Kaders

Inzicht in de wet op de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië

Begrijp hoe de wetgeving inzake de bescherming van persoonsgegevens in Saoedi-Arabië werkt en hoe deze verschilt van vergelijkbare kaders zoals de AVG.

Cyberday
22 december 2025
@

Inhoud van het artikel

ISO 27001 collectie
Inzicht in de wet op de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië
NIS2-verzameling
Inzicht in de wet op de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië
Cyberday blog
Inzicht in de wet op de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië

De wet inzake de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië bevat verplichte regels voor de manier waarop organisaties persoonsgegevens verzamelen, gebruiken, opslaan, delen en overdragen. De wet legt individuele rechten vast en bepaalt duidelijk de verantwoordelijkheden van gegevensbeheerders en -verwerkers.

Voor CISO's, compliance managers en IT-leiders die actief zijn in Saoedi-Arabië biedt PDPL een pragmatisch stappenplan om privacyrisico's te verminderen, due diligence aan te tonen en het vertrouwen van klanten, medewerkers en toezichthouders te winnen. Met strengere handhaving en stijgende verwachtingen van partners en auditors moet het operationaliseren van PDPL een kernactiviteit worden.

Hoewel geïnspireerd door wereldwijde privacynormen, is de PDPL geen kopie van de AVG. De structuur en kernideeën komen bekend voor, bijvoorbeeld het model van verwerkingsverantwoordelijke en verwerker, individuele rechten, doelbinding en beveiligingsvereisten. De PDPL is op bepaalde gebieden prescriptiever, zoals termijnen voor het melden van inbreuken en beperkingen op doorgifte, en bevat lokale nuances met betrekking tot toegang door de overheid, ingezetenschap en toestemmingsvoorwaarden. Voor teams die al met de AVG werken, zal de PDPL herkenbaar zijn, maar vereist deze wet een eigen operationele interpretatie.

Deze gids vertaalt de PDPL naar praktische maatregelen. Hij behandelt het toepassingsgebied, de rollen, de rechtsgrondslagen, de beginselen, de rechten, het bestuur, de veiligheid, derden en de handhaving.

Lees ook: Vergelijking tussen PDPL en GDPR

Overzicht: doelstellingen en principes

De reikwijdte van de PDPL is gestructureerd rond de volgende kernconcepten die van toepassing zijn op alle sectoren en technologiestacks:

  • Rollen en verantwoordelijkheden
  • Rechtsgrondslagen en verwerkingsbeginselen
  • Rechten van betrokkenen
  • Bestuur en documentatie
  • Beveiliging en omgang met inbreuken
  • Internationale overdrachten
  • Toezicht en sancties

De doelstellingen van de wet zijn duidelijk. De wet:

  • Geeft individuen zinvolle controle over hun persoonlijke gegevens
  • Verplicht eerlijke en transparante verwerking in verband met legitieme doeleinden
  • Beperkingen inzake verzameling en bewaring
  • Vereist passende beveiliging
  • En verduidelijkt hoe de verantwoordelijkheid wordt verdeeld tussen gegevensbeheerders en gegevensverwerkers. 

Regelgevende instanties zijn bevoegd om overtredingen te onderzoeken en te bestraffen op basis van het principe van evidence-based compliance.

Reikwijdte, definities en rollen

De PDPL is van toepassing op elke verwerking van persoonsgegevens in Saoedi-Arabië en op bepaalde verwerkingen buiten het koninkrijk die gericht zijn op personen binnen het koninkrijk. Overheidsinstanties, particuliere bedrijven, non-profitorganisaties en buitenlandse entiteiten kunnen allemaal onder het toepassingsgebied vallen. Puur persoonlijke of huishoudelijke activiteiten die geen publicatie of brede openbaarmaking met zich meebrengen, vallen buiten het toepassingsgebied.

