image

Juridische vraag: Mijn klanten eisen steeds vaker dat de door mij ontwikkelde software AVG proof is. Kan dat wel?

woensdag 27 juni 2018, 11:51 door Arnoud Engelfriet, 12 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Als softwareontwikkelaar krijg ik steeds vaker vragen of mijn software wel AVG proof is. Ik begrijp die vraag en wil mensen ook best tegemoet komen, maar het voelt wel als een hellend vlak omdat ik dan ineens aansprakelijkheden op me neem. Stel ik bouw een exportfunctie van persoonsgegevens niet in, moet ik dan de boete betalen als mijn klant daarop aangesproken wordt?

Antwoord: Heel formeel sprekend heeft een softwareontwikkelbedrijf géén plicht om te zorgen dat hun software aan de AVG voldoet. De AVG stelt regels voor de verwerking van persoonsgegevens, en dat gaat pas spelen bij het in productie nemen van die software. Er is dus niets mis met software waarbij persoonsgegevens niet kunnen worden geëxporteerd, het enige is dat een afnemer die niet in kan zetten in situaties waarin de AVG op hem van toepassing is.

Praktisch gezien ontkom je er niet aan om rekening te houden met de AVG, precies om die reden. Een softwarebedrijf met Nederlandse klanten kan het niet maken om zo’n exportfunctie weg te laten, want zijn klanten voldoen dan gewoon niet aan de wet en hebben dus een groot probleem als ze deze software in gebruik zouden nemen.

De discussie zal dus meer gevoerd worden op hoe ver je moet gaan als developer, en ook waar de kosten komen te liggen. Want dat er een exportfunctie moet zijn is één ding, welke gegevens er wel en niet onder vallen is een heel ander. Daar zijn ook de juristen het nog niet helemaal over eens, bijvoorbeeld. En er zijn nog veel meer dingen: hoe vraag je precies toestemming en hoe makkelijk moet deze in te trekken zijn?

Ik denk dat je er op dit moment dan ook niet aan ontkomt om hier in detail over te spreken met je klant. Dit kan mijn software, dit wil jij erbij, ik weet van de AVG en wat zie jij? (/juf Ank). En dat dan vastleggen in functionele specificaties of test cases, en in het contract opnemen dat jouw verantwoordelijkheid is dat het zal werken zoals vastgelegd.

In de toekomst zie ik meer mogelijkheden. De AVG kent de optie om technologieën voor gegevensbescherming of -verwerking te certificeren. Je zou dan als developer zo’n certificaat kunnen halen, en daarmee je klanten gerust stellen dat ze jou prima kunnen kopen. Eventuele aansprakelijkheid zou dan zeer mee moeten vallen (je bent immers gecertificeerd) en zou wellicht ook nog te verhalen zijn op de certificaatverstrekker. Maar dit zal nog wel een jaar of vijf duren, minstens.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
27-06-2018, 18:29 door beatle
Inderdaad, de vraag is vooral in hoeverre je software de klant ondersteund om te kunnen voldoen aan de AVG. Vragen die daarbij spelen zijn "kunnen gegevens verwijderd worden?" "kunnen gegevens geëxporteerd worden?" "kunnen betrokkenen zelf de gegevens inzien/aanpassen etc.?" en ga zo maar door. Wat nodig/mogelijk is, is daarbij ook afhankelijk van de functie/doel van de software. Maar het voldoen aan de AVG is de verantwoordelijkheid van de klant/gebruiker van het systeem, niet de software. Maar hoe beter de AVG ondersteuning ("AVG proof") hoe makkelijker voor de klant/gebruiker.

Van belang is natuurlijk ook de veiligheid. Wordt de software online aangeboden dan is adequate bescherming ook een verantwoordelijkheid van de aanbieder. Vragen die dan spelen zijn "wordt de toegang goed afgeschermd?" "worden de gegevens versleuteld opgeslagen/uitgewisseld?" "hoe is beheer geregeld?" etc. Dit wordt via een verwerkersovereenkomst juridisch geregeld (afspraken gemaakt) maar ook hier geldt dus de vraag van de klant: "is de software AVG proof?".

