In de wereld van big data en steeds slimmer wordende software komt er maatschappelijk gezien steeds meer aandacht voor de privacy van internetgebruikers. Met de Algemene Verordening Gegevensbescherming (AVG) worden de wettelijke vereisten voor verwerking van persoonsgegevens flink aangescherpt. Hoe zorg je ervoor dat jouw website, app of software voldoet aan deze nieuwe wetgeving?

In een tijdperk van razendsnelle technologische veranderingen zien zowel start-ups als organisaties zich genoodzaakt om steeds sneller te handelen en steeds meer datagedreven te werk te gaan. De focus op de bedrijfsvoering vernauwt zich daarmee algauw tot enkel technologische vooruitstrevendheid. Dat is een probleem, want met de gigantische hoeveelheden persoonsgegevens die worden verwerkt kan de privacy van internetgebruikers gemakkelijk in het geding komen.‍

Het is als start-up founder of verantwoordelijke van een IT- of innovatieafdeling goed om te weten dat de maatschappelijke aandacht voor privacy zich onlangs heeft vertaald in een herziening van de Wet Bescherming Persoonsgegevens. De nieuwe wet, genaamd de Algemene Verordening Gegevensbescherming (AVG), zorgt voor een uitbreiding en versterking van de privacyrechten van internetgebruikers. Gelukkig heb je nog tot 26 mei 2018 om te voldoen aan de nieuwe wetgeving.

Met de 8 stappen hieronder zorg je ervoor dat in jouw software, app of website de privacyrechten van je gebruikers gewaarborgd zijn.

1. Breng de gegevensverwerkingen in kaart

Maak een schematisch overzicht van alle gegevensverwerkingen in jouw app of software-applicatie. Noteer daarbij waar de gegevens worden bewaard, wat er met deze gegevens gebeurt en hoe deze gegevens beveiligd worden.

Belangrijk is dat je ook in kaart brengt welke persoonsgegevens worden bewaard door externe aanbieders. Denk bijvoorbeeld aan een email service als Mailgun, een database gehost bij Amazon Web Services of een mailinglist bij Mailchimp. Je denkt er wellicht niet direct bij na, maar deze aanbieders verwerken in opdracht van jou persoonsgegevens. Ze vallen daarmee indirect onder jouw verantwoordelijkheid! Wat dit precies betekent? Daarover later meer in stap 7.

2. Bepaal de wettelijke grondslag van je gegevensverwerkingen

Als je persoonsgegevens verwerkt, maak je in feite in meer of mindere mate een inbreuk op iemands privéleven. Althans, zo luidt de rechtsfilosofische redenering achter de bepalingen in de AVG. Dit klinkt heel zwaar, maar waar het om gaat is dat je als start-up of organisatie altijd een wettelijke grondslag moet hebben voor de persoonsgegevens die je verwerkt.

De AVG somt meerdere mogelijke grondslagen op, waarvan je er aan tenminste één moet voldoen:

  • Je gebruiker (de betrokkene) heeft toestemming gegeven voor de verwerking. Bijvoorbeeld door zelf een checkbox aan te vinken waarmee hij of zij toestemming geeft voor de betreffende verwerking. Belangrijk hierbij is dat formuleringen als ‘Door gebruik te maken van onze producten of diensen ga je akkoord met onze voorwaarden’ niet zijn toegestaan. Het geven van toestemming moet namelijk gebeuren op basis van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Houd er dus rekening mee dat je je gebruikers altijd goed (transparant) informeert waarvoor je zijn of haar persoonsgegevens wilt verwerken, en vraag daarvoor vervolgens op transparante en duidelijke manier toestemming.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Je verwerkt bijvoorbeeld gegevens die je nodig hebt voor het bezorgen van een product dat iemand in jouw webshop besteld heeft.
  • De gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting. Zo zijn werkgevers verplicht om voor de fiscus bepaalde persoonsgegevens van werknemers bij te houden.

Naast bovenstaande grondslagen kent de AVG er nog drie, welke gaan over de bescherming van vitale belangen, het algemeen en gerechtvaardigd belang. Deze grondslagen zijn echter voor de meeste start-ups en bedrijven niet bruikbaar. Daarom zijn ze in dit artikel weggelaten.

Belangrijk om te vermelden is dat er een flink aantal aanvullende uitzonderingen zijn voor het verwerken van bijzondere persoonsgegevens. Dat zijn gegevens zoals bijvoorbeeld iemands ras, seksuele voorkeur, politieke opvatting, religie of medische gegevens. Het verwerken van dit soort gegevens is in beginsel verboden.

3. Zorg ervoor dat de rechten van betrokkenen zijn gewaarborgd

De AVG stelt een aantal rechten die de gebruikers van jouw app, software of website hebben. Het is verstandig om al bij het ontwerp rekening te houden met deze rechten. Op die manier voorkom je kostbare wijzigingen aan je app of software in een later stadium van je project.

Recht op informatie

Je gebruikers moeten op de hoogte worden gesteld van het feit dat verwerking van hun persoonsgegevens plaatsvindt of zal plaatsvinden en wat de doeleinden hiervan zijn. De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt. In de regel wordt dit soort informatie in een privacybeleid vastgelegd.

Recht van inzage

Je gebruikers hebben het recht te weten of hun betreffende persoonsgegevens worden verwerkt. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Je moet als aanbieder van een app, software of website de gebruikers en bezoekers een kopie kunnen verstrekken van de persoonsgegevens die worden verwerkt.

Recht op rectificatie

Je gebruikers hebben het recht op rectificatie van persoonsgegevens die onjuist zijn. De rectificatie moet meteen plaatsvinden. Je bent als aanbieder van software, app of website verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt op de hoogte te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid

Je bent als aanbieder verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, de gebruiker zijn toestemming intrekt, bezwaar maakt óf indien zijn persoonsgegevens onrechtmatig verwerkt zijn.

Recht op beperking van de verwerking

Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door jou als aanbieder duidelijk in je database zijn aangegeven, zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de gebruiker hiervan op de hoogte worden gebracht.

Recht op dataportabiliteit

Dit recht houdt in dat je gebruikers van je software of app hun persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm moet kunnen aanbieden. Dit zodat zij deze gegevens bij een andere aanbieder kunnen (laten) onderbrengen. Het idee hierachter is dat een zogenaamde vendor lock-in wordt voorkomen.

Indien technisch mogelijk moet je als aanbieder de gegevens zelfs automatisch kunnen onderbrengen bij de nieuwe aanbieder! De meeste organisaties zijn vandaag de dag helemaal niet voorbereid op de operationele en technische werkzaamheden die bij het recht op dataportabiliteit komen kijken. Je kunt er echter vanuit gaan dat met het toenemende besef van privacy hier meer aandacht voor zal komen. Het is dus goed om er nu al rekening mee te houden bij nieuwe softwareprojecten.

Recht van bezwaar

Volgens dit recht kan een gebruiker vanwege redenen die verband houden met zijn specifieke situatie bezwaar maken tegen de verwerking van hem betreffende persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen. Als een gebruiker bezwaar maakt moet je als aanbieder van je app of software in beginsel de verwerking staken, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. De geautomiseerde besluitvorming is wél toegestaan als deze berust op uitdrukkelijke toestemming van je gebruiker, een overeenkomst of een andere wettelijke bepaling.

4. Houd rekening met Privacy by Design en Privacy by Default

De AVG introduceert verder twee begrippen die jou als aanbieder dwingt apps, software en websites privacyvriendelijk te maken. We leggen ze hieronder uit.

Privacy by design

Privacy by Design stelt dat je als ontwikkelaar tijdens het ontwerpproces al rekening moet houden met de privacy van je gebruikers. Dit kun je doen door gebruik te maken van zogeheten privacy enhancing technologies (PET). Dit is eigenlijk een verzamelnaam voor alle manieren waarop je de privacy binnen je applicatie kunt waarborgen.

Nu je de gegevensverwerkingen in kaart hebt gebracht is het zaak om na te denken over welke maatregelen je kan nemen om de privacy van je gebruikers te waarborgen. Denk aan dataminimalisatie. Dit is het beginsel uit de AVG dat van jou als aanbieder vereist dat er niet méér persoonsgegevens worden verwerkt dan noodzakelijk is. Een webshop mag dus tijdens een bestelproces niet zomaar een geboortedatum bewaren als dat niet noodzakelijk is voor het doel van dat proces.

Zo ook het beginsel opslagbeperking. Op het moment dat je gegevens verwerkt mogen deze niet oneindig lang bewaard worden. Er moet reeds vantevoren een vastgestelde termijn zijn. Na deze termijn dien je de gegevens te verwijderen of tenminste onherkenbaar te maken. Dat kan je doen door bijvoorbeeld de persoonsgegevens van records in je database te anonimiseren.

Privacy by default

Je bent verder als aanbieder verplicht om gebruik te maken van standaardinstellingen die zo privacyvriendelijk mogelijk zijn. Een goed voorbeeld daarvan is hoe Facebook standaard je gedetailleerde profielgegevens en berichten alleen aan je directe vrienden toont. Pas nadat je zelf iets anders instelt wordt er meer informatie over jou openbaar gemaakt.

Om te voldoen aan privacy by default is het goed om bij elke gegevensverwerking te beoordelen welk effect het heeft op de privacy van je gebruikers. Onderzoek of er mogelijkheden zijn om deze (aanvullende) gegevensverwerkingen uit te schakelen en enkel beschikbaar te maken via een instellingenmenu.

5. Zorg voor passende technische en organisatorische beveiligingsmaatregelen

Volgens de AVG ben je als aanbieder van een app software-applicatie of website verplicht om te zorgen voor passende technische en organisatorische maatregelen. Bij technische maatregelen kun je denken aan beveiliging in de architectuur en serveromgeving van je systemen. Bij organisatorische maatregelen gaat het vaak om procedures en draaiboeken voor als er iets fout gaat.

De AVG vereist passende maatregelen. Maar wat is nou eigenlijk passend? Met het woord ‘passend’ wordt bedoeld dat de maatregelen proportioneel moeten zijn. Maar wat proportioneel is verschilt weer van geval tot geval. Zo kan precies dezelfde gegevensverwerking voor twee verschillende start-ups een totaal ander risico met zich meebrengen. Dat leggen we kort even uit:

Twee start-ups sturen een marketing nieuwsbrief naar hun klanten. De ene start-up biedt een managementplatform voor ziekenhuizen. De andere start-up biedt een online tool voor het maken van Instagram foto’s. De marketing nieuwsbrief betreft dezelfde verwerking, maar de risico’s die erbij komen kijken zijn totaal verschillend. Grote hoeveelheden medische gegevens zijn immers een stuk gevoeliger van aard dan eenvoudige Instagram foto’s.

Als start-up of organisatie moet je uiteindelijk zelf tot een passend beveiligingsniveau komen. Dat kan je het beste doen door een risico-analyse te maken. Als organisatie kun je dat doen door een richtlijn zoals bijvoorbeeld de ISO/NEN 27002 te volgen en een extern auditbureau in te schakelen. Ook zijn er voor sommige branches specifiekere richtlijnen. Voor de zorgsector is er bijvoorbeeld de NEN7510.

Als start-up of kleine organisatie is het niet ‘passend’ om kostbare externe auditbureaus in te schakelen om beveiligingsmaatregelen te implementeren. Dat betekent echter niet dat je achterover kunt leunen. Ook kleinere organisaties moeten een passend beveiligingsniveau nastreven. Hier alvast een begin met enkele handvaten:

Organisatorisch

  • Zorg ervoor dat software up-to-date is en patches geïnstalleerd worden.
  • Stel een beleid op omtrent beveiliging en zorg ervoor dat iedereen binnen je organisatie dit kent.
  • Denk aan geheimhouding en leg dit zonodig vast in een overeenkomst.
  • Stel procedures op voor de omgang met incidenten. Denk ook aan de meldplicht datalekken, waarover meer in stap 8 van dit artikel.

Technisch

  • Geef je ontwikkelteam de opdracht om ervoor te zorgen dat je website of web-applicatie beveiligd is tegen de 10 meest voorkomende kwetsbaarheden.
  • Zorg voor een beveiligde verbinding (HTTPS) tussen je server en de gebruikers.
  • Maak automatische back-ups. Dit wordt ondersteund door de meeste hosting-omgevingen.
  • Zorg ervoor dat je persoonsgegevens versleuteld bewaart. De keuze voor een sterk cryptografisch algoritme en sleutel zijn daarbij van belang.
  • Gebruik een server die automatische scaling en failover ondersteunt. Zo garandeer je de beschikbaarheid van je server, ook bij onverwachte drukte.
  • Overweeg het gebruik van intrusion detection systemen.

6. Stel indien nodig een Functionaris Gegevensverwerking aan

De Functionaris Gegevensverwerking is een natuurlijke persoon die als het ware fungeert als interne toezichthouder. Deze persoon is belast met het toezien op de naleving van de AVG en verzorgt alle communicatie met de toezichthouder, de Autoriteit Persoonsgegevens. Van de functionaris gegevensverwerking wordt vereist dat hij een goede kennis heeft van de AVG, de interne informatiesystemen en de genomen beveiligingsmaatregelen.

Niet iedere organisatie hoeft een Functionaris Gegevensverwerking aan te stellen. De AVG stelt in elk geval dat organisaties die stelselmatige en regelmatige observatie van persoonsgegevens (‘monitoring’) tot hun kernactiviteiten rekenen, verplicht zijn tot het aanstellen van een Functionaris Gegevensverwerking. Ook organisaties die het grootschalig verwerken van bijzondere persoonsgegevens tot hun kernactiviteit rekenen zijn verplicht tot het aanstellen van een Functionaris Gegevensverwerking.

De realiteit is natuurlijk dat de digitale producten van veel start-ups en organisaties in toenemende mate allerlei monitoring tools gebruiken, van bijvoorbeeld Hotjar tot Google Analytics en Facebook Pixels. Maar omdat de AVG spreekt over monitoring als kernactiviteit lijkt het er vooralsnog op dat puur het gebruik van dit soort tools er niet meteen voor zorgt dat er een Functionaris Gegevensverwerking moet worden aangesteld.

7. Controleer en sluit verwerkersovereenkomsten

De verwerkersovereenkomst is een overeenkomst tussen jou als aanbieder van een software, app of website, en de verwerker aan de andere kant. De verwerker is degene die in opdracht van jou persoonsgegevens verwerkt. In de verwerkersovereenkomst wordt vastgelegd hoe men met persoonsgegevens moet omgaan. De AVG benoemt daarbij een aantal specifieke punten die in zo’n overeenkomst moeten worden opgenomen, waaronder:

  • de doeleinden van de gegevensverwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • de categorieën van betrokkenen op wie de gegevens zien;
  • het passend beveiligen van de gegevens;
  • het uitvoeren van audits;
  • het na afloop vernietigen of terugleveren van de gegevens aan de verantwoordelijke.

De verwerkersovereenkomst was lang een ondergeschoven kindje in IT-land. Maar met de recentelijk geïntroduceerde bevoegdheid van de Autoriteit Persoonsgegevens om fikse boetes uit te delen is het onze verwachting dat daar verandering in zal komen. De geldboete kan oplopen tot €10 miljoen euro of 2% van de jaaromzet. Het controleren en sluiten van verwerkersovereenkomsten is onder de AVG dus een serieuze zaak.

8. Wees op de hoogte van de Meldplicht Datalekken

Tenslotte kent de AVG een aantal bepalingen die van jou als aanbieder van software of app vereisen dat je volgens een bepaalde manier handelt als je binnen jouw start-up of organisatie een datalek constateert. Onder een datalek wordt overigens meer verstaan dan alleen een gekraakte database! Iedere vorm van onbedoelde toegang tot, of aanpassing van persoonsgegevens valt in principe onder een datalek. Dat kan dus variëren van een kwijtgeraakte USB stick tot onbedoelde wissing van een productie-database.

Zodra je een datalek in jouw start-up of organisatie constateert, ben je verplicht dit binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Lukt dat niet, dan moet je in elk geval een verklaring afgeven waarom je meer tijd nodig hebt. Verder is het zo dat je je gebruikers moet inlichten als het waarschijnlijk is dat zij hinder of negatieve gevolgen van het datalek zullen ondervinden. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moeten aan je gebruikers gemeld worden.

Net als de verwerkersovereenkomst is de Meldplicht Datalekken een serieuze zaak. Het is dan ook aanbevolen om er (ook met het oog op passende organisatorische maatregelen) een intern procedure voor op te stellen en deze intern onder medewerkers te verspreiden.

Disclaimer: Dit artikel is bedoeld om start-ups en organisaties een grof idee te geven over wat de nieuwe Algemene Verordening Gegevensbescherming inhoudt. Het artikel is geenszins bedoeld om juridische keuzes op te baseren. Onze IT-projecten worden desgewenst begeleid met een extern aangetrokken jurist, en we raden je als lezer aan om hetzelfde te doen.