Persoonsgegevens omvatten alle informatie waarmee personen direct of indirect kunnen worden geïdentificeerd. Naast voor de hand liggende identificatiegegevens (namen, nationale identiteitsnummers, contactgegevens) omvat de PDPL ook apparaat-ID's, nauwkeurige locatiegegevens en gecombineerde datasets waarmee personen redelijkerwijs kunnen worden geïdentificeerd. Gegevens die onomkeerbaar zijn geanonimiseerd, vallen buiten de PDPL.

De wet maakt een onderscheid tussen verwerkingsverantwoordelijken (die het doel en de middelen voor de verwerking bepalen) en verwerkers (die namens de verwerkingsverantwoordelijken verwerken). Verwerkingsverantwoordelijken dragen de primaire verantwoordelijkheid. Verwerkers moeten gedocumenteerde instructies volgen en mogen de gegevens niet voor eigen doeleinden gebruiken. De toewijzing van rollen varieert vaak per verwerkingsactiviteit.

Zelfs met een beperkte lokale aanwezigheid biedt de PDPL een sterke benchmark voor privacybeheer. Voor organisaties die actief zijn in Saoedi-Arabië zal het harmoniseren van PDPL-controles de auditgereedheid verbeteren en de due diligence van partners versnellen. Dit zal met name gunstig zijn als de organisatie al voldoet aan de AVG of ISO/IEC 27701.

Categorie Binnen het toepassingsgebied Buiten het toepassingsgebied
Activiteiten Verwerking van persoonsgegevens in Saoedi-Arabië of in het buitenland wanneer personen in het Koninkrijk worden benaderd Persoonlijk of huishoudelijk gebruik zonder publicatie
Entiteiten Overheidsinstanties, particuliere bedrijven, non-profitorganisaties, buitenlandse organisaties die Saoedische gegevens verwerken Particulieren die privé handelen, entiteiten die uitsluitend geanonimiseerde gegevens verwerken
Gegevens Alle gegevens waarmee een persoon direct of indirect kan worden geïdentificeerd, inclusief apparaat- en locatiegegevens. Onomkeerbaar geanonimiseerde gegevens
Rollen Verwerkingsverantwoordelijken en verwerkers die persoonsgegevens verwerken Activiteiten zonder persoonsgegevens of alleen gebruik op persoonlijke titel

Rechtsgrondslag en toestemming

Elke verwerkingsactiviteit moet op een wettelijke basis berusten. Veelvoorkomende gronden zijn onder meer uitdrukkelijke toestemming, uitvoering van een overeenkomst, naleving van een wettelijke verplichting, bescherming van vitale belangen en gerechtvaardigde belangen die niet zwaarder wegen dan de rechten van personen. Organisaties moeten elke verwerkingsactiviteit aan één wettelijke basis koppelen en de reden daarvoor vastleggen.

Toestemming onder de PDPL moet expliciet, specifiek en geïnformeerd zijn. Vooraf aangevinkte vakjes of stilzwijgen zijn niet geldig. Personen moeten hun toestemming gemakkelijk kunnen intrekken; zodra de toestemming is ingetrokken, moet de verwerking die afhankelijk is van toestemming worden stopgezet, tenzij er een andere wettelijke basis van toepassing is.

Verwerkingsbeginselen in de praktijk

De verwerking in het kader van de PDPL moet eerlijk en transparant zijn, gekoppeld aan duidelijke en legitieme doeleinden en beperkt blijven tot wat noodzakelijk is.

De vereisten inzake gegevensnauwkeurigheid houden in dat gegevens correct moeten worden bijgehouden en up-to-date moeten zijn. De wet legt ook opslagbeperkingen op.

Verwijdering of anonimisering is vereist wanneer de doeleinden zijn bereikt, tenzij een wet een langere bewaartermijn voorschrijft.

De maatregelen voor gegevensbeveiliging moeten passend zijn voor de aard, omvang en risico's van de verwerking.

