GDPR voor SaaS-producten
GDPR (General Data Protection Regulation) of AVG (Algemene verordening gegevensbescherming), is de meest strikte privacy- en security wetgeving ter wereld en geldt voor elke organisatie die data verwerkt of verzamelt van Europeanen. De impact van GDPR op SaaS-producten is groot. Veel SaaS-producten beheren en verwerken immers grote hoeveelheden data.
Voor de meesten van ons is het niet bepaald spannende materie. Echter, GDPR is verplicht. Zeker als je de eigenaar bent van een SaaS-product zul je simpelweg compliant moeten zijn. Jouw gebruikers verlangen het van je, en je zit natuurlijk niet te wachten op een boete…
BELANGRIJKSTE LEERPUNTEN
- 8 Basisrechten GDPR
- Checklist voor SaaS producten
Onder GDPR hebben gebruikers acht basisrechten:
- Het recht op toegang: dit betekent dat personen het recht hebben om toegang te vragen tot hun persoonsgegevens en om te vragen hoe hun gegevens door het bedrijf worden gebruikt nadat ze zijn verzameld.
- Het recht om te worden vergeten: als consumenten geen klant meer zijn, of als zij hun toestemming aan een bedrijf om hun persoonsgegevens te gebruiken intrekken, hebben zij het recht om hun gegevens te laten wissen.
- Het recht op gegevensoverdraagbaarheid: personen hebben het recht om hun gegevens van de ene dienstverlener naar de andere over te dragen.
- Het recht om te worden geïnformeerd: individuen moeten worden geïnformeerd voordat gegevens worden verzameld.
- Het recht om informatie te laten corrigeren: dit zorgt ervoor dat personen hun gegevens kunnen laten bijwerken als ze verouderd, onvolledig of onjuist zijn.
- Het recht om verwerking te beperken: individuen kunnen vragen dat hun gegevens niet worden gebruikt voor verwerking. Hun dossier kan in dit geval blijven bestaan, maar niet worden gebruikt.
- Het recht om bezwaar te maken: dit omvat het recht van personen om de verwerking van hun gegevens voor marketingdoeleinden stop te zetten.
- Het recht om in kennis te worden gesteld: in het geval van een datalek hebben betrokkenen het recht hierover binnen 72 uur te worden ingelicht.
Niet GDPR-compliant zijn kan resulteren in zware boetes. Er zijn twee boete trappen, met een maximum van 20 miljoen euro of 4 procent van de wereldwijde omzet. Bovendien hebben eindgebruikers die schade hebben geleden door inbreuken het recht om schadevergoeding te eisen.
GDPR Compliance Checklist voor SaaS-producten:
Voordat je kunt beginnen met het checken van de compliance van jouw product is het belangrijk om te weten of je een data processor of een data controller bent. Volgens GDPR-wetgeving is een B2C gefocust SaaS-bedrijf (in de meeste gevallen) technisch gezien tegelijkertijd een data processor en data controller. Dit omdat een SaaS-platform data van gebruikers verzamelt en het doel van de verwerking van deze data bepaalt. Een B2B gefocust SaaS-bedrijf daarentegen is alleen een processor.
- Een data controller is de eigenaar en controller van persoonlijke data van consumenten en verzamelt deze voor eigen bedrijfsdoeleinden. Een data controller beslist voor welke doeleinden de verzamelde data wordt gebruikt.
- Een data processor neemt tijdelijk bezit van gebruikersdata om deze te verwerken, maar alleen op de manier waarop de data controller instrueert.
De volgende checklist is van toepassing op zowel data controllers als data processors. Als uw product GDPR-compliant is, kunt u op al deze vragen ‘ja’ antwoorden;
- Je hebt GDPR Data Map van jouw SaaS-product:
a. Personal data – Welke data verzamelt en verwerkt jouw product en onder welke juridische basis?
b. Source – Vanuit welke bronnen verzamel je jouw data?
c. Reason – Waarom verzamel je deze data? En verzamel je niet teveel data?
d. Handling – Hoe bewaar en verwerk je deze data?
e. Disposal – Wanneer verwijder je deze data?
f. Sharing – Met wie deel je deze data? (e.g. third party vendors) - Je hebt expliciete toestemming van al jouw gebruikers om hun (persoonlijke) informatie te verzamelen en te gebruiken.
- Je beheert de toestemmingen (consent) die jouw heeft verkregen op gepaste wijze.
- Je faciliteert in de acht GDPR basisrechten en heeft deze opgenomen in jouw privacy policy.
- Je privacy policy biedt gebruikers zoveel mogelijke relevante informatie over de manier waarop je hun gegevens bewaart en verwerkt.
- Je hebt een Data Protection Impact Assessment (DPIA).
- Je hebt jouw data security op orde.
- Je hebt de volgende technische maatregelen geïmplementeerd:
a. Data kan worden geanonimiseerd of gepseudonimiseerd
b. Data is versleuteld (encrypted)
c. Je beschikt over authenticatie mechanismen voor het wijzigen van gegevens
d. Je maakt gebruik van 2-step verification
e. Je maakt gebruik van data minificatie
f. Je kunt vertrouwen op goede back-ups
g. Je maakt gebruik van Web Application Security zoals TLS en SSL
h. Jouw datacenters zijn gevestigd in Europa of de Verenigde Staten
i. De wachtwoorden van jouw gebruikers zijn versleuteld
Checklist: GDPR voor SaaS-producten
Ready for next level product development?
Laten we een digitaal product ontwikkelen waar eindgebruikers en business stakeholders blij van worden en dat bovendien toekomstbestendig, schaalbaar, veilig en gemakkelijk te onderhouden is.