Leestijd: 5 minuten

In mei van dit jaar treedt de Algemene verordening gegevensbescherming (AVG) in werking, de Nederlandse implementatie van de Europese GDPR richtlijn. Deze wetgeving ziet toe op de wijze waarin wordt omgegaan met tot personen herleidbare gegevens in geautomatiseerde toepassingen en is bedoeld om personen te beschermen tegen oneigenlijk gebruik van deze gegevens. Het gaat te ver om hier een complete uitleg te geven van wat deze regelgeving precies inhoudt. In het onderstaande wil ik dan ook voornamelijk stilstaan bij de impact die deze wetgeving kan hebben tijdens het maken van kennisintensieve webapplicaties.

Om ons heen komen we namelijk steeds vaker online applicaties tegen die ons ondersteunen bij het maken van beslissingen, helpen bij het maken van keuzes en adviseren omtrent (complexe) vraagstukken. Het meest in het oog springend voorbeeld wat dit betreft is uiteraard de AVG regelhulp van de Digitale Overheid, waarmee u in 10 stappen een beeld krijgt van waar u aan kunt werken om goed voorbereid te zijn op de AVG. Andere toepassingen zijn o.a. rekenhulpen die inzicht geven in de huurtoeslag waar men recht op heeft of bijvoorbeeld de welbekende stemwijzers. En zo zijn er nog véél meer voorbeelden.

Het gezamenlijk DNA van alle mogelijke toepassingen is dat ze allemaal kennisintensief (kunnen) zijn, veelal gebaseerd zijn op interactieve vragenlijsten en als webapplicatie ontsloten worden. Eindgebruikers van deze applicaties vallen ook uiteen in zeer diverse groepen. Van specifieke gebruikers met een persoonlijke inlogcode die de tools via intranet benaderen en burgers die online vergunningen aanvragen, tot aan anonieme gebruikers waarvan we niet kunnen achterhalen waar ze vandaan komen en wie het precies zijn.

Maar welke vragen moeten makers van deze applicaties zichzelf stellen, om aan de AVG te voldoen?

De makers van een applicatie (auteurs) zijn degenen die vorm geven aan de werking van het uiteindelijk resultaat, en aan de interactie die in dat kader met de gebruikers plaatsvindt. Deze auteurs zijn over het algemeen vooral inhoudelijk deskundig, en weten veel over de taken en processen die zij met de applicaties willen ondersteunen.

Stel: u bent auteur van een applicatie dat op basis van gebruikersinput een huurcontract genereert en u stelt deze applicatie beschikbaar via de hostingomgeving van Berkeley Bridge. Tijdens het doorlopen van de vragen wordt waarschijnlijk gevraagd om persoonsgegevens van de toekomstige huurder, zodat het document direct pasklaar kan worden opgesteld. Wie is nu exact waarvoor verantwoordelijk?

Als ‘eigenaar’ van deze applicatie bent u in het kader van de AVG ‘verwerkingsverantwoordelijke’ van de gegevens die worden uitgevraagd bij de toekomstige huurder. Omdat de applicatie wordt gehost op een omgeving van Berkeley Bridge is Berkeley Bridge op dat moment een ‘verwerker’. Deze keten zet zich voort naar bijvoorbeeld leveranciers die aan Berkeley Bridge servercapaciteit verhuren; zij zijn op hun beurt óók weer verwerkers.

De AVG schrijft voor dat aan dit proces zogenaamde verwerkersovereenkomsten ten grondslag liggen waarin de verantwoordelijkheid en de zorgvuldigheid van het omgaan met deze gegevens is vastgelegd. Berkeley Bridge biedt daarom op verzoek een verwerkersovereenkomst aan haar klanten en heeft dit type overeenkomst ook met haar leveranciers.

De AVG kent een aantal vrij specifieke rechten toe aan personen wier gegevens worden verwerkt, bijvoorbeeld het recht op inzage, recht op aanpassing en een recht op vergetelheid. Belangrijk is echter allereerst dat gegevens alleen met een specifiek en correct doel worden gevraagd, alleen daadwerkelijk voor dat doel worden gebruikt én dat de persoon in kwestie daar ook van op de hoogte is. Als dit wordt vertaald naar het voorbeeld van een huurcontract kan het raadzaam zijn om een uitleg op te nemen waarin duidelijk staat dat de gegevens enkel en alleen worden gevraagd voor het opstellen van de betreffende overeenkomst. Het is ook raadzaam goed na te denken of een bepaald persoonlijk gegeven wel écht nodig is voor een goede werking van het model. Een applicatie die internetgebruikers in staat stelt om na te gaan aan welke regels er voldaan moeten worden om met een drone boven een zeker gebied te vliegen hoeft niet te beginnen met de vraag ‘Wat is uw sofinummer?’, toch? De neiging om gegevens te overvragen komt veel voor, maar staat op gespannen voet met de AVG.

Het is binnen applicaties die gemaakt zijn met de oplossingen van Berkeley Bridge mogelijk om gegevens op te slaan. Bijvoorbeeld om een sessie later voort te kunnen zetten of om gegevens te hergebruiken voor verdere analyses. Het is ook mogelijk om een applicatie gebruik te laten maken van een database om management informatie op te slaan. Alhoewel deze mogelijkheden worden geboden, moeten auteurs beseffen dat er implicaties met betrekking tot de AVG kunnen zijn. Zodra je ervoor kiest om persoonsgebonden gegevens op te slaan, moet je tenslotte o.a. ook kunnen voldoen aan een verzoek om wijziging, verwijdering of inzage.

Afhankelijk van de wijze waarop gegevens zijn vastgelegd bieden de oplossingen van Berkeley Bridge hier diverse handvatten voor. Zo kan de gebruiker in staat worden gesteld om eventuele sessies via het menuscherm zelf te laten verwijderen. Daarnaast is het sowieso goed om als auteur stil te staan bij de uiteindelijke doelstellingen van de applicatie. Bij het aanvinken en vastleggen van management informatie is het bijvoorbeeld verstandig om goed na te gaan of persoonlijke informatie wel écht nodig is om het doel van de informatieverzameling te bereiken. Is het nodig om de naam van een partij op te slaan om een analyse te maken van de meest gebruikte paden door een vragenstructuur? Vaak niet. En als u geïnteresseerd zou zijn in de gemiddelde leeftijd van de gebruikers van een applicatie is het natuurlijk ook mogelijk om alleen een geboortejaar of periode op slaan, en geen exacte datum en/of een naam.

De AVG vraagt van u dus vooraleerst om goed na te denken, zorgvuldig te handelen en transparant te zijn als het gaat om uitvragen van gegevens. Niet getreurd: per saldo zijn dat namelijk ook ingrediënten die uiteindelijk resulteren in de beste applicaties.

– Maarten van Duijn

Productmanager bij Berkeley Bridge