De AVG verplicht u om privacybescherming in software in te bouwen. Privacybescherming dient dan ook een integraal onderdeel te zijn van de ontwerpkeuzes en de inrichting van applicaties en websites. Maar hoe doet u dat eigenlijk? In deze blog de 6 stappen om privacyvriendelijke apps en websites te ontwikkelen.

Wat zegt de AVG over softwareontwikkeling?

Privacybescherming moet volgens de AVG verplicht in de software worden ingebouwd. Persoonsgegevens dienen te worden beschermd door middel van ontwerp (privacy by design) en door standaardinstellingen met het uitgangspunt van minimale verwerking (privacy by default). De verantwoordelijkheid hiervoor ligt in veel gevallen bij de afnemer van de software. De afnemer is namelijk meestal ‘verwerkingsverantwoordelijke’ en bepaalt het doel en de middelen van de verwerking van persoonsgegevens.

In de praktijk legt de afnemer de vraag over privacybescherming vaak terug bij de ontwikkelaar of leverancier van zijn of haar software, platform, website of app. Niet vreemd, maar het ontslaat de afnemer ook niet van zijn of haar verantwoordelijkheid. Hoe zorg je dan dat een website of applicatie ook echt AVG-proof wordt ontwikkeld?

6 stappen voor privacyvriendelijke apps en sites

De Franse privacytoezichthouder CNIL heeft eerder al een speciale Developer’s Guide gemaakt voor het ontwikkelen van AVG-proof software. Daarbij heeft de toezichthouder 6 stappen geformuleerd die helpen bij het laten ontwikkelen van privacyvriendelijke apps en websites.

1. Creëer AVG-bewustzijn

Het is verstandig om één persoon verantwoordelijk te maken voor het toezicht op de naleving van de AVG-regels. Heeft uw organisatie een functionaris gegevensbescherming (FG) aangewezen? Betrek hem of haar dan in het ontwikkelproject om de persoonsgegevens te beschermen en om de privacywetgeving na te leven.

2. In kaart brengen van gegevensverwerking

De meeste applicaties en websites verwerken op een of andere wijze persoonsgegevens. Zorg dat u deze voorafgaand aan het ontwikkelproces nauwkeurig in kaart brengt. Dit doet u bijvoorbeeld in een (in veel gevallen wettelijk verplicht) verwerkingsregister. Dit register bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden.

Wees alert!

Persoonsgegevens bevinden zich soms op onverwachte plekken, denk aan serverlogboeken en cachebestanden.

3. Prioriteer de vereiste acties

Heeft u het verwerkingsregister ingevuld? Bepaal dan aan de hand hiervan de acties die u moet nemen om te voldoen aan de AVG en prioriteer de aandachtspunten met betrekking tot de risico’s voor betrokkenen. Denk daarbij onder meer aan:

  • de noodzaak en het type gegevens dat door de software wordt verzameld en verwerkt;

  • de rechtsgrond waarop uw gegevensverwerkingen zijn gebaseerd;

  • de informatievermeldingen van de software of applicatie;

  • de voorwaarden voor het uitoefenen van rechten; en

  • de maatregelen die zijn genomen om uw verwerking te beveiligen.

4. Zet in op risicobeheersing

Ontdekt u dat de verwerking van (bepaalde) persoonsgegevens waarschijnlijk een hoog privacyrisico voor betrokkenen met zich meebrengt? Dan is het noodzakelijk dat u die risico’s op passende wijze beheerst. Dit doet u met een (bij een hoog privacyrisico verplichte) data protection impact assessment (DPIA).

Met een DPIA brengt u vooraf privacyrisico’s in kaart. Daarnaast geeft u aan waarom de beoogde verwerkingen noodzakelijk zijn en toont u aan welke maatregelen u treft om de risico’s aan te pakken.

5. Zorg voor gedegen interne procedures

Om naleving van de AVG tijdens het volledige ontwikkelproces en erná te garanderen, zijn goede interne procedures een must. Hiermee toont u aan dat u rekening houdt met gegevensbescherming in alle aspecten van uw project en bij alle gebeurtenissen die zich kunnen voordoen. Denk aan een procedure rondom datalekken, security incidenten en voor aanvragen van betrokkenen rondom het inzien, wijzigen en verwijderen van persoonsgegevens.

6. Documenteer het ontwikkelproces zorgvuldig

Zorg tijdens de ontwikkelfase dat alle uitgevoerde acties worden gedocumenteerd en geproduceerde documenten zorgvuldig worden beheerd. Zorg ook dat alle documenten regelmatig geüpdatet worden, zodat de inhoud ervan consistent is met de functies die in uw programma zijn geïmplementeerd.

Zeker weten dat u niks mist?

Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox. Zo blijft u op de hoogte van deze en andere ontwikkelingen op het gebied van ICT recht.