Toegegeven, het is voor de meeste ontwikkelaars niet het favoriete onderwerp en het is ook niet nieuw, tegelijkertijd is basiskennis van GDPR belangrijk om te voorkomen dat we onszelf in de voet schieten. Dit artikel geeft een samenvatting van onze webinar<link invoegen> en we hopen je hiermee op weg te helpen om een basis begrip te hebben van deze belangrijke Europese wetgeving.
Voor wie is de GDPR van toepassing?
De GDRP wetgeving is bedoeld om personen, lees inwoners van de EU, te beschermen m.b.t. elke vorm van dataprocessing van persoonlijke data. De wetgeving gaat veel verder dan alleen het beschermen van privacy. Zodra je als organisatie gegevens van personen in beheer hebt, dan ben je gebonden aan de GDPR wetgeving. Omdat GDPR gaat over mensen, heeft de wetgeving geen betrekking op gegevens over bedrijven of geanonimiseerde gegevens. Met die laatste categorie moet je voorzichtig zijn, omdat het soms mogelijk is om anonieme data alsnog aan personen te koppelen door databestanden te combineren. In dat geval is de data niet anoniem.
Waar is de GDPR van toepassing?
De GDPR is van toepassing op alle burgers binnen de EU waarbij Noorwegen en IJsland zich aan de wetgeving hebben verbonden. Groot Brittannië heeft inmiddels een zelfstandige, maar identieke versie van de GDPR in gebruik. Let op de GDPR is van toepassing op alle verwerking van data van burgers en dus niet van de locatie van het bedrijf dat deze data verwerkt. Dus ook bedrijven die buiten de EU gevestigd zijn, dienen zich te houden aan de GDRP als ze data van burgers van de EU landen verwerken. Als data buiten de EU opgeslagen of verwerkt wordt, moet dit expliciet aan de burger gemeld worden.
Rollen binnen GDPR?
De GDPR kent drie specifieke rollen: de data subject, de data controller en de data processor. De data subject is de formele term voor de levende persoon waar data over verwerkt wordt. De data controller is de rechtspersoon die bepaald hoe en waarvoor data wordt verwerkt. De data processor is een organisatie die in opdracht van de data controller taken uitvoert. Neem een praktisch voorbeeld van data over mijzelf als werknemer. Dan zou ikzelf het data subject zijn, mijn werkgever zou de data controller zijn, en als de werkgever gebruik maakt van een SAAS dienst om mijn personeelsdossier bij te houden, dan is deze SAAS aanbieder de data processor. Data controller en data processor delen binnen GDPR het overgrote deel van de verantwoordelijkheid. De data controller is eindverantwoordelijk, maar een data processor kan zich daar niet achter verschuilen.
Principes binnen GDPR
De GDPR gaat veel verder dan alleen privacy regelgeving. Het gaat over verantwoordelijk omgaan met data van de burgers. Dit betekent:
- Dat data wordt opgeslagen met een rechtmatige reden
- Dat alleen wordt opgeslagen wat nodig is om de taak uit te voeren waarvoor je de data opslaat
- Dat je ervoor verantwoordelijk bent dat de data die je opslaat juist is
- Dat je de data verwijderd (of anonimiseert) als deze niet meer nodig is
- Dat de data veilig wordt bewaard
- Dat je als organisatie aantoonbaar verantwoordelijkheid neemt over de data die je onder je hoede hebt (denk aan ISO certificeringen etc.)
Rechtmatige redenen om data te bewaren
Het is belangrijk om als organisatie na te gaan welke data je beheerd en vooral waarom je die data hebt. Het is alleen toegestaan om data over personen op te slaan als je voldoet aan één of meerdere van de volgende redenen:
- Er is sprake van een contract tussen data subject en data controller
- Er is een wettige reden om data op te moeten slaan (denk aan de belastingdienst die data over burgers moet vastleggen conform wetten die gelden)
- Het vastleggen van de data beschermd een vitaal belang (meestal moet je dan denken aan zaken rondom gezondheidszorg)
- De data dient een publiek belang of is vastgelegd door een overheidsinstantie
- Er is sprake van een zwaarwegend belang om de data vast te leggen (dit is voer voor juristen)
- In alle andere gevallen mag data alleen worden vastgelegd op basis van toestemming van de persoon in kwestie. Dit wordt ook wel op basis van “consent” genoemd.
