GDPR (General Data Protection Regulation) of AVG (Algemene verordening gegevensbescherming), is de meest strikte privacy- en security wetgeving ter wereld en geldt voor elke organisatie die data verwerkt of verzamelt van Europeanen. De impact van GDPR op SaaS-producten is groot. Veel SaaS-producten beheren en verwerken immers grote hoeveelheden data.

Voor de meesten van ons is het niet bepaald spannende materie. Echter, GDPR is verplicht. Zeker als u de eigenaar bent van een SaaS-product zult u simpelweg compliant moeten zijn. Uw gebruikers verlangen het van u, en u zit natuurlijk niet te wachten op een boete…

1. Het recht op toegang: dit betekent dat personen het recht hebben om toegang te vragen tot hun persoonsgegevens en om te vragen hoe hun gegevens door het bedrijf worden gebruikt nadat ze zijn verzameld. 
2. Het recht om te worden vergeten: als consumenten geen klant meer zijn, of als zij hun toestemming aan een bedrijf om hun persoonsgegevens te gebruiken intrekken, hebben zij het recht om hun gegevens te laten wissen.
3. Het recht op gegevensoverdraagbaarheid: personen hebben het recht om hun gegevens van de ene dienstverlener naar de andere over te dragen.
4. Het recht om te worden geïnformeerd: individuen moeten worden geïnformeerd voordat gegevens worden verzameld.
5. Het recht om informatie te laten corrigeren: dit zorgt ervoor dat personen hun gegevens kunnen laten bijwerken als ze verouderd, onvolledig of onjuist zijn.
6. Het recht om verwerking te beperken: individuen kunnen vragen dat hun gegevens niet worden gebruikt voor verwerking. Hun dossier kan in dit geval blijven bestaan, maar niet worden gebruikt.
7. Het recht om bezwaar te maken: dit omvat het recht van personen om de verwerking van hun gegevens voor marketingdoeleinden stop te zetten. 
8. Het recht om in kennis te worden gesteld: in het geval van een datalek hebben betrokkenen het recht hierover binnen 72 uur te worden ingelicht.

Niet GDPR-compliant zijn kan resulteren in zware boetes. Er zijn twee boete trappen, met een maximum van 20 miljoen euro of 4 procent van de wereldwijde omzet. Bovendien hebben eindgebruikers die schade hebben geleden door inbreuken het recht om schadevergoeding te eisen.

Voordat u kunt beginnen met het checken van de compliancy van uw product is het belangrijk om te weten of u een data processor of een data controller bent. Volgens GDPR-wetgeving is een B2C gefocust SaaS-bedrijf (in de meeste gevallen) technisch gezien tegelijkertijd een data processor en data controller. Dit omdat een SaaS-platform data van gebruikers verzamelt alsmede het doel van de verwerking van deze data bepaalt. Een B2B gefocust SaaS-bedrijf daarentegen is alleen een processor.

• Een data controller is de eigenaar en controller van persoonlijke data van consumenten en verzamelt deze voor eigen bedrijfsdoeleinden. Een data controller beslist voor welke doeleinden de verzamelde data wordt gebruikt.
• Een data processor neemt tijdelijk bezit van gebruikersdata om deze te verwerken, maar alleen op de manier waarop de data controller instrueert.

De volgende checklist is van toepassing op zowel data controllers als data processors. Als uw product GDPR-compliant is, kunt u op al deze vragen ‘ja’ antwoorden;

1. U heeft GDPR Data Map van uw SaaS-product:
   1. Personal data – Welke data verzamelt en verwerkt uw product en onder welke juridische basis?
   2. Source – Vanuit welke bronnen verzamelt u uw data?
   3. Reason – Waarom verzamelt u deze data? En verzamelt u niet teveel data?
   4. Handling – Hoe bewaart en verwerkt u deze data?
   5. Disposal – Wanneer verwijdert u deze data?
   6. Sharing – Met wie deelt u deze data? (e.g. third party vendors)
2. U heeft expliciete toestemming van al uw gebruikers om hun (persoonlijke) informatie te verzamelen en te gebruiken.
3. U beheert de toestemmingen (consent) die uw heeft verkregen op gepaste wijze.
4. U faciliteert in de acht GDPR basisrechten en heeft deze opgenomen in uw privacy policy.
5. Uw privacy policy biedt gebruikers zoveel mogelijke relevante informatie over de manier waarop u hun gegevens bewaart en verwerkt.
6. U heeft een Data Protection Impact Assessment (DPIA).
7. U heeft uw data security op orde.
8. U heeft de volgende technische maatregelen geïmplementeerd:
   1. Data kan worden geanonimiseerd of gepseudonimiseerd
   2. Data is versleuteld (encrypted)
   3. U beschikt over authenticatie mechanismen voor het wijzigen van gegevens
   4. U maakt gebruik van 2-step verification
   5. U maakt gebruik van data minificatie
   6. U kunt vertrouwen op goede back-ups
   7. U maakt gebruik van Web Application Security zoals TLS en SSL
   8. Uw datacenters zijn gevestigd in Europa of de Verenigde Staten
   9. De wachtwoorden van uw gebruikers zijn versleuteld

GDPR en compliancy kunnen bijzonder ingewikkeld zijn. Heeft u hulp nodig met het functioneel GDPR-compliant maken van uw SaaS-product? Neem dan contact met ons op, we helpen u graag verder.