AVG
Bekijk alle channels
  • Home
  • AVG
  • AVG compliance: zit de privacywet ook in de software ingebakken? (15/20)

Arnoud Engelfriet

ICTRecht
41,9K

Channel

AVG

Achtergrond -

AVG compliance: zit de privacywet ook in de software ingebakken? (15/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop eisen voor de kiezen, van het documenteren van gegeven toestemming tot het registreren van datalekken en het borgen van beveiliging. Een belangrijke nieuwe eis is dat software volgens de principes van privacy by design en privacy by default moet opereren. Maar wat houden deze begrippen nu in?

Het belangrijkste nieuwe wettelijke concept is privacy by design. Dit houdt in dat de voor verwerking gebruikte software vanaf de grond af is ontworpen zo dat de privacy van betrokkenen optimaal wordt beschermd. Een systeem dat hieraan voldoet, zou dus bijvoorbeeld knoppen ingebouwd hebben waarmee betrokkenen direct inzage in hun persoonsgegevens kunnen krijgen.

Privacy by design moet kunnen worden aangetoond. Dat wil zeggen dat in de ontwerpdocumentatie van deze software dus overal privacy-overwegingen en -beslissingen zijn opgenomen. Zo is duidelijk dat privacy vanaf het begin is meegenomen, en dat er overal is nagedacht over privacyzorgen en kwesties tijdens het bouwen.

Het aanverwante concept privacy by default wil zeggen dat alle privacygerelateerde instellingen in de software zo strak mogelijk dicht moeten zitten. Profielinformatie zoals namen en geboortedata is dus standaard voor niemand zichtbaar (of hooguit de kleinst mogelijke groep van directe collega’s of familie) maar kan wel indien gewenst worden opengezet. Gegevens komen niet op internet zonder aparte actieve handeling. En wanneer andere partijen ergens toegang toe moeten krijgen, vereist dat een specifieke ingreep, bij voorkeur met toestemming van of informatie aan de betrokkene.

De eisen van privacy by design en by default gelden niet alleen voor software die vanaf 25 mei op de markt komt. Ook bestaande software moet aan deze eisen voldoen. Maar de AVG zegt wel dat bij het bepalen hoe ver je daarin moet gaan, je rekening moet houden met onder meer de kosten en moeite om dat te doen. Als de risico’s die kosten en moeite niet waard zijn, dan mag legacy software dus blijven draaien zoals deze is.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.

Gerelateerd event

Emerce E-commerce Live!

Innovation in e-commerce | Emerce E-commerce Live! 2024

Claim je early bird ticket
  • Locatie: Beurs van Berlage, Amsterdam
  • Datum: 5 juni 2024
Claim je early bird ticket

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond

Gerelateerde items
AVG

AVG compliance: het verwerkingsregister – vastleggen wat u doet met persoonsgegevens (8/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Een belangrijk...
AVG

AVG compliance: onderzoek en analyse onder de AVG, wat mag? (7/20)

De nieuwe Europese privacwet – de Algemene Verordening Gegevensbescherming of AVG – stelt strenge regels aan de omgang met persoonsgegevens. In principe is altijd toestemming of een andere grondslag...
AVG

AVG compliance: hoe ver kun je gaan zonder toestemming (6/20)

De Algemene Verordening Gegevensbescherming of AVG (zeg maar de nieuwe Europese privacywet) stelt strenge regels aan de omgang met persoonsgegevens. Een belangrijke eis bij het voldoen aan die regels...