Hoe zorg ik ervoor dat mijn software de AVG wetgeving ondersteunt?

Op de laatste dag van 2018 nog een tip voor alle leveranciers van softwarepakketten waarin persoonsgegevens worden verwerkt. En dat zijn er erg veel! Denk aan software voor ledenadministraties, kerken, zelfstandige beroepsbeoefenaren in de zorg die allemaal softwarepakketten gebruiken, maar vaak door hun omvang niet de beschikking hebben over specialisten op het gebied van Compliance, waaronder de AVG.

En alhoewel het gaat om hoe, de procedures, bedrijven met persoonsgegevens omgaan, zou het een verkooppunt kunnen zijn als het de software belangrijke AVG processen ondersteunt.

AVG rechten van betrokkenen

Belangrijk in de AVG zijn de rechten van de betrokkenen. Het gaat daarbij om:

  • Het recht op inzage van persoonsgegevens
  • Het recht op correctie van de persoonsgegevens
  • Het recht om vergeten te worden
  • Het recht op data portabiliteit van de persoonsgegevens
  • Het recht op beperking van de verwerking
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profiling
  • Het recht om bezwaar te maken tegen de gegevensverwerking
  • Het recht op duidelijke informatie over de doelstellingen van de gegevensverwerking

Om invulling te geven aan deze rechten dienen organisaties een sluitend stelsel van informatieverstrekking en procedures te hebben geïmplementeerd. Met andere woorden: is het een gebruiker duidelijk HOE hij zijn rechten kan uitoefenen en is de organisatie vervolgens in staat om binnen de wettelijke termijnen aan het verzoek te voldoen.

Maar wat moet ik als software leverancier dan doen?

Een voorbeeld: stel je bent leverancier van een softwarepakket van een ledenadministratie. Wat zou je nu kunnen doen om jouw klanten te helpen om AVG compliant te zijn? Wat een optie zou kunnen zijn is een apart menu voor de compliance officer [1] te maken met bijvoorbeeld de optie om standaard een ‘persoonsgegevens’ overzicht op te leveren. Uiteraard met een aparte registratie ten behoeve van de verantwoording.

Met name voor kleinere bedrijven, die vaak geen specialisme op dit gebied in huis hebben, zou het behulpzaam zijn als ze konden beschikken over standaard templates waarin ze eerst het verzoek konden registreren, dan de reactie (wel voldoen/niet voldoen met motivatie) en vervolgens de daadwerkelijk op te leveren gegevens. Daarna zouden er opties kunnen worden ingebouwd om die gegevens op een veilige manier naar de aanvrager te versturen.

Op deze manier kan uw software de gebruikende organisatie ondersteunen bij het implementeren van de processen om aan het eerste recht, het recht op inzage van de persoonsgegevens, vorm te geven.

Nogmaals, grote bedrijven hebben juridische afdelingen en compliance specialisten, maar kleine bedrijven en ZZP’rs zitten te springen om ondersteuning.

Meer weten?


Voor meer informatie kan je altijd met mij contact opnemen via hbrink@hbc.nl

[1] Medewerker verantwoordelijk voor gegevensbescherming, ook wel Data Protection Officer (DPO) / Privacy Officer / Functionaris Gegevensbescherming (FG) geheten.