In de praktijk vereist de wet dat het doel van gegevensverzameling op praktisch niveau wordt gedefinieerd. Dit kan bijvoorbeeld worden bereikt door formulieren te standaardiseren en API's zo te configureren dat zo min mogelijk velden worden verzameld. Analyses kunnen worden gestructureerd met standaardconfiguraties voor privacy. Bewaartermijnen moeten nauw aansluiten bij wettelijke en zakelijke behoeften.

Deze benaderingen bieden organisaties voordelen door risico's te verminderen, de kwaliteit van gegevens te verbeteren en audits te vereenvoudigen.

Rechten van betrokkenen en verwerking

Individuen hebben het recht om geïnformeerd te worden over de verwerking, om toegang te krijgen tot hun gegevens en om onjuistheden te corrigeren. Zij kunnen in bepaalde situaties om verwijdering verzoeken, bijvoorbeeld wanneer de gegevens niet langer nodig zijn, onrechtmatig zijn verzameld of wanneer de toestemming is ingetrokken en er geen andere wettelijke grondslag van toepassing is. Indien bewaring wettelijk verplicht is of nodig is om rechtsvorderingen in te stellen of te verdedigen, moeten de redenen en de reikwijdte daarvan worden gedocumenteerd.

De PDPL ondersteunt ook bezwaren tegen bepaalde verwerkingen, met name direct marketing. Individuen kunnen verzoeken om beperking van de verwerking, wat doorgaans betekent dat gegevens worden bewaard maar niet actief worden gebruikt terwijl een geschil wordt beoordeeld. Organisaties moeten een duidelijk proces hanteren voor het in ontvangst nemen, verifiëren, doorsturen en uitvoeren van verzoeken, met controleerbare tijdschema's en resultaten.

Bestuur, documentatie en verantwoordingsplicht

Van het senior management wordt verwacht dat zij rollen en verantwoordelijkheden toewijzen voor gegevensbescherming, middelen ter beschikking stellen en training ondersteunen. In veel gevallen zal het nodig zijn om een functionaris voor gegevensbescherming (of een gelijkwaardige functie) aan te stellen om advies te geven over naleving, toezicht te houden op praktijken en contacten te onderhouden met de autoriteiten.

Van DPO's kan worden verwacht dat zij een register van verwerkingsactiviteiten (RoPA) bijhouden waarin de categorieën gegevens, doeleinden, betrokkenen, ontvangers, doorgiften, bewaartermijnen en beveiligingsmaatregelen worden beschreven.

Voor verwerkingen die waarschijnlijk een hoog risico voor personen met zich meebrengen, wordt van DPO's verwacht dat zij gegevensbeschermingseffectbeoordelingen (DPIA's) uitvoeren om de noodzaak, evenredigheid, risico's en risicobeperkende maatregelen te analyseren. Interne audits moeten controleren of de praktijken in overeenstemming zijn met het beleid en de documentatie.

Beveiliging, incidentrespons en melding van inbreuken

De PDPL vereist passende technische en organisatorische maatregelen die in verhouding staan tot het risico.

Veelvoorkomende technische controles zijn onder meer:

  • Encryptie
  • toegangscontrole
  • logging en monitoring
  • netwerksegmentatie
  • veilige ontwikkelingspraktijken.

Organisatorische controles omvatten:

  •  op rollen gebaseerde toegang
  • scheiding van taken
  • leveranciersrisicobeheer
  • gerichte bewustwording

Inbreuken op persoonsgegevens die leiden tot verlies, wijziging, ongeoorloofde openbaarmaking of toegang vereisen gestructureerde reacties. Incidentbeheersplannen moeten detectie, beheersing, onderzoek, herstel en kennisgeving omvatten. De bevoegde autoriteiten moeten onmiddellijk op de hoogte worden gebracht wanneer schade aan personen waarschijnlijk is. Betrokken personen moeten ook onverwijld worden geïnformeerd wanneer zij beschermende maatregelen moeten nemen als zij door een inbreuk op gegevens zijn getroffen. Verwerkers moeten verwerkingsverantwoordelijken zonder onnodige vertraging op de hoogte brengen van incidenten.