Beide onderdelen zijn dus van belang en het is niet moeilijk vast te stellen dat er een concurrentie voordeel te realiseren is wanneer hier op een goede manier invulling aan wordt gegeven.
28-06-2018, 16:02 door karma4
Door beatle: ...
Van belang is natuurlijk ook de veiligheid. Wordt de software online aangeboden dan is adequate bescherming ook een verantwoordelijkheid van de aanbieder. .....
Zeker als het on premise aangeboden wordt moet de software alle mogelijkheden bieden om informatie goed gescheiden naar de gebruikerseisen avg in te richten scheiding van functies met auditing logging DR etc. . Alleen een programma dat functioneel aardig lijkt, is gewoonweg onvoldoende.
De avg gdpr noemt een isms en iso27k als opties voor houvast.
29-06-2018, 12:52 door Anoniem
Waar een software ontwikkelaar natuurlijk bang voor is, is dat met een te mooie export functie, er ook een mooie import functie te maken is...... In het pakket van de concurrentie!

Iets toevoegen om data te exporteren, als een software developer daar technisch moeite mee heeft, dan vraag ik me af waar hij zijn vak geleerd heeft. De onwil heeft volgens mij een heel andere reden. Verplichte data portabiliteit voor software pakketten is in geen wet te vinden namelijk. Zoiets wettelijk verplichten zou echter enerzijds heel gezond zijn voor innovatie. Maar anderzijds een behoorlijk risico dat "de grote jongens in de markt" (lees de Microsofts en de Googles en de Apples) nòg gemakkelijker straks nog meer markten compleet overnemen. Tegen zulke, in principe enorme en niet Europese monopolisten vechten is vrijwel onmogelijk. Het doorbreken van die monopolies lijkt me een beter onderwerp van discussie voor juristen. Want monopolies zijn gewoon verboden verboden toch? Als ik kroketten bak, en ik heb 97% van de hele Europese markt in handen, dan krijg ik er toch ook last mee?
29-06-2018, 14:39 door root
Een praktische oplossing is zoveel mogelijk selfservice te maken. Laat personen zelf bepalen welke gegevens ze verwerkt willen hebben en zorg ervoor dat ze dit zelf ook weer ongedaan kunnen maken. Verwerk alleen die gegevens die je nodig hebt en stel ze alleen beschikbaar aan de personen die het nodig hebben. Zorg er verder voor dat je je houdt aan de basisprincipes (artikel 5 AVG), dan kom je al een heel eind.
29-06-2018, 14:44 door Anoniem
Onmogelijk !

Je ziet het ook vaak bij bedrijven die biometrische en/of parkeer-software-oplossingen willen aanbieden aan commerciele exploitanten.

De hard en software is er juist voor ontworpen om zoveel mogelijke specifieke kenmerken te registereren die commercieel en/of vanuit staatwege verplicht zijn en daarmee het grote kapitaal kunnen versterken en/of gevoelige informatie (bigdata!) kunnen opleveren voor bedrijven en/of de overheden.

Men schuift dan vervolgens alle aansprakelijkheden van zich af en dekt zich op elke manier in.

Avg ?
Hoeft men niet aan te voldoen, de overheid heeft altijd inzage, gebruikt de data en doet met de datamining gewoon mee.
29-06-2018, 14:57 door Anoniem
Door Anoniem: Het doorbreken van die monopolies lijkt me een beter onderwerp van discussie voor juristen. Want monopolies zijn gewoon verboden verboden toch? Als ik kroketten bak, en ik heb 97% van de hele Europese markt in handen, dan krijg ik er toch ook last mee?
Een monopolie is niet verboden, mits zo ontstaan. Wat wel tegengewerkt wordt, is het overnemen van concurrenten om een oligopolie of monopolie te laten ontstaan.
29-06-2018, 16:45 door karma4
Door Anoniem: ....
Avg ?
Hoeft men niet aan te voldoen, de overheid heeft altijd inzage, gebruikt de data en doet met de datamining gewoon mee.
Zonder kennis en achtergrond kun je makkelijk zoals jij doet onzinnige uitspraken doen als framing en stemmingmakerij
29-06-2018, 16:54 door karma4
Door Anoniem: ...Verplichte data portabiliteit voor software pakketten is in geen wet te vinden namelijk. Zoiets wettelijk verplichten zