U biedt uw software vanuit de cloud aan. In uw SaaS-oplossing verwerkt u ook persoonsgegevens. Dat is vrijwel onvermijdelijk. Alleen, hoe is dat geregeld qua privacy? Met de hoge boetes die de Autoriteit Persoonsgegevens u of uw klant op kan leggen in het kader van de AVG, is het belangrijk om dat goed geregeld te hebben. Daarom geven we hieronder een korte opsomming van de drie belangrijkste aandachtspunten rondom privacy bij het aanbieden van SaaS-oplossingen.

Uw SaaS-oplossing inclusief privacy by design & privacy by default

Persoonsgegevens dient u te beschermen door middel van ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Om privacy by default en privacy by design mogelijk te maken, moet privacybescherming een integraal deel zijn van de ontwerpkeuzes en de inrichting van software. Al in de architectuur moet vastliggen dat niet meer gegevens worden verwerkt dan noodzakelijk voor het doel en dat ze niet langer dan noodzakelijk worden bewaard. Daarnaast moet het voor betrokkenen mogelijk zijn om hun persoonsgegevens in te zien, te corrigeren en te wissen.

Een belangrijke rol om privacy by design te bereiken, is weggelegd voor beveiligingsmaatregelen. Denk daarbij aan acces control door het toekennen van gedifferentieerde autorisaties van onderscheiden gebruikers (need to know/need to access), maar ook aan algemene maatregelen zoals firewalls en encryptie van data of anonimisering ervan.

Stel een verwerkersovereenkomst op!

Als de verwerking van persoonsgegevens aan u wordt uitbesteed, dient u schriftelijk een verwerkersovereenkomst te sluiten. De verwerkersovereenkomst bevat minstens een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen. Legalz heeft voor u de checklist verwerkersovereenkomst opgesteld, waarin u de vereisten vindt die de AVG stelt aan deze overeenkomst. Het regelen van de onderwerpen specifiek benoemd in de AVG is verplicht voor de verwerkingsverantwoordelijke en de verwerker. De partijen hebben echter een grote mate van contractsvrijheid bij het invulling geven aan deze onderwerpen.

Protocol rondom datalekken

Zodra u vermoedt dat er sprake is (geweest) van een datalek, moet u actie ondernemen. De verwerkingsverantwoordelijke, oftewel de organisatie of persoon verantwoordelijk voor de verwerking van persoonsgegevens, moet mogelijk een melding doen bij de Autoriteit Persoonsgegevens van het datalek. Als u als verwerker van persoonsgegevens een datalek ontdekt, dan dient u dit direct te melden bij de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke moet zelf de afweging maken of er een melding aan de AP of de betrokken gemaakt wordt.

Zeker weten dat de privacy goed geregeld is?

Natuurlijk zijn er meer zaken rond privacy die spelen bij SaaS. Denk aan adequate (op de dienstverlening afgestemde) privacy statements,  de vereiste beveiligingsmaatregelen, compliance met specifieke wet- en regelgeving (bijv. voor de zorgsector) en alle complicaties die spelen rond de uitonderhandeling van verwerkersovereenkomsten. Wilt u sparren over de eisen die de AVG stelt aan uw SaaS-oplossing? Neem direct contact op met een ICT-jurist van Legalz of bekijk wat wij nog meer voor u kunnen betekenen op het gebied van de AVG.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.