Internationale overdrachten en derden

De PDPL beperkt de overdracht van persoonsgegevens buiten Saoedi-Arabië, tenzij de bescherming vergelijkbaar blijft. Sommige overdrachten zijn gebaseerd op adequaatheidsbesluiten, terwijl andere contractuele waarborgen of bindende interne regels vereisen. In bepaalde gevallen kan expliciete toestemming worden gebruikt.

Om aan de wet te voldoen, moet het juridische en praktische kader van de bestemming worden beoordeeld. De waarborgen moeten worden gedocumenteerd en periodiek worden geëvalueerd.

Contracten tussen verwerkingsverantwoordelijken en verwerkers moeten het onderwerp, de duur, de aard, het doel, de soorten gegevens, de vertrouwelijkheid, de beveiliging, de voorwaarden voor subverwerking, de auditrechten en de teruggave of verwijdering van gegevens bij beëindiging van het contract specificeren. Er moet een duidelijke en transparante rechtsgrondslag zijn voor het delen van gegevens met andere verwerkingsverantwoordelijken.

De verantwoordelijkheden voor het beheer van rechten en beveiliging moeten worden gedefinieerd en actuele datakaarten en contractinventarissen mogen niet worden gedeeld.

Toezicht, handhaving en sancties

Een bevoegde toezichthoudende autoriteit vaardigt voorschriften en richtsnoeren uit, voert inspecties uit, vraagt informatie op en controleert documentatie. Organisaties moeten wijzigingen in zowel de primaire wetgeving als de uitvoeringsvoorschriften volgen en hun praktijken daarop aanpassen. Transparante, tijdige communicatie en bewijs van naleving te goeder trouw kunnen de kans op sancties verminderen in gevallen waarin de wet niet correct is nageleefd.

Sancties variëren van corrigerende maatregelen tot administratieve boetes. Factoren die hierbij een rol spelen zijn onder meer de aard en ernst van de overtredingen, de duur, het aantal betrokken personen en eerdere overtredingen. Overtredingen van de wet kunnen ook leiden tot reputatieschade en operationele kosten. 

Hoe implementeert u PDPL in uw organisatie?

Een gestructureerde, risicogebaseerde aanpak stelt kleine en middelgrote teams in staat om PDPL efficiënt te operationaliseren en gaandeweg auditklaar bewijsmateriaal op te bouwen.

Reikwijdte en kaart

Identificeer alle verwerkingsactiviteiten, systemen en leveranciers die persoonsgegevens van personen in Saoedi-Arabië verwerken. Leg voor elke activiteit de rol van de verwerkingsverantwoordelijke of verwerker, het doel, de rechtsgrondslag, de soorten gegevens, de ontvangers, de doorgiften en de bewaarregels vast. Dit vormt de ruggengraat van uw RoPA en maakt risicovolle verwerkingen zichtbaar, inclusief gebieden waarvoor mogelijk een DPIA nodig is.

Beoordelen en prioriteren

Controleer uw kennisgevingen, toestemmingsprocedures, rechtenbeheer, beveiligingsmaatregelen, incidentrespons en overdrachtsmechanismen aan de hand van de PDPL-vereisten. Geef prioriteit aan herstelmaatregelen op basis van risico. Activiteiten waarbij gevoelige gegevens, grote volumes, gebruikersgerichte systemen of complexe leveranciersketens betrokken zijn, moeten als eerste worden aangepakt. Werk privacyverklaringen bij en corrigeer de procedures voor het verkrijgen en intrekken van toestemming.