Speciale categorie data
Binnen de GDPR zijn er speciale categorieën van data die ervoor zorgen dat je aanvullende maatregelen moet nemen in de onderbouwing waarom je de data gebruikt, en in de beveiliging van de data. Het gaat om de volgende vier categorieën:
- Data die kan bijdragen aan discriminatie. Dit is van toepassing op data over afkomst of ras, maar ook bijvoorbeeld data m.b.t. geloofsovertuiging.
- Data die een verhoogd risico geeft op identiteitsfraude. Strikt genomen zijn vooral biometrische of genetische data benoemd, maar zaken als burger-servicenummer of bankgegevens worden ook onder speciale data geschaard.
- Elke vorm van medische data.
- Data over het seksleven of seksuele oriëntatie.
In principe gelden dezelfde rechtmatige redenen, alleen ze worden veel strenger toegepast. Met andere woorden: als je deze data wilt opslaan en verwerken, dan zul je juridisch moeten toetsen of de reden voldoende onderbouwd is. Er is één speciale reden benoemd voor het vastleggen van speciale categorie data en dat is als het hebben van deze data onderdeel is van de natuur van de organisatie. Denk hierbij aan de ledenlijst van een geloofsgemeenschap. Gezien de aard van de organisatie kan het niet anders dan dat speciale data opgeslagen wordt. Overigens ontslaat dat deze organisaties er niet van dat de persoon in kwestie expliciet toestemming geeft dat zijn gegevens worden opgeslagen.
Rechten van de “data subject”
Tot nu toe hebben we gekeken naar geldige redenen om data op te slaan conform de GDPR regels. De wetgeving geeft ook expliciet aan dat de persoon in kwestie waarvan data opgeslagen wordt rechten heeft die nageleefd moeten worden:
- Iemand heeft het recht om geïnformeerd te worden als zijn/haar data ergens gebruikt wordt. Specifiek zijn de volgende zaken benoemd die in zo’n kennisgeving verwerkt moeten zijn:
- Wat is de wettelijke reden waarom data wordt gebruikt (zie rechtmatige redenen eerder in dit document). Indien de wettelijke reden is op basis van toestemming, dan dient ook benoemd te worden dat deze toestemming op elk moment ingetrokken mag worden.
- Wat is de bewaartermijn van de data.
- Benoeming van de rechten onder GDPR die de persoon in kwestie heeft.
- Of de persoon verplicht is de data te verstrekken (dit is bijvoorbeeld het geval bij contracten).
- Of de data wordt gebruikt voor automatische profilering (bijvoorbeeld machine learning algoritmen).
- Iemand heeft het recht om op te vragen welke data over hem/haar is opgeslagen.
- Iemand heeft het recht om incorrecte data te laten corrigeren.
- Iemand heeft het recht om te vragen dat data verwijderd wordt (dit is geen absoluut recht, want het kan zijn dat de data niet verwijderd mag worden vanwege wetgeving of omdat sprake is van een contract).
- Iemand heeft het recht om te vragen dat de dataverwerking stopgezet wordt.
- Iemand heeft het recht bezwaar aan te tekenen tegen het gebruik van persoonlijke data.
- Iemand heeft expliciet het recht om bezwaar te maken tegen automatische profilering.
In de laatste versie van GDPR is er ook het recht op overdraagbaarheid van data bijgekomen, maar in de praktijk weet nog niemand goed hoe we hier handen en voeten aan moeten geven omdat er geen standaarden zijn om data van de ene naar de andere organisatie over te dragen.
Vanaf het moment dat een burger een verzoek doet op basis van de rechten die hij/zij binnen GDPR heeft, is de organisatie verplicht om binnen 30 dagen te reageren. Dit betekend dat het belangrijk is dat handelingen die nodig zijn geautomatiseerd worden en dat er over nagedacht is in het ontwerp van software.
