Blog:

GDPR (AVG): Waar te beginnen?

Published on mrt 05, 2018
By Jan-Willem / Head of Project Office

Nog even en dan is het zover! Op 25 mei 2018 zal de veel besproken General Data Protection Regulation (GDPR) ofwel Algemene Verordening Gegevensbescherming (AVG) worden gehandhaafd. Overal om ons heen duiken GDPR experts op met allerlei methodes om alles eens even door te lichten en te bezien of het allemaal wel GDPR compliant is. Is het allemaal wel zo eenvoudig? Wat betekent het nu eigenlijk voor ons bedrijf en de werkzaamheden die wij voor onze klanten uitvoeren?

Workshop

Deze privacy-verordening mag dan wel dit jaar gehandhaafd gaan worden maar is al bijna 2 jaar van kracht. Daarom heb ik in september 2016 deelgenomen aan een workshop bedoeld voor bedrijven die zich bezig houden met IoT oplossingen en dataverzameling b.v. binnen gezondheidszorg.

Ook Fourtress ontwikkelt software voor haar klanten waarbij data verzameld wordt en het leek me wel interessant om eens met andere bedrijven en studenten van de TU/e te spreken over de wat die nieuwe wetgeving nu zou gaan betekenen voor ons. Dit alles onder bezielende leiding van Prof. mr. dr. J.M. Smits die het vak recht-en-techniek doceerde aan de TU/e. Er kwamen 3 onderwerpen aan bod:

Profilering:

Hierbij draait het om het verzamelen, analyseren en combineren van persoonsgegevens om te komen tot een profielschets van een natuurlijk persoon. Denk aan gepersonaliseerde advertenties of een profiel dat door verzekeraars wordt gebruikt t.b.v. het inschalen, accepteren of weigeren van een verzekering.

Automatische beslissingen:

Besluitvorming waar geen persoon aan te pas komt. Bijvoorbeeld een infuus dat bij bepaalde bloedwaarden automatisch medicatie toedient bij een patiënt zonder dat er een arts aan te pas komt.

Eisen t.a.v. (product)ontwerp:

Privacy en security zouden by Design moeten worden meegenomen in de ontwikkeling van de nieuwe software. Sleutelwoorden zijn hierbij: dataminimalisatie, anonimiseren, attributted authentication, transparantie (leg vooral uit waarvoor de data gebruikt wordt), informed consent.

Bewustwording

Deze workshop heeft me wel aan het denken gezet, vooral over wat de technologieën van vandaag de dag teweeg kunnen brengen. Er wordt zoveel data van ons gemeten en (nog) te vaak hebben we er geen weet van. Een gepersonaliseerde advertentie vinden we hooguit irritant maar het is natuurlijk een ander verhaal als het rechtsgevolgen heeft of als verzekeringspremies omgaan omdat iets of iemand vindt dat wij ons niet goed gedragen. Welk beeld is van mij ontstaan? Waarop is dat dan gebaseerd? Wie/wat beslist dat? En klopt dat beeld dan wel?

Invloed op werkzaamheden en organisatie

Daarnaast heeft het natuurlijk niet alleen gevolgen op de manier waarop Fourtress software aan haar klanten levert maar we gebruiken zelf natuurlijk ook software om onze bedrijfsprocessen te ondersteunen. Denk aan personeelsgegevens, salarisadministratie, etc. Waar is deze data opgeslagen? Wie heeft er toegang tot deze gegevens? Hebben we deze gegevens eigenlijk wel nodig en zo ja hoe lang moeten we die dan bewaren?

Samenwerking

Het onderwerp boeit me en niet alleen mij maar veel meer collega’s bij Fourtress en we realiseren ons terdege dat het niet eenvoudig is om stel op sprong te voldoen aan wat deze wet voorschrijft. We gaan het gesprek aan met onze klanten en medewerkers, hebben een micro-event georganiseerd over dit onderwerp om ook bij hen bewustwording te creëren. Daarnaast zijn we vanaf 2016 intensiever gaan samenwerken met de TU/e.

Informed consent

Maar waar begin je dan? Meestal vooraan zou je zeggen, in dit geval bij het verkrijgen van toestemming van je eindgebruiker (informed consent). Als deze geen toestemming geeft om zijn/haar data te verwerken dan houdt het gewoon op!

Om deze toestemming te verkrijgen is het noodzakelijk dat hetgeen je vraagt ook duidelijk is voor die eindgebruiker. En dat ook duidelijk is waarvoor deze data wordt gebruikt, hoe ermee omgegaan wordt, dat het altijd inzichtelijk, gewijzigd, verwijderd of overgedragen kan worden als hij/zij daar om vraagt.

Beslisboom (GDPR tool)

In samenwerking met de TU/e hebben wij een beslisboom ontwikkeld. Deze beslisboom helpt inzicht te verkrijgen in hoe informed consent, volgend de GDPR, verkregen wordt. De beslisboom kan doorlopen worden vanuit 2 perspectieven:

Gebruikersperspectief:

Dit perspectief geeft inzicht in de rechten die je als gebruiker hebt. Je verkrijgt hiermee inzicht of de betreffende organisatie jouw persoonlijke data volgens de GDPR mag verwerken.

Organisatieperspectief:

Dit perspectief geeft inzicht in de plichten die je als organisatie hebt. Je verkrijgt hiermee inzicht of de persoonlijke data mag worden verwerkt en wat daar volgens de GDPR voor nodig is.

Dit is een begin maar zegt nog niets over de technische oplossing over hoe de gegevens op te slaan te verwerken en te beveiligen. Inmiddels ben ik ook lid geworden van de vereniging Brainport Techlaw om samen met andere technische bedrijven en juristen verder te praten, op de hoogte te blijven van de nieuwe ontwikkelingen op het vlak van recht en techniek en waar nodig actie te ondernemen.

Bent u ook geïnteresseerd in wat het voor uw softwarediensten betekent? Neem dan contact op met Fourtress en wellicht kunnen we onder het genot van een kop koffie verder praten en u mogelijk van tips voorzien.