Privacy by design binnen AVG. Wat houdt het in voor software ontwikkelaars?

Sinds 25 mei 2018 dient ieder bedrijf dat werkt met persoonsgegevens en dat actief is in de Europese Unie compliant te zijn met ‘The General Data Protection Regulation’ (GDPR) wetgeving. In het Nederlands beter bekend als de ‘Algemene Verordening Gegevensbescherming’ (AVG). Deze nieuwe wet- en regelgeving bevat veel verplichtingen voor verwerkingsverantwoordelijken en verwerkers. Daarnaast zijn er in de AVG wet regels opgenomen die specifiek van invloed zijn op software ontwikkeling. Zo wordt in artikel 25 van de wet namelijk gesproken over ‘privacy by design’ en ‘privacy by default’. Wat vaststaat is dat beide begrippen veel impact hebben op software ontwikkelaars. Maar wat betekenen ze nu eigenlijk precies en welke consequenties brengen ze voor jou als software ontwikkelaar met zich mee?

De Algemene Verordening Gegevensbescherming verplicht organisaties om uiterst zorgvuldig en verantwoord om te gaan met persoonsgegevens die zij verwerken, zodat klanten en burgers erop kunnen vertrouwen dat hun privacy gewaarborgd blijft. Bedrijven die niet voldoen aan de AVG wet- en regelgeving zijn strafbaar en riskeren hoge boetes. Om aan deze nieuwe AVG wet te kunnen voldoen zijn organisaties genoodzaakt om technische en organisatorische maatregelen te treffen en beleidswijzigingen door te voeren. De nieuwe regels kunnen dus grote impact hebben op de bedrijfsvoering.

De Algemene Verordening Gegevensbescherming dwingt privacy by design en privacy by default af. Privacy by design houdt concreet in dat er bij de ontwikkeling van een nieuw product of dienst, door zowel de software ontwikkelaar alsmede door de klant, vooraf nagedacht dient te worden over privacy- en security aspecten, zodat persoonsgegevens te allen tijde goed beschermd worden. Privacy by default kan weer gezien worden als een onderdeel van privacy by design. Hierbij dient ervoor gezorgd te worden dat standaardinstellingen altijd zo privacy vriendelijk mogelijk worden ingeregeld en dat persoonsgegevens in geen enkel geval standaard zichtbaar zijn. Bij het omarmen van beide begrippen dient dus aandacht te zijn voor verplichte technische en organisatorische privacy verhogende maatregelen.

Een belangrijk aspect waartoe privacy by design voor de software ontwikkelaar verplicht is, is het rekening houden met dataminimalisatie. Dat betekent dat uitsluitend die gegevens verwerkt worden die strikt noodzakelijk zijn voor het doel van de verwerking. Het is dus zaak dat je als software ontwikkelaar, in samenwerking met je klant, al bij de ontwikkeling van nieuwe software nadenkt over de doelomschrijving. Vervolgens dien je ervoor te zorgen dat er geen andere gegevens in het systeem kunnen worden opgeslagen dan enkel de gegevens die noodzakelijk zijn om het doel te behalen. Zo wordt een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afgedwongen.

Voor software ontwikkelaars is het met het oog op privacy by design van groot belang dat bij de ontwikkeling van nieuwe producten of diensten privacy risico’s op tijd worden geconstateerd. Wanneer je deze risico’s namelijk niet op tijd vaststelt kan dit later tot kostbare en tijdrovende aanpassingen leiden. Het is dus stukken goedkoper en efficiënter om deze zaken bij de ontwikkeling van de software al in kaart te brengen. Vraag jezelf daarom onder andere tijdig af:

Ben je naar aanleiding van het lezen van dit artikel benieuwd naar hoe je binnen jouw organisatie privacy by design en privacy by default kunt omarmen? Of vraag je jezelf af of jouw organisatie voldoet aan de wet- en regelgeving op het gebied van AVG? Laat dan een ‘quick scan’ uitvoeren. Daarmee wordt in een dagdeel getoetst in hoeverre jouw organisatie voldoet aan de Algemene Verordening Gegevensbescherming. Na afloop ontvang je van ons een advies op maat en praktische implementatietips waarmee je direct aan de slag kunt. Voor meer informatie, neem gerust contact met ons op!