Al in de ontwerpfase van software en (ICT)-processen moet volgens de Algemene Verordening Gegevensbescherming (AVG) rekening worden gehouden met de verwerking persoonsgegevens. Dit heet Privacy by Design. Daarnaast moeten volgens de AVG de standaardinstellingen zo privacyvriendelijk mogelijk zijn: Privacy by Default.

Wat betekenen deze begrippen concreet in de praktijk van software-ontwikkeling?


Privacy by Design: juridische basis en praktijk

Artikel 25 lid 1 van de AVG gaat over gegevensbescherming door middel van ontwerp en standaardinstellingen. Het vereist dat organisaties passende technische en organisatorische maatregelen nemen om de beginselen van gegevensbescherming effectief toe te passen, zoals minimale gegevensverwerking. Bij het nemen van maatregelen zal rekening moeten worden gehouden met onder meer de uitvoeringskosten, het doel van de verwerking en de waarschijnlijkheid en ernst van de risico’s. Deze maatregelen kunnen het best in de beginstadia van softwareontwikkeling worden meegenomen, want hoe later dit nog moet worden aangepast hoe meer werk dit vaak is.

Dit betekent juridisch gezien onder meer dat:

  • Een verwerkingsgrondslag en doelbinding altijd aanwezig moeten zijn;

  • Alleen die persoonsgegevens mogen worden verwerkt die noodzakelijk zijn (dataminimalisatie);

  • Rechten van betrokkenen (zoals inzage, correctie en verwijdering) technisch mogelijk moeten zijn;

  • Er aantoonbaar moet zijn nagedacht over beveiliging (zoals encryptie, logging en toegangsbeheer).


Praktische voorbeelden:

Software op een bepaalde manier ontwikkelen waardoor persoonsgegevens automatisch worden gepseudonimiseerd, is een voorbeeld van Privacy by design.

Een ander voorbeeld is dat een HR-applicatie voor verlofregistratie geen burgerservicenummers van medewerkers hoeft op te slaan. Door dit in het functioneel ontwerp uit te sluiten, voorkomt u onnodige risico’s. Ook kan worden ingebouwd dat medewerkers bijvoorbeeld alleen de gegevens van hun eigen team kunnen zien (rolgebaseerde toegang).


Privacy by Default: juridische basis en praktijk

Artikel 25 lid 2 AVG schrijft voor dat standaardinstellingen de privacy van de gebruiker moeten beschermen. De gebruiker moet actief kunnen kiezen voor minder privacyvriendelijke opties, niet andersom.

Op grond van artikel 25 lid 2 zal er bij verwerking van persoonsgegevens op het volgende moeten worden gelet:

  • Zo min mogelijk persoonsgegevens verzamelen;

  • De persoonsgegevens mogen vervolgens niet verder worden verwerkt dan noodzakelijk;

  • De verzamelde persoonsgegevens niet langer worden bewaard dan nodig;

  • De gegevens mogen niet voor een onbeperkt aantal personen toegankelijk worden gemaakt.

Bij software ontwikkeling is het dus van belang dat ervan moet worden uitgegaan dat instellingen voor dataverzameling, zichtbaarheid en bewaartermijnen standaard op het minimaal noodzakelijke niveau staan.

Praktische voorbeelden van Privacy by default?

Een webshop mag niet standaard een vinkje plaatsen voor het ontvangen van marketingmails – de klant moet dit zelf aanvinken (opt-in). Een fitness-app die locatiegegevens gebruikt, moet deze standaard uitgeschakeld hebben, tenzij de gebruiker expliciet toestemming geeft.

Instrumenten om naleving te waarborgen

  • Functioneel ontwerp: leg al in de ontwerpfase vast welke data nodig zijn en hoe deze beveiligd worden.

  • Data Protection Impact Assessment (DPIA): verplicht bij verwerkingen met hoog risico, bijvoorbeeld een app die gezondheidsdata verwerkt. Dit helpt risico’s en mitigerende maatregelen in kaart te brengen.

  • Verwerkersovereenkomsten: borg dat ook binnen concernstructuren of met leveranciers de regels worden nageleefd.

  • Documentatieplicht (accountability): u moet kunnen aantonen dat Privacy by Design & Default zijn toegepast, bijvoorbeeld door projectdocumentatie en contractafspraken.

Waarom is dit belangrijk?

De Autoriteit Persoonsgegevens kan boetes opleggen als u artikel 25 AVG niet naleeft. Zo zijn er voorbeelden van organisaties die een boete kregen omdat klanten onnodig veel gegevens moesten invoeren bij het aanmaken van een account. Ook is dit onderwerp onlangs weer in het nieuws geweest door het datalek bij Clinical Diagnostics. De vraag bij dit datalek is of de verschillende persoonsgegevens die het laboratorium verwerkte, wel allemaal noodzakelijk waren en of dus is voldaan aan de verplichting van dataminimalisatie. Maar minstens zo belangrijk: software die vanaf de basis privacyvriendelijk is ingericht, straalt vertrouwen uit naar klanten en werknemers.

Conclusie

Privacy by Design & Default zijn geen abstracte AVG-beginselen, maar concrete verplichtingen die direct doorwerken in software-ontwikkeling. Door vanaf het eerste ontwerpstadium privacyvriendelijke keuzes te maken én deze te documenteren, voorkomt u juridische problemen en ontwikkelt u toekomstbestendige systemen.


Wilt u weten hoe u deze beginselen in uw organisatie kunt implementeren of wilt u laten toetsen of uw applicatie voldoet aan artikel 25 AVG? Het team van ervaren specialisten bij Legalz staat klaar om u te adviseren.

Neem vandaag nog vrijblijvend contact op en bespreek uw situatie.
Klik op onderstaande button en wij nemen contact met u op. Of bel ons direct op telefoonnummer 010-2290646.