Direct naar content

Hoe ontwikkelen we privacy- en AVG-proof software?

privacy software
Britt Gommers 30 oktober 2024

Er komt veel kijken bij het ontwikkelen van software. De gebruiksvriendelijkheid, het budget, het design en security zijn allemaal factoren waar goed over wordt nagedacht. Daarnaast dient ook privacybescherming een integraal onderdeel te zijn van een applicatie. Sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) is het verplicht om privacybescherming in de software te bouwen. Naast mogelijke boetes, worden gebruikers steeds mondiger als het om hun privacy gaat. Des te meer reden dus om privacy serieus te nemen. De hamvraag is dan natuurlijk hoe wij zorgen dat jouw software privacy- en AVG-proof is. We leggen het je uit!

Waarom is de AVG relevant voor maatwerk software?

Maatwerk software is specifiek afgestemd op de behoeften van een organisatie en bevat vaak functionaliteiten die persoonlijke gegevens verwerken. Om de privacy en rechten van gebruikers te waarborgen moet ook maatwerk software voldoen aan de AVG. Dit houdt in dat er adequate beveiligingsmaatregelen moeten worden getroffen, transparantie over gegevensverwerking moet worden geboden, en dat gebruikers toegang moeten hebben tot hun gegevens en het recht hebben om deze te laten corrigeren of verwijderen.

Zes privacy beginselen waar je rekening mee moet houden

De AVG bevat zes privacybeginselen waaraan je moet voldoen als je persoonsgegevens verwerkt. Dus ook bij het ontwikkelen van maatwerk software.

Rechtmatigheid:

Voor het gebruik van persoonsgegevens in software moet er een geldige reden zijn, gebaseerd op één van de zes wettelijke grondslagen van de AVG. Dit kan bijvoorbeeld zijn: toestemming van de gebruiker, het uitvoeren van een overeenkomst, het voldoen aan een wettelijke verplichting, of een gerechtvaardigd belang van de organisatie. (De grondslagen vitaal belang en openbaar gezag zijn vooral van toepassing op overheidsinstellingen.) Het vermelden van deze grondslag is belangrijk en hoort duidelijk vermeld te worden in de privacyverklaring die bij de software zichtbaar is.

Doelbinding:

Het gebruik van persoonsgegevens in de software moet duidelijk en vooraf zijn vastgelegd en mag alleen voor een specifiek, gerechtvaardigd doel worden gebruikt. Je mag persoonsgegevens niet zomaar voor een ander doel gaan verwerken of gebruiken. Let ook op “feature creep” (het ongemerkt toevoegen van extra functies aan de applicatie), want dit kan leiden tot ongewenst gebruik van gegevens.

Dataminimalisatie:

De software mag alleen gegevens verzamelen en bewerken die noodzakelijk zijn voor de beoogde doeleinden.

Juistheid

Persoonlijke gegevens moeten juist en, waar nodig, actueel zijn. De software moet het mogelijk maken om gegevens te corrigeren of bij te werken, mocht dat nodig zijn.

Opslagbeperking

We mogen gegevens niet langer bewaren dan nodig is voor de doeleinden waarvoor ze zijn verzameld. Daarom moet er een mogelijkheid zijn om gegevens automatisch of handmatig te verwijderen wanneer ze niet meer nodig zijn.

Integriteit en vertrouwelijkheid

Persoonsgegevens moeten goed worden beveiligd, waarbij de mate van beveiliging afhangt van de hoeveelheid, het type en de gevoeligheid van de gegevens. De software moet zo zijn ontworpen dat deze beveiliging passend is. In de praktijk betekent dit dat er geschikte beveiligingsmaatregelen moeten zijn getroffen. Vaak wordt hiervoor gekeken naar marktstandaarden zoals ISO 27001 of NEN 7510. Bij DataLeaf hebben we certificeringen voor beide standaarden en houden bij het ontwikkelen van software voortdurend rekening met deze beveiligingsrichtlijnen.

Privacy by default en privacy by design in software

Bovenstaande beginselen leven we eigenlijk allemaal na door zowel bij het ontwerp (privacy by design) als bij standaardinstellingen (privacy by default) rekening te houden met privacy.

Privacy by design

Het idee van privacy by design is om al in een vroeg stadium ervoor te zorgen dat persoonsgegevens zorgvuldig worden behandeld. Dit betekent dat software ontworpen wordt met privacy in gedachten.

Er zijn hierbij verschillende overwegingen te maken. We gaan bijvoorbeeld na of het echt nodig is om persoonsgegevens te verwerken, of dat we eventueel ook genoeg hebben aan volledig geanonimiseerde gegevens. Als het toch noodzakelijk is om persoonsgegevens te verwerken, denken we na over pseudonimiseren. Dit is een techniek waarbij persoonsgegevens niet direct herleidbaar zijn naar een specifieke persoon, maar waarbij de gegevens nog steeds als persoonsgegevens worden beschouwd.

Ook beveiligingsmaatregelen spelen een belangrijke rol bij het realiseren van privacy by design. Denk aan toegangcontrole door het toewijzen van verschillende rechten aan gebruikers, evenals algemene maatregelen zoals firewalls en dataversleuteling.

Privacy by default

Privacy by default betekent dat de standaardinstellingen van de meest privacy vriendelijke keuze de standaard keuze moet zijn in software. Persoonsgegevens mogen bijvoorbeeld nooit standaard openbaar zichtbaar zijn, alleen wanneer de gebruiker daar zelf voor kiest. De standaardinstelling moet dus profielen zoveel mogelijk afschermen.

Privacy is nooit af

Privacy is geen eenmalige taak die je afvinkt en daarna vergeet. Om ervoor te zorgen dat je applicatie blijft voldoen aan privacy-eisen, moet je deze regelmatig evalueren. Artikel 32 van de AVG onderstreept dit door te vereisen dat organisaties ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beschermen. Wat als ‘passend’ wordt beschouwd, hangt onder andere af van de nieuwste technologische ontwikkelingen. Zorg daarom dat je software of IT-leverancier regelmatig de tijd neemt om de privacyaspecten van je applicatie te beoordelen.

Privacy en AVG-proof software van DataLeaf

Bij DataLeaf staat het beschermen van persoonsgegevens en data centraal in elke fase van onze softwareontwikkeling. Heb je advies nodig over de privacy van je applicatie, of vraag je je af of je huidige software wel voldoet aan de regels van de AVG? Wij staan klaar om je te helpen.

Samen privacyveilige software ontwikkelen?