AVG compliance in zeven checks - voor devs en publishers
1. AVG compliance in 7 checks – voor developers en publishers
De Algemene Verordening Gegevensbescherming (AVG, in het Engels de GDPR) wordt 25 mei 2018 van kracht,
en gaat van “do it” naar “prove it”. Je zult meer moeten gaan vastleggen.
Meer weten? Olivier Oosterbaan, 020-3080633, oosterbaan@lmoadvocaten.nl.
Deze one-pager is voor het laatst bijgewerkt in april 2018.
Icons: 0melapics/Freepik.
Check 1: Heb ik een DPO nodig?
Meestal niet. Alleen als de organisatie als
hoofdactiviteit de grootschalige, regelmatige en
systematische observatie van betrokkenen (data
subjects) heeft, moet je een DPO aanstellen (data
protection officer, functionaris gegevensbescher-
ming).
Daar is ook sprake van als de organisatie niet als
doel heeft om data te verwerken, maar wel data-
driven is. Zoals bijvoorbeeld bij F2P publisher die
veel data verwerkt. En de verplichting om een DPO
te benoemen geldt ook als je alleen gegevens
verwerkt voor anderen, bijvoorbeeld als analytics
company.
Bottom line: De meeste devs hebben geen
DPO nodig.
Check 2: Heb ik een PIA nodig?
Ook niet altijd. Een PIA (privacy impact
assessment, gegevensbeschermingseffectbeoor-
deling) is nodig bij “high risk” processing. Van “high
risk” is vooral sprake bij profiling (met juridische
gevolgen) en het verwerken van bijzondere
persoonsgegevens (met name health data).
Een PIA moet trouwens wel kloppen, maar hoeft
niet heel bewerkelijk te zijn. In een basic PIA staat
beschreven wat er precies wordt gedaan, en vooral
hoe er rekening wordt gehouden met risico’s en
welke maatregelen er zijn getroffen om die risico’s
te beperken. Versleuteling en pseudonimisering zijn
dat soort maatregelen.
Bottom line: De meeste devs en publishers hebben
geen PIA nodig.
Check 3: Wat doe ik met “privacy-by-design”?
Je moet altijd kunnen laten zien dat je persoons-
gegevens rechtmatig verwerkt, en dat je
bijvoorbeeld toestemming (consent) op de juiste
manier hebt gekregen (vrij & geïnformeerd, en niet
als onderdeel van algemene terms) of je kunt
baseren op een gerechtvaardigd belang.
Daar hoort ook bij dat je vóórdat je begint let op de
risico’s en daar rekening mee houdt, bijvoorbeeld
door het toepassen van pseudonimisering en het
treffen van passende beveiligings-maatregelen.
Bottom line: dit zal voor de meeste devs en publish-
ers nieuw zijn. Begin met op te schrijven wat je doet
(data collection), met wie (vendors) en met welk
doel (bijv. analytics, monetization).
Check 4: Heb ik nieuwe bewerkers-
overeenkomsten nodig?
Ja, waarschijnlijk wel. Bewerkers heten in de
AVG verwerkers. De AVG stelt zeer specifieke eisen
aan verwerkersovereenkomsten (processor
agreements).
Zo moet je opnemen dat een verwerker meewerkt
aan audits, en verandert de manier van omgaan met
subverwerkers.
Top tip: Als je met een publisher werkt dan zal de
publisher vaak controller (data owner) willen zijn,
met jou als processor.
Bottom line: Als je werkt met service providers als
Mailchimp, App Annie, Google en Facebook dan
zullen zij met hun eigen processor agreements ko-
men en je vragen voor 25 mei akkoord te gaan.
Check 5: Heb ik een nieuwe privacypolicy nodig?
Ja, waarschijnlijk wel. De AVG stelt namelijk ook
nieuwe eisen aan de informatie die wordt gegeven
aan betrokkenen (data subjects). Veel zal je al ge-
ven in je huidige (al dan niet gekopieerde) policy of
notice maar de AVG eist bijvoorbeeld dat je ook op-
neemt op grond waarvan je gegevens verwerkt, en
dat de betrokkene een klacht kan indienen bij de
Autoriteit Persoonsgegevens (AP).
De notice moet begrijpelijk zijn, dat kan ook in het
Engels. Verwerkers hoeven geen notice te hebben.
Top tip: Veel platform owners stellen een privacy
notice verplicht.
Bottom line: Grote kans dat je je privacy notice aan
moet passen. Dit is een easy win en het laat zien dat
met AVG compliance bezig bent. Doe het.
Check 6: Wat doe ik met het inzagerecht,
RTBF, data-portability en data-lekken?
Betrokkenen (de users) hebben een aantal rechten
onder de AVG zoals het recht op inzage, vergetel-
heid (right to be forgotten), en overdracht van ge-
gevens (data portability). Verder moeten datalek-
ken zo mogelijk binnen 72-uur gemeld worden: bij
de Autoriteit Persoonsgegevens (AP), en soms aan
de betrokkenen.
Bottom-line: het is nog afwachten in welke mate
betrokken van hun rechten gebruik gaan maken, en
op welke manier vendors hiervoor automatische
tools beschikbaar gaan stellen. Het is niet gek om
hierin af te wachten.
Check 7: Hoe leg ik alles vast?
Als je vaker dan incidenteel data verwerkt of
meer dan 250 medewerkers heeft dan moet je een
interne lijst (register) bijhouden van verwerkingen.
Dit is ook het geval als je gegevens verwerkt voor
anderen, bijvoorbeeld als host. Hierin staan bijvoor-
beeld contactgegevens, met wie je gegevens deelt,
en beveiligingsmaatregelen.
Top tip: het register is een intern document en hoef
je niet op je website te plaatsen.
Bottom-line: Als je user-data verwerkt dan zal je dit
in een register moeten vastleggen.