Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Maak uw software AVG/GDPR-proof

Computable Expert

Robert Grandia
Advocaat, ICT-Advocatenkantoor Legalz. Expert van Computable voor het topic Management.

Zodra de AVG/GDPR op 25 mei van kracht wordt, bent u wettelijk verplicht om privacybescherming in de software in te bouwen. De verantwoordelijkheid hiervoor ligt in veel gevallen bij de klant. Hij is namelijk ‘gegevensverantwoordelijke’ en bepaalt het doel en de middelen van de verwerking van persoonsgegevens. De klant zal de vraag echter vaak terugleggen bij de leverancier Wat betekent de AVG voor uw software en welke stappen kunt u nemen?

De gegevensverantwoordelijke moet volgens de AVG passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Dit geldt zowel bij de bepaling van de verwerkingsmiddelen (denk aan software) als bij de verwerking zelf.  De maatregelen moeten ervoor zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. De maatregelen moeten er ook voor zorgen dat persoonsgegevens 'in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt'.

Privacy by default en design

Persoonsgegevens dient u te beschermen door middel van ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Om privacy by default en design mogelijk te maken, moet privacybescherming een integraal deel zijn van de ontwerpkeuzes en de inrichting van software. Al in de architectuur moet vastliggen dat niet meer gegevens worden verwerkt dan noodzakelijk voor het doel en dat ze niet langer dan noodzakelijk worden bewaard. Daarnaast moet het voor betrokkenen mogelijk zijn om hun persoonsgegevens in te zien, te corrigeren en te wissen.

Een belangrijke rol om privacy by design te bereiken, is weggelegd voor beveiligingsmaatregelen. Denk daarbij aan acces control door het toekennen van gedifferentieerde autorisaties van onderscheiden gebruikers (need to know/need to access), maar ook aan algemene maatregelen zoals firewalls en encryptie van data of anonimisering ervan. De verplichting tot privacy by design geldt niet alleen voor nieuw ontwikkelde software, maar ook voor bestaande software. Applicaties die al sinds jaar en dag draaien moeten dus kritisch worden doorgelicht om te zien of deze voldoen aan de nieuwe regels rond privacybescherming. Een potentieel kostbaar karweitje, omdat achteraf aanpassen vaak vele malen duurder is.

Wat te doen?

Afnemers van software dienen zich bij de uitvraag of keuze voor software te beraden op de wijze waarop privacy by design voor hun organisatie en werkwijze wordt vertaald naar de software. Voor praktische handvatten kunt u bijvoorbeeld aansluiten bij publicaties als de Handleiding Privacy by Design van het Centrum voor Informatiebeveiliging en Privacybescherming. Ook bestaande applicaties moeten langs de maatlat worden gelegd. 

Ook leveranciers doen er goed aan zich te beraden op de vraag of hun software AVG-proof is. Daarnaast geldt dat ontwikkelaars zich de wijze van softwareontwikkeling volgens de principes van privacy by design eigen dienen te maken. Ook hebben ze awareness en kennis nodig om software te maken die voldoet aan de eisen van hun klant en van de AVG.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder


Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-03-29T13:38:00.000Z Robert Grandia
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.