De gevolgen van de AVG voor software engineers

Home / Blog / Nieuws / De gevolgen van de AVG voor software engineers

De nieuwe wet Algemene Verordening Gegevensbescherming komt eraan. Per 28 mei 2018 is de AVG van kracht en veel bedrijven én werknemers krijgen hier mee te maken. Dat geldt zeker ook voor programmeurs. In dit artikel brengen we je op de hoogte van de nieuwe regels en waar je op moet letten in je werk. De gevolgen van de AVG voor software engineers:

Zijn de persoonsgegevens echt nodig?

Op dit moment worden er in applicaties en op websites heel vaak persoonsgegevens verwerkt en/of opgeslagen. Ook gegevens die niet essentieel zijn voor het doel van de gebruiker. In deze nieuwe wetgeving staat het privacybelang voorop. Dus alleen het hoog noodzakelijke moet worden opgeslagen. En elke organisatie moeten kunnen motiveren waarom bepaalde data wordt opgeslagen. Daarnaast is er een meldingsplicht bij datalekken.

We zien bijvoorbeeld veel webshops die klanten in hun account ook om hun geslacht vragen. Dat is niet essentieel om de bestelling bij de klant bezorgd te krijgen. Zulke gegevens zijn natuurlijk marketingtechnisch interessant maar niet per se nodig.

Verantwoordelijkheid software engineer

Als software engineer bouw je applicaties voor klanten en heb je regelmatig contact met klanten over hun wensen. Door deze wetgeving wordt de verantwoordelijkheid voor de omgang met persoonsgegevens bij twee partijen neergelegd: de klant en de bewerker, zoals een software leverancier. Als softwareleverancier gebruik je namelijk ook persoonsgegevens, bijvoorbeeld om te testen. Het gaat in de AVG om alle plekken en wegen die de persoonsgegevens aandoen/afleggen. Als software engineer moet je al vanaf de eerste klantgesprekken een adviserende rol hierin nemen en de klant wijzen op zijn verantwoordelijkheid in deze.

Met andere woorden: je moet de wijze zijn in dit geval en geen applicatie willen bouwen waarin onnodig veel gevoelige gegevens worden opgeslagen. Je kunt hier die adviesrol aannemen en de klant op andere gedachten brengen. Daar hebben uiteindelijk immers alle partijen baat bij: de applicatiebouwer, de afnemer en de gebruiker.

Recht op inzage en verwijdering

Een gebruiker heeft straks meer rechten onder de AVG, waaronder het recht om zijn of haar gegevens in te zien én om verwijderd te worden. En dat is lastig: je moet zo bouwen dat je een gebruiker kunt verwijderen maar daarna ook nog kunt bewijzen dat iemand verwijderd is. Dat klinkt tegenstrijdig want dan zou je nooit iemand volledig kunnen verwijderen als je er tegelijkertijd nog bewijs van moet hebben. Toch zijn ook daar oplossingen voor. Het recht op verwijdering bestond al, maar vanaf nu komt daar ook nog dataportabiliteit bij.

Recht op dataportabiliteit

Het recht op dataportabiliteit gaat erover dat je de gegevens die je hebt achtergelaten bij organisatie A in kan zien en door kan geven aan organisatie B, indien gewenst. Als de gebruiker niet tevreden is met de manier waarop de organisatie met zijn of haar data omgaat, kan die daar een klacht over indienen bij de Autoriteit Persoonsgegevens (AP), die vervolgens verplicht is die klachten na te trekken.

Event Logging / Event Sourcing

Omdat in de AVG de verwerking van persoonsgegevens centraal staat, is het belangrijk alle gegevensverwerkingen goed te loggen. Dit was eigenlijk ook al het geval in de WBP (Wet Bescherming Persoonsgegevens), maar daar was lang niet iedereen mee bekend. De nieuwe strengere wet dwingt organisaties nu na te denken over de gegevens die ze opslaan en verwerken, waarom ze dat doen en of dat wel echt nodig is.

Als je Event Logging gebruikt, kun je netjes alle gegevensverwerkingen bijhouden. Je documenteert welke gegevens worden verwerkt, waarom juist die gegevens worden verwerkt (het doel van die gegevens), hoe men aan die gegevens is gekomen en wie er toegang hebben/met wie ze allemaal gedeeld worden. Die documentatie is verplicht om te kunnen aantonen dat de betreffende organisatie handelt in overeenstemming met de AVG. Als gebruikers zich beroepen op hun rechten is zo’n overzicht ook essentieel. Als engineer moet je hier vanaf het eerste ontwerp al rekening mee houden zodat je een AVG proof applicatie bouwt voor je klant. Lastig? Stel je vragen aan onze collega Frank.