
Anders dan de EU-ePrivacyrichtlijn bevat de PDPL geen afzonderlijke bepaling over cookies. Cookies en vergelijkbare opslag- en toegangstechnologieën vallen binnen het algemene toestemmingskader: elke verwerking van persoonsgegevens die steunt op toestemming als rechtmatige grondslag, moet worden verkregen op basis van een uitdrukkelijke, vrijwillige, specifieke en gedocumenteerde uitdrukking van instemming van de betrokkene. Het Centrum voor de Bescherming van Persoonsgegevens heeft in zijn richtsnoeren die zijn uitgevaardigd tijdens de gefaseerde inwerkingtreding van de regelgeving bevestigd dat vooraf aangevinkte vakjes, impliciete toestemming afgeleid uit voortgezet browsen en gebundelde toestemmingsbanners niet voldoen aan de standaard van de Wet. Dit brengt Egypte stevig in lijn met de mondiale trend en betekent dat de praktische houding die uitgevers al handhaven voor de EEA het juiste startpunt is voor Egyptisch verkeer.
Het praktische gevolg is dat cookies en vergelijkbare technologieën die niet strikt noodzakelijk zijn voor het verlenen van de dienst, niet mogen worden geplaatst voordat de gebruiker actief heeft ingestemd. Strikt noodzakelijke cookies — sessie-identifiers, winkelwageninhoud, beveiligingstokens, cookies voor belastingverdeling — kunnen zonder toestemming worden geplaatst op basis van het feit dat de gebruiker de dienst actief heeft aangevraagd. Alles andere — analytics, reclame, personalisatie, A/B-tests, sessieherhaling en elk tag van derden — vereist voorafgaande toestemming.
Hoe de PDPL in de praktijk afwijkt van de GDPR
Drie verschillen zijn van belang op het integratieniveau. Ten eerste vereist de PDPL dat toestemming voor de verwerking van gevoelige persoonsgegevens schriftelijk of via een gedocumenteerd elektronisch equivalent wordt verkregen dat de verwerkingsverantwoordelijke op verzoek kan overleggen — een hogere bewijsstandaard dan de expliciete-toestemmingsvereiste van de GDPR. Ten tweede legt de PDPL een licentieregime op: verwerkingsverantwoordelijken en verwerkers moeten zich registreren bij het Centrum voor de Bescherming van Persoonsgegevens, en bepaalde categorieën van verwerking — waaronder grensoverschrijdende overdracht en directe marketing — vereisen een afzonderlijke operationele licentie. Ten derde vereisen de grensoverschrijdende overdrachtsregels van de PDPL ofwel een adequaatheidsbesluit door het Centrum, een goedgekeurde contractuele waarborg of uitdrukkelijke toestemming van de betrokkene; overdrachten naar rechtsgebieden zonder aanduidingen of waarborgen zijn beperkt ongeacht de eigen nalevingshouding van de ontvanger.
Hoe een conforme cookiebanner er uitziet onder de PDPL
De technische vereisten komen overeen met wat elke moderne CMP al produceert, maar de etikettering, de documentatie en het toestemmingslogboek moeten de Egyptische specificaties weerspiegelen. De eerste-laagbanner moet de gebruiker een echte keuze bieden — accepteren, weigeren, beheren — waarbij de weigeroptie minstens even prominent is als de acceptatieoptie. Gebundelde toestemming is verboden, zodat de tweede laag per categorie opt-in moet toestaan die ten minste analytics, reclame en alle verwerking die afhankelijk is van grensoverschrijdende overdracht omvat. Categorieën moeten standaard op uit staan; de banner mag geen tags laden totdat de gebruiker ze bevestigend heeft omgezet.
De privacyverklaring die via de banner wordt getoond, moet de verwerkingsverantwoordelijke identificeren, het PDPL-licentienummer van de verwerkingsverantwoordelijke indien van toepassing, de categorieën verzamelde persoonsgegevens, de rechtmatige grondslag voor elk verwerkingsdoel, de bewaartermijn voor gegevens, de categorieën ontvangers inclusief eventuele subverwerkers buiten Egypte, de rechten van de betrokkene krachtens de Wet, en de contactgegevens van het Centrum voor de Bescherming van Persoonsgegevens voor klachten. Een verklaring die voldoet aan de GDPR Artikel 13-standaard zal grotendeels overlappen, maar de Egyptische licentie- en Centrum-contactregels moeten expliciet worden toegevoegd.
Het integratiepatroon dat een beoordeling van het Centrum voor de Bescherming van Persoonsgegevens doorstaat
De referentie-implementatie heeft vier bewegende onderdelen. Het eerste is een CMP die per categorie, standaard-uit opt-in ondersteunt en de keuze van de gebruiker beschikbaar stelt via een gestructureerde toestemmingsreeks die de uitgever kan bewaren. Het tweede is een taglaadlaag — een server-side tagmanager of een CMP-native poort — die strikt de toestemmingsstatus handhaaft voordat een niet-essentiële cookie wordt geplaatst. Het derde is een toestemmingslogboek, opgeslagen aan de server-side, dat voor elke toestemmingsgebeurtenis de keuze van de gebruiker per categorie, de tijdstempel, de bannerversie en een afgekorte of gehashte IP-identificator vastlegt zodat de verwerkingsverantwoordelijke het record op verzoek van het Centrum kan overleggen. Het vierde is een intrekkingspad dat minstens even gemakkelijk is als de oorspronkelijke toekenning — typisch een permanente link om de banner opnieuw te openen in de voettekst.
- Analyticstags — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — mogen pas worden geladen nadat de analyticscategorie is verleend. Elk platform ondersteunt een toestemmingsgestuurde configuratie die schrijven van cookies verhindert voordat de poort opengaat.
- Advertentietags — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programmatische header bidders — moeten op vergelijkbare wijze worden afgeschermd, en waar de advertentiepartner gegevens buiten Egypte overdraagt, moet de rechtsgebied van de ontvanger in de privacyverklaring worden vermeld. Een generieke vermelding dat gegevens worden verwerkt door wereldwijde dienstverleners volstaat niet onder de richtsnoeren van het Centrum.
- Sessieherhaling- en heatmaptools — Hotjar, Microsoft Clarity, FullStory — moeten achter een afzonderlijke, strengere poort staan omdat het Centrum zich heeft aangesloten bij het standpunt van de EDPB dat het renderen van invoervelden uitdrukkelijke en gedetailleerde toestemming vereist.
- Grensoverschrijdende overdrachtsvermeldingen moeten specifiek zijn voor elk rechtsgebied van de ontvanger en de rechtsgrondslag voor de overdracht vermelden — een goedgekeurde contractuele waarborg, een adequaatheidsbesluit of uitdrukkelijke toestemming van de betrokkene.
Validatie, licentieverlening en audithouding voor 2026
Een verdedigbare Egyptische inzet in 2026 moet vier technische controles doorstaan. Ten eerste mag een schone browsersessie bediend vanuit een Egyptisch IP-adres nul niet-essentiële cookies produceren voordat de banner is behandeld. Ten tweede moet het alles-weigeren-pad resulteren in dezelfde houding als een sessie zonder actie — geen analyticstags, geen advertentietags, geen sessieherhaling-scripts. Ten derde moet een alles-accepteren-flow alleen de tags produceren waarvoor de gebruiker toestemming heeft gegeven, en het toestemmingslogboek moet een overeenkomstig record bevatten. Ten vierde moet een intrekkingsflow onmiddellijk verdere tagactivaties stoppen, de cookies die tijdens de toestemming-sessie zijn geplaatst laten verlopen en eventuele verwijderings- of opt-outsignalen activeren die de ontvangende partners vereisen.
Buiten de technische controles zijn de licentieverlening en audithouding wat een inzet verdedigbaar maakt. Verwerkingsverantwoordelijken die persoonsgegevens verwerken van Egyptische ingezetenen boven de drempelwaarden vastgesteld door de uitvoeringsregelingen, moeten geregistreerd zijn bij het Centrum voor de Bescherming van Persoonsgegevens, en het registratierecord — samen met het toestemmingslogboek, de privacyverklaring, de resultaten van de gegevensbeschermingseffectbeoordeling voor hogere-risicoverwerking en eventuele autorisaties voor grensoverschrijdende overdracht — vormt de documentatie die het Centrum kan opvragen tijdens een nalevingsonderzoek. Een correct geconfigureerde CMP met een server-side logboek, een taglaadlaag die de toestemmingsstatus handhaaft, een privacyverklaring die elke bestemming voor grensoverschrijdende overdracht bij naam noemt en de licentiepapieren op orde zijn, is wat de Egyptische PDPL omzet van een regelgevende onbekende naar een verdedigbaar onderdeel van de MENA-regio toestemmingshouding van een uitgever.