Zodra de AVG/GDPR op 25 mei van kracht wordt, bent u wettelijk verplicht om privacybescherming in de software in te bouwen. De verantwoordelijkheid hiervoor ligt in veel gevallen bij de klant. Hij is namelijk ‘gegevensverantwoordelijke’ en bepaalt het doel en de middelen van de verwerking van persoonsgegevens. De klant zal de vraag echter vaak terugleggen bij de leverancier Wat betekent de AVG voor uw software en welke stappen kunt u nemen?
De gegevensverantwoordelijke moet volgens de AVG passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Dit geldt zowel bij de bepaling van de verwerkingsmiddelen (denk aan software) als bij de verwerking zelf. De maatregelen moeten ervoor zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. De maatregelen moeten er ook voor zorgen dat persoonsgegevens ‘in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt’.
Privacy by default en design
Persoonsgegevens dient u te beschermen door middel van ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Om privacy by default en design mogelijk te maken, moet privacybescherming een integraal deel zijn van de ontwerpkeuzes en de inrichting van software. Al in de architectuur moet vastliggen dat niet meer gegevens worden verwerkt dan noodzakelijk voor het doel en dat ze niet langer dan noodzakelijk worden bewaard. Daarnaast moet het voor betrokkenen mogelijk zijn om hun persoonsgegevens in te zien, te corrigeren en te wissen.
Een belangrijke rol om privacy by design te bereiken, is weggelegd voor beveiligingsmaatregelen. Denk daarbij aan acces control door het toekennen van gedifferentieerde autorisaties van onderscheiden gebruikers (need to know/need to access), maar ook aan algemene maatregelen zoals firewalls en encryptie van data of anonimisering ervan. De verplichting tot privacy by design geldt niet alleen voor nieuw ontwikkelde software, maar ook voor bestaande software. Applicaties die al sinds jaar en dag draaien moeten dus kritisch worden doorgelicht om te zien of deze voldoen aan de nieuwe regels rond privacybescherming. Een potentieel kostbaar karweitje, omdat achteraf aanpassen vaak vele malen duurder is.
Wat te doen?
Afnemers van software dienen zich bij de uitvraag of keuze voor software te beraden op de wijze waarop privacy by design voor hun organisatie en werkwijze wordt vertaald naar de software. Voor praktische handvatten kunt u bijvoorbeeld aansluiten bij publicaties als de Handleiding Privacy by Design van het Centrum voor Informatiebeveiliging en Privacybescherming. Ook bestaande applicaties moeten langs de maatlat worden gelegd.
Ook leveranciers doen er goed aan zich te beraden op de vraag of hun software AVG-proof is. Daarnaast geldt dat ontwikkelaars zich de wijze van softwareontwikkeling volgens de principes van privacy by design eigen dienen te maken. Ook hebben ze awareness en kennis nodig om software te maken die voldoet aan de eisen van hun klant en van de AVG.