De AVG, een afkorting van Algemene Verordening Gegevensbescherming, en een afgeleide van de General Data Protection Regulation (GDPR) trad mei 2018 in werking. Waar de AVG specifiek voor bedrijven binnen Nederland geldt, is de GDPR breder. Deze regelgeving geldt voor alle organisaties die data over Europese burgers verzamelen. Het gaat zodoende niet alleen om een Nederlands of bijvoorbeeld Zweeds bedrijf, maar ook om bedrijven als Meta, Twitter en LinkedIn. Typische voorbeelden van organisaties die ontzettend veel data verzamelen.
Rond de invoering van de GDPR- en AVG-regelgeving veranderde er veel voor ondernemers. Denk bijvoorbeeld aan webwinkels, die data vergaren over het gedrag van bezoekers, over de aankopen die zij doen, enzovoorts. Ook voor de eigenaar van een SaaS-product is het sinds mei 2018 belangrijk om aan de geldende regelgeving te voldoen. Hiermee voorkomt men een hoge boete.
Onderscheid tussen een data controller en -processor
Men maakt onderscheid tussen een data controller en een data processor, vrij vertaald naar het Nederlands: een eigenaar of verwerker van data. Om een SaaS-product aan de GDPR-/AVG-regelgeving te laten voldoen, is het belangrijk om na te gaan binnen welke van beide categorieën de applicatie valt. Het kan voorkomen dat een applicatie onder beide categorieën geschaard kan worden. Denk aan een applicatie die bedoeld is voor consumenten. In dat geval verzamelt het SaaS-product data en verwerkt dit het vaak ook. Bijvoorbeeld het ticketingsysteem van een reisbureau, wat gebruikt wordt bij de klantenservice voor consumenten die een wijziging in hun reisplan door willen voeren.
Een data processor beheert de data zelf niet, maar verwerkt dit in opdracht van een data controller. Denk aan een SaaS-product waarvan je de eigenaar bent, welke gebruikt wordt binnen een andere organisatie die producten aan consumenten levert, zonder dat jij toegang hebt tot de data van die specifieke organisatie.
Toepassing van GDPR-/AVG-regelgeving, 8 aandachtsgebieden
Wanneer je weet binnen welke categorie jouw SaaS-product valt, is het zaak om te kijken hoe je de regelgeving correct toepast. In de basis heeft een gebruiker van het SaaS-product acht rechten. Hieronder lichten we de verschillende rechten kort toe.
1. Recht op melding over informatieverzameling
Wanneer een gebruiker een SaaS-product gebruikt, moet deze vooraf op de hoogte worden gebracht van de data die verzameld wordt door de applicatie. Er zijn verschillende manieren om dit kenbaar te maken. Denk bijvoorbeeld aan de bekende cookie-melding, die op steeds meer websites en webapplicaties naar voren komt.
2. Recht op mogelijkheid aanpassen rechten
Mogelijk vindt een gebruiker op een later moment, dat er te veel informatie over hem of haar verzameld wordt. Een gebruiker heeft in zo’n geval het recht om de informatieverzameling in te perken. Dit heeft ook invloed op de reeds verzamelde data van het individu. Deze data mag worden behouden, maar niet langer gebruikt worden.
3. Recht om marketingactiviteiten stop te zetten
Een groot aantal bedrijven gebruikt verzamelde data voor marketingactiviteiten. Het bekendste voorbeeld is een reclamecampagne die aansluit op de persoonlijke interesses van een gebruiker. Een gebruiker heeft altijd het recht om een SaaS-product te vragen te stoppen met het gebruik van diens data voor marketingactiviteiten.
4. Recht om vergeten te worden
Wellicht het belangrijkste recht wat een gebruiker gekregen heeft: het recht om vergeten te worden door de beheerder van diens persoonlijke data. Een consument kan een webwinkel niet langer het recht geven om persoonlijke data te gebruiken, tenzij daar logischerwijs een wettelijke grondslag voor bestaat. Na het intrekken van deze rechten kan een consument de webwinkel vragen de data te verwijderen. Dit gaat verder dan het recht op het laten stoppen van het gebruik van persoonlijke data voor marketingdoeleinden.
5. Recht op toegang tot persoonlijke data
Voordat een consument een organisatie opdracht geeft om data te verwijderen, kan deze om inzage in deze data vragen. Een organisatie is in zo’n geval verplicht om alle persoonlijke data over het individu te overleggen. Niet alleen moet worden aangegeven welke data verzameld is, maar ook hoe dit wordt gebruikt door de organisatie.
6. Recht op aanpassing persoonlijke data
Het kan voorkomen dat er een fout zit in de data die van een gebruiker verzameld is. In zo’n geval heeft een gebruiker het recht om deze persoonlijke data aan te laten passen. Vaak zit dit recht standaard in een SaaS-applicatie verwerkt; een gebruiker heeft de mogelijkheid diens profiel aan te passen.
7. Recht op over laten dragen data
Mocht een gebruiker van het ene SaaS-product overstappen naar een ander SaaS-product, dan kan de gebruiker eisen dat diens persoonlijke data wordt overgezet naar het nieuwe product. Let op, niet ieder type data zal wellicht geschikt zijn voor de nieuwe applicatie. Dit betekent concreet dat de data weliswaar wordt overgedragen, maar dat je hier als gebruiker niet altijd wat aan hebt.
8. Verplichting tot melden datalek
Op het moment dat er sprake is van een datalek, moet de gebruiker van een SaaS-product hier binnen drie dagen (72 uur) van op de hoogte worden gebracht. Het betreft logischerwijs alleen de gebruikers waarvan data onteigend is door aanvallers, of waarvan het vermoeden bestaat dat dit het geval is.
Aanpassen SaaS-applicatie naar AVG-regelgeving
Het kan best lastig zijn om op basis van de reeds beschreven rechten van een gebruiker te bepalen of jouw SaaS-product voldoet aan deze regelgeving. Wij hebben de koffie voor je klaar staan, om samen een eerste concept van een data-architectuur te maken. Het helpt je inzichtelijk te krijgen welke data er verzameld wordt, of hier toestemming voor is gegeven door een gebruiker, wat er met deze data gebeurt en of er processen bestaan die gebruikers inzage kunnen geven in deze data. Ook het uitvoeren van een DPIA, een Data Protection Impact Assessment, kan helpen inzage te krijgen in de huidige compliance van jouw maatwerk software.
Wanneer je een nieuwe SaaS-applicatie wilt laten ontwikkelen houden wij al bij de ontwikkeling hiervan rekening met hoge eisen op het gebied van privacy en security, maar het is jouw verantwoordelijkheid als eigenaar van het SaaS product om de juiste documenten en protocollen op zijn plek te hebben. Wees gerust, wij kunnen templates beschikbaar stellen.