Privacy by Design en wat ontwikkelaars moeten weten over de GDPR

Privacy by Design moeten we van af het begin meenemen in het ontwerp van een applicatie. Daarom is er vanuit het oogpunt van ontwikkelaars enorme uitdagingen bijgekomen om aan alle eisen van de GDPR te voldoen. 

Gebruikers en regelgevers kunnen al eenvoudig controleren of de GDPR is nageleefd door de schermen voor gegevensopname te kijken. De ontwikkelaars, die deze schermen vervaardigen en onderhouden, ontbreekt het echter aan concrete requirements met betrekking tot wat ze daadwerkelijk moeten doen om privacy by design te bereiken en aan te tonen.

Maar ervaring leert ons dat IT-implementaties op basis van slecht gedefinieerde requirements vaak slecht eindigen.

Wat zijn de doelstellingen van Privacy by Design?

Het is nuttig een stap terug te doen en de GDPR holistisch te analyseren. We kijken daarbij vanuit het standpunt van de EU-leiders die deze in 2016 hebben opgesteld en ingevoerd. Dus wat waren de belangrijkste doelen die zij met deze wetgeving wilden bereiken? Wat zijn de belangrijkste langetermijnresultaten op het gebied van privacybescherming om van deze verordening een succes te maken?

Positief

Positief is dat zij nieuwe normen hebben gecreëerd die bij onze Privacy by Design aanpak horen. Het gaat over de volgende normen:

• Definiëren, verkrijgen en behouden van toestemming (artikelen 4, 6).
• Codificeren van een aantal nieuwe individuele privacyrechten voor burgers.
• Mogelijk maken dat burgers regelmatig en volledig inzage kunnen krijgen in hun gegevens (artikelen 12-21).

Wat houdt de Privacy by Design aanpak in?

Ontwikkelaars hebben, net als veel andere professionals, grote veranderingen meegemaakt toen de EU-verordening algemene gegevensbescherming  (AVG/GDPR) op 25 mei 2018 van kracht werd. De verordening versterkt de rechten met betrekking tot persoonlijke gegevens en vereist bovendien dat alle organisaties die omgaan met persoonlijke gegevens van EU-ingezetenen een lange lijst van vereisten volgen. Belangrijk is dus dat ontwikkelaars rekening moeten houden met de eis dat ze een privacy-by-design-aanpak hanteren. Dit betekent dat zij, voordat ze producten en diensten gaan bouwen, moet weten hoe deze gaan voldoen aan de principes van gegevensbescherming. 

Implementatie van rechten

Een groot deel daarvan komt neer op het aanpakken van de manier waarop we de rechten van gebruikers zullen implementeren. De GDPR somt 8 rechten van betrokkenen op, maar de grootste uitdaging voor ontwikkelaars zijn de volgende drie: 

1. Recht op toegang

De GDPR geeft betrokkenen het recht op toegang tot alle informatie die een organisatie over hen heeft. Om aan deze eis te voldoen, hebben organisaties echter een systeem nodig waarmee medewerkers snel toegang hebben tot informatie. Deze informatie moeten we bovendien waar mogelijk beschikbaar stellen om te downloaden. 

Organisaties moeten ook volledige transparatie zijn over hun hele bedrijf, zodat ze problemen kunnen detecteren en oplossen. 

2. Recht op rectificatie

Alle gebruikers moeten onnauwkeurige of onvolledige informatie over hen kunnen wijzigen. De GDPR geeft echter niet aan hoe organisaties aan dit verzoek moeten voldoen, alleen dat ze binnen 30 dagen op verzoeken moeten reageren. Organisaties kunnen veel tijd en geld besparen als ze gebruikers toestaan ​​om deze wijzigingen zelf aan te brengen. Bijvoorbeeld via een gebruikersaccount waar ze hun persoonlijke informatie kunnen bekijken en bijwerken. Hoe meer gegevens gebruikers namelijk zelf kunnen aanpassen, hoe goedkoper de recificatie-procedure wordt. Gebruikers zijn ook gelukkiger met realtime toegang, in plaats van het doen van een verzoek dat 30 dagen in beslag neemt.

3. Recht om te wissen

Onder het recht om te wissen (ook bekend als het recht om te worden vergeten), kunnen gebruikers verzoeken om de gegevens die zij over hen zijn vastgelegd te verwijderen als: 

• Het is niet langer nodig voor het doel dat het oorspronkelijk werd verzameld. 
• Er is geen hoger legitiem belang om de verwerking voort te zetten.
• De persoonlijke gegevens onrechtmatig zijn verwerkt.
• Persoonsgegevens die we moeten wissen om te voldoen aan een wettelijke verplichting.
• De persoonlijke gegevens worden verwerkt voor een dienst die aan een kind wordt aangeboden.

Als een gebruiker heeft ingestemd met de verwerking van zijn gegevens, heeft hij het recht om die toestemming in te trekken en daarom te verzoeken om de verwijdering van gegevens die op die basis zijn gebaseerd. 

We kunnen wissen door gegevens te verwijderen, maar het is gemakkelijker om deze gedeeltelijk te overschrijven en te anonimiseren.

Nog meer GDPR Privacy by Design eisen

Dit is echter zeker niet alles wat de GDPR vereist. Ten eerste zijn er vijf andere rechten van betrokkenen: 

• Het recht om de verwerking te beperken.
• Rechten op gegevensportabiliteit.
• Het recht om bezwaar te maken.
• Het recht om je te laten informeren.
• Rechten met betrekking tot geautomatiseerde besluitvorming en profilering.

Andere vereisten

Er zijn ook veel andere vereisten waaraan organisaties moeten voldoen, waaronder verplichte gegevensbeschermingseffectbeoordelingen en beperkingen op internationale gegevensoverdrachten.  Het is ook belangrijk op te merken dat als we software bouwen met toegang tot werkelijke persoonlijke gegevens (in tegenstelling tot dummy-informatie), we gegevensverwerker zijn en aan veel andere vereisten moeten voldoen.