Operationaliseren en bewijzen

Implementeer de vereiste controles, leg de voorwaarden voor controllers en verwerkers vast, organiseer rolgebaseerde trainingen en pas DSAR- en inbreukresponsplannen dagelijks toe. Automatiseer waar mogelijk het bewaren en verwijderen van gegevens. Leg gaandeweg bewijsmateriaal vast, bijvoorbeeld beleid, beoordelingen, toestemmingen, trainingslogboeken, systeemconfiguraties, testresultaten en beslissingsverslagen. Dit ondersteunt interne audits en onderzoeken door toezichthouders.

Cyberday kan deze stappen stroomlijnen met PDPL-ready taken en controles, RoPA/DPIA-sjablonen, op rollen gebaseerde workflows en gecentraliseerde bewijsvergaring. Het koppelt PDPL-werk ook aan andere kaders om dubbel werk te verminderen en rapportage te versnellen.

Continue verbetering en voortgangsbewaking

Naleving van de PDPL is een continu proces, geen eenmalig project. Dit betekent dat er eigenaren moeten worden aangewezen, beoordelingscycli moeten worden vastgesteld en dashboards moeten worden gebruikt om risico's te monitoren en de gezondheid en resultaten te controleren. Bij managementbeoordelingen moeten incidenten, auditbevindingen, risicoposities en verbetermogelijkheden op geplande tijdstippen worden geëvalueerd.

Nuttige statistieken om te monitoren zijn onder andere:

  • DSAR-volumes, naleving van SLA's en tevredenheid
  • Tijd tussen detectie van inbreuk en besluitvorming en kennisgeving
  • Volledigheid van RoPA en beoordelingsfrequentie
  • DPIA-dekking voor risicovolle activiteiten en voortgang van risicobeperkende maatregelen
  • Voltooiing van trainingen en beoordelingsscores per functie
  • Overdrachtsbeoordelingen per bestemming en type vrijwaringsmaatregel
  • Risicobeoordelingen van leveranciers en status van herstelmaatregelen
  • Succespercentages van verwijdering ten opzichte van bewaarschema's

Cyberday continue verbetering met geautomatiseerde herinneringen, dashboards voor de controlestatus en multi-framework mapping. Gecentraliseerd bewijsmateriaal vereenvoudigt interne rapportage en externe beoordelingen.

Waarom PDPL belangrijk is voor cyberweerbaarheid en compliance

Door PDPL operationeel te maken, wordt duidelijk welke persoonsgegevens u bewaart, waar deze naartoe stromen en wie er toegang toe heeft. Die duidelijkheid vermindert de kans op en de impact van inbreuken, versnelt de respons op incidenten en beperkt de verspreiding van gegevens door minimalisatie en strikte regels voor het bewaren van gegevens.

Vanuit zakelijk oogpunt versnelt PDPL-volwassenheid het onboarden van partners, verkort het de beoordeling van beveiliging en privacy en versterkt het het vertrouwen van toezichthouders in bedrijven die actief zijn in het Koninkrijk. Het verbetert de datakwaliteit door duplicaten en verouderde records te verwijderen en biedt een verdedigbaar verhaal wanneer zich incidenten voordoen. De PDPL kan worden beschouwd als een kernelement van operationele modellen voor beveiliging en privacy binnen organisaties.

FAQs

Is PDPL hetzelfde als GDPR?

Ze hebben gemeenschappelijke kernconcepten, zoals hun wettelijke grondslagen, principes, rechten, verantwoordingsplicht en overdrachtsbeperkingen, maar ze zijn niet identiek. Organisaties die actief zijn in Saoedi-Arabië moeten hun programma afstemmen op de definities van de PDPL en de richtlijnen van de lokale toezichthouder, in plaats van GDPR-sjablonen te kopiëren.

Hebben we een functionaris voor gegevensbescherming nodig?

De PDPL verwacht duidelijke verantwoordingsplicht. Veel organisaties zullen daarom een DPO of een gelijkwaardige functie aanstellen. Baseer de beslissing om een DOP aan te nemen op de omvang van de verwerking en het risico; bij activiteiten met een hoog risico is een speciale functie noodzakelijker.

Hoe lang mogen we persoonsgegevens bewaren?

Alleen zo lang als nodig is voor de aangegeven doeleinden of zoals vereist door de wet. Definieer bewaartermijnen op datasetniveau, automatiseer verwijdering waar mogelijk en documenteer uitzonderingen, zoals wettelijke bewaarplichten.

Wanneer is een DPIA vereist?

Wanneer de verwerking waarschijnlijk een hoog risico voor personen met zich meebrengt. Dit kan activiteiten omvatten zoals grootschalige verwerking van gevoelige gegevens, systematische monitoring of het combineren van datasets die het risico aanzienlijk vergroten. DPIA's moeten worden gebruikt voordat belangrijke organisatorische veranderingen worden doorgevoerd of geïmplementeerd.

Moeten we elke inbreuk melden?

Nee. De autoriteiten en soms ook de betrokken personen moeten alleen worden geïnformeerd wanneer er waarschijnlijk schade zal ontstaan. In uw incidentenplan moeten criteria en besluitvormingsprocessen worden vastgelegd om ervoor te zorgen dat u snel en consistent kunt handelen.

Hoe moeten we omgaan met buitenlandse cloudproviders?

Controleer de locaties van gegevens, toegangspaden, beveiligingsmaatregelen voor overdracht en verplichtingen bij incidenten. Zorg ervoor dat contracten de naleving van rechten en veilige verwijdering mogelijk maken, en houd een gedocumenteerde beoordeling bij van de omstandigheden in het land van bestemming.

PDPL met minder inspanning operationaliseren

Als u bezig bent met het opzetten of verder ontwikkelen van uw PDPL-programma, Cyberday u Cyberday sneller vooruitgang te boeken met minder spreadsheets. Gebruik kant-en-klare PDPL-controles, RoPA/DPIA-sjablonen, DSAR- en inbreukworkflows en gecentraliseerd bewijsmateriaal om klaar te zijn voor audits en tegelijkertijd de handmatige overhead te verminderen. Breng alles één keer in kaart en hergebruik het in meerdere frameworks om tijd te besparen.

Start je gratis proefabonnement van 14 dagen

Start vandaag nog je gratis proefabonnement. Geen creditcard nodig. Volledige toegang, geen risico. Op elk moment annuleren.

Gratis proef starten

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Meer artikelen in de categorie

22.12.2025

Inzicht in de wet op de bescherming van persoonsgegevens (PDPL) van Saoedi-Arabië

Begrijp hoe de wetgeving inzake de bescherming van persoonsgegevens in Saoedi-Arabië werkt en hoe deze verschilt van vergelijkbare kaders zoals de AVG.
22.12.2025

Inzicht in het Britse Cyber Assessment Framework 4.0 (CAF 4.0)

Ontdek hoe het Cyber Assessment Framework 4.0 organisaties helpt bij het beheren van cyberrisico's, het versterken van hun veerkracht en het ondersteunen van betere leiderschapsbeslissingen door middel van duidelijke resultaten en praktische beoordelingen.
06.11.2025

Wat is de Cyberbeveiligingswet? Inleiding tot NIS2

Leer wat de Nederlandse Cyberbeveiligingswet (NIS2) vereist, wie eraan moet voldoen en hoe u snel aan de eisen kunt voldoen aan de hand van duidelijke stappen en richtlijnen.
Moeiteloze verbetering van compliance
Breedste kaderbibliotheek in de EU
Uitgebreide ondersteuning

Begin uw reis naar compliance

Gebruik in MS Teams of gebruik je browser met Slack-integratie.
Risicovrij uitproberen. Geen creditcard nodig. Stop op elk moment.

Gratis proef starten
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonenVertrouwen centrum
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenPrivacybeheerBeoordeling van leveranciersInterne audits
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenVertrouwen centrumInhoud bibliotheekGidsenNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid