Thailand · PDPA 2019WordPress-hosting met PDPA-(Thailand)-plugin ingebouwd in het platform.
Expliciete toestemming, privacyportaal, workflow voor data subject requests en ondertekende DPA — afgehandeld door Yovale's compliance-MU-plugin. De PDPA raakt elk bedrijf dat goederen, diensten of tracking aanbiedt aan mensen in Thailand, ongeacht waar de site wordt gehost. Yovale regelt dat voor je op elk plan.
We gebruiken cookies en vergelijkbare tools om verkeer te meten en de site te verbeteren. Onder de PDPA van Thailand kies je wat je toestaat. Niet-essentiële scripts starten pas nadat je toestemming geeft.
Zes verplichtingen die je moet nakomen.
De Personal Data Protection Act B.E. 2562 (2019), sinds 1 juni 2022 van kracht in Thailand en gehandhaafd door de PDPC Thailand, geeft Thaise betrokkenen afdwingbare rechten over hun persoonsgegevens. De wet werkt extraterritoriaal: als je goederen of diensten aanbiedt aan mensen in Thailand, of hun gedrag volgt, val je onder de PDPA — ook als je bedrijf buiten het land zit. Sterk geïnspireerd op de GDPR, maar met strengere toestemmingsregels voor gevoelige gegevens.
- 01
Expliciete toestemming
Bezoekers moeten opt-in geven VOORDAT je analytics, ad-pixels of niet-essentiële scripts laadt. De toestemming moet vrij, specifiek, geïnformeerd en aantoonbaar zijn. Gevoelige gegevens (gezondheid, biometrie, religie, strafblad) vragen om een aparte expliciete toestemming.
- 02
Rechtsgrond en doelbinding
Elke verwerking heeft een vastgelegde rechtsgrond nodig onder sectie 24 en 26 van de PDPA. Je vermeldt het doel bij verzameling en gebruikt de data niet later voor losstaande doelen.
- 03
Rechten van betrokkenen
Inzage, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid, bezwaar en intrekking van de toestemming. Thaise betrokkenen kunnen deze rechten schriftelijk of elektronisch uitoefenen; je hebt 30 dagen om te reageren.
- 04
Meldplicht datalekken binnen 72 uur
Meld een datalek binnen 72 uur na kennisname bij de PDPC Thailand. Als het lek waarschijnlijk een hoog risico voor de betrokkene oplevert, moet je de getroffenen ook zonder onnodige vertraging informeren.
- 05
DPO-aanstelling voor grote verwerkers
Een Data Protection Officer is verplicht zodra kernactiviteiten grootschalige verwerking, regelmatige systematische monitoring of verwerking van gevoelige gegevens omvatten. De DPO is het aanspreekpunt voor de PDPC Thailand en voor betrokkenen.
- 06
Regels voor grensoverschrijdende doorgifte
Doorgiften van persoonsgegevens buiten Thailand vragen om een passend beschermingsniveau, expliciete toestemming, modelcontractbepalingen, bindende bedrijfsvoorschriften of een ander rechtmatig mechanisme onder de PDPA-melding voor grensoverschrijdende doorgiften.
Ingebouwd in het platform. Geen plugin die je installeert.
Yovale levert PDPA-(Thailand)-compliance als een ondertekende must-use plugin — onderdeel van de hosting zelf, geen iets dat je installeert vanuit de WordPress-repository. Hij heeft een vastgepinde versie, wordt opgehaald uit R2 met SHA-256-verificatie en bij provisioning in een per-site bind-gemounte mu-plugins-directory geplaatst. Updates lopen via hetzelfde kanaal als je hosting-updates.
Banner voor expliciete toestemming
Geo-bewust. Bezoekers uit Thailand zien expliciete opt-in-flows die voldoen aan de PDPA, met een aparte prompt voor gevoelige categorieën. GDPR-, CCPA-, DPDPA- en PIPL-bezoekers krijgen elk hun eigen variant. Render in 8 talen. In het dashboard configureerbaar.
Privacyportaal
/.well-known/privacy op elke Yovale-site. Thaise betrokkenen bekijken, exporteren, beperken of verwijderen hun gegevens zonder support-ticket. Elk verzoek komt binnen in het Compliance-tabblad van het dashboard met een 30-dagen-SLA-timer.
Audit log
Elke toestemming die wordt gegeven, ingetrokken of aangepast wordt op de Cloudflare edge-worker-laag gelogd. Onveranderlijk, opvraagbaar, bewaard over de PDPA-verjaringstermijn zodat je bewijs hebt als de PDPC Thailand erom vraagt.
Ondertekende DPA
Vooraf ondertekende verwerkersovereenkomst volgens het PDPA-verantwoordelijke-verwerker-model. Bevat elke sub-verwerker (Cloudflare, Anexia, R2), datastromen, beveiligingsmaatregelen en de 72-uurs meldplicht. PDF-download voor je administratie.
Waarom infrastructuur een plugin verslaat.
Typische WordPress-PDPA-plugin
- Voegt 200-500ms toe aan elke pageload (banner-JS, cookie-scan, DB-writes)
- Slaat toestemmingen op in wp_options — traag, ongetypeerd, breekt met object caching
- Updaten via wp-admin — jij onderhoudt het, jij breekt het, jij debugt de conflicten
- Kost $49-119/jaar per site (Complianz, CookieBot, regionale Thaise aanbieders)
- Breekt bij een hosting-migratie; toestemmingsgeschiedenis verdwijnt
De ingebouwde aanpak van Yovale
- 0ms latency — de toestemmingsstaat wordt op de edge worker berekend en in de CDN gecached
- Audit log in een aparte database, opvraagbaar, blokkeert nooit het renderen van een pagina
- Updates lopen via het platform — je ziet ze niet, je breekt ze niet
- Inbegrepen in elk plan ($149 / $249 / $499 per jaar), geen compliance-kosten per site
- Reist altijd mee met je site — de toestemmingsgeschiedenis is van jou en blijft exporteerbaar
14 regelgevingen. één toggle per stuk. allemaal automatisch.
- Expliciete toestemming voor verwerking
- Rechtsgrond onder sectie 24 en 26
- Meldplicht datalek binnen 72 uur bij de PDPC Thailand
- Recht op verwijdering en intrekking van de toestemming
- Mechanisme voor grensoverschrijdende doorgifte
PDPA (Thailand) + Yovale, beantwoord.
Mijn bedrijf zit niet in Thailand — geldt de PDPA toch?
Als je goederen of diensten aanbiedt aan mensen in Thailand, of hun gedrag volgt (analytics, ad-targeting, retargeting): ja. Sectie 5 van de PDPA geeft de wet een extraterritoriale reikwijdte, vergelijkbaar met GDPR-artikel 3. Het maakt niet uit waar je bedrijf, je server of je team zich bevindt.
Hoe verschilt de PDPA van de GDPR?
De PDPA is sterk geïnspireerd op de GDPR — verantwoordelijke en verwerker, rechten van betrokkenen, meldplicht datalekken, DPO-aanstelling — dus de meeste reflexen blijven gelden. Belangrijkste verschillen: expliciete toestemming is in meer situaties vereist, gevoelige gegevens vragen om een aparte expliciete toestemming en sancties omvatten administratieve boetes tot THB 5 million plus strafrechtelijke maatregelen tot één jaar gevangenisstraf.
Heb ik een Data Protection Officer nodig?
Een DPO is verplicht als je kernactiviteiten grootschalige verwerking, regelmatige systematische monitoring van betrokkenen of gevoelige persoonsgegevens (gezondheid, biometrie, religie, afkomst, strafblad) omvatten. Voor de meeste kleine WordPress-sites is dit niet nodig, voor een Thais e-commerce- of zorgplatform wel.
Werkt dit ook voor niet-Thaise bezoekers?
Ja. Het compliance-systeem is geo-bewust. Bezoekers uit Thailand zien PDPA-flows met expliciete opt-in. EU-bezoekers zien GDPR-opt-in-flows. US-bezoekers zien CCPA-opt-out-flows. Dezelfde hosting handelt elke regelgeving automatisch af — geen extra config per regio.
Wat gebeurt er bij een verzoek vanuit Thailand?
Bezoekers handelen de meeste verzoeken zelf af via het privacyportaal op /.well-known/privacy op je domein. Verzoeken die menselijke beoordeling vragen (specifieke verwijdering, complexe inzageverzoeken, beperking van de verwerking) zie je in het Compliance-tabblad van je dashboard met een 30-dagen-SLA-timer die aansluit op het PDPA-reactietermijn.
Sluit de DPA aan op het PDPA-verantwoordelijke-verwerker-model?
Ja. De vooraf ondertekende verwerkersovereenkomst staat in het dashboard als PDF-download. Wij staan als verwerker vermeld, jij bent de verantwoordelijke. De DPA dekt elke sub-verwerker (Cloudflare, Anexia, R2), de 72-uurs meldplicht richting de PDPC Thailand en de toegepaste beveiligingsmaatregelen.
Zet een PDPA-conforme WordPress-site live in 60 seconden.
Elke Yovale-site is PDPA-klaar vanaf het moment van deploy. Geen plugin installeren. Geen DPA achterna jagen. Geen banner configureren. Start de Growth-proef en bekijk je eerste compliance-dashboard.