Plichten voor de data controller / processor
In principe gelden de verplichtingen binnen GDPR vooral voor de data controller, maar in de praktijk zullen een hoop zaken verzorgd worden door de data processor dus deze moet ook voldoen aan de wetgeving. De belangrijkste verplichtingen zijn:
- Je bent verplicht om de verantwoordelijkheid te nemen over de data die je in beheer hebt. In de praktijk betekend dit dat je bestuurlijke organisatie en processen op orde moeten zijn.
- Je bent verplicht om data te beveiligen. Dit gaat breder dan alleen technische beveiliging, het gaat er over dat je kunt aantonen verantwoordelijk met de toegang tot persoonlijke data om te gaan.
- Voor organisaties van meer dan 250 medewerkers ben je verplicht bij te houden wie, wanneer toegang tot data heeft (gehad). Omdat deze eis vaak behoorlijk ingrijpt op software ontwerp, is mijn advies om deze eis altijd mee te nemen in onze ontwerpen, ook als de organisatie nu nog onder de norm van het aantal medewerkers valt.
- Het is een open deur, maar het is verplicht om mee te werken met officiële instanties.
Naast de bovenstaande verplichtingen kan het zijn dat je als organisatie gevraagd wordt een “data protection impact assessment” te doen. Dit is altijd verplicht als je op grote schaal automatische profilering toepast, speciale categorie data verwerkt of beelddata van publiek toegankelijke ruimte verwerkt. Als laatste, kan het zijn dat je een data protection officer in dienst moet hebben. Dit is altijd het geval als je een overheidsinstantie of als je de verplichting tot een data protection impact assessment hebt. Een data protection officer (DPO) kan als rol of functie worden vervuld mits een aantal spelregels in acht worden gehouden:
- De DPO wordt geraadpleegd bij beslissingen rondom persoonlijke data.
- De DPO heeft voldoende mogelijkheden om zijn werk te doen (in tijd en middelen).
- De DPO heeft een beschermde status en kan onafhankelijk werken.
- De DPO heeft kennis van zaken.
Sancties binnen GDPR
Wat organisaties grote zorgen kan baren zijn de sancties op overtredingen van de GDPR. De liegen er niet om met boetes van 20 miljoen tot 4% van de omzet van een organisatie. In de praktijk zijn instanties echter vooral betrokken om organisaties te helpen hun verantwoordelijkheid omtrent data gebruik te nemen. Tegelijk zijn er voorbeelden van boetes. Op de site https://www.timelex.eu/nl/blog/2-jaar-gdpr-een-overzicht-van-handhaving-waarschuwingen-en-boetes staat een overzicht van een aantal sancties die zijn opgelegd om een beter beeld te krijgen van scenario’s waarin boetes zijn opgelegd.
Wat betekend dit nu voor ons als software developers?
Een gedeelte van de GDPR wetgeving zal vooral betrekking hebben op processen, tegelijk zijn er zaken die waar we als ontwikkelaars rekening mee moeten houden bij het bouwen van onze software:
- Zorg dat persoonsdata op te leveren zijn indien een burger een verzoek doet om zijn/haar data te ontvangen (en tegelijk dat de data niet door iedereen zomaar opgevraagd kan worden)
- Sla alleen data op die echt nodig is.
- Zorg dat data verwijderd of geanonimiseerd kan worden en processen die dit ook op tijd doen.
- Zorg voor gedegen autorisatie.
- Monitor en registreer data toegang en wijzigingen.
- Wees bijzonder voorzichtig met allerhande vormen van exporteer en rapportage functies waardoor data uit systemen gehaald kan worden in bulk.
- Versleutel gevoelige data altijd.
- Waarborg dat data correct is, en hersteld kan worden bij calamiteiten.
- Goede beveiliging en regelmatige pentesten zijn een must.
- Voorkom dat data die voor verschillende doelen gebruikt wordt, en/of andere bewaartermijnen heeft, met elkaar verstrengeld raakt.
- Ga voorzichtig om met logging waarin persoonsdata terugkomt.
Bronverwijzing
Voor dit artikel is gebruik gemaakt van de Pluralsight cursus “GDPR: The Big Picture”. Je vind de volledige cursus op Pluralsight: https://app.pluralsight.com/library/courses/gdpr-big-picture/table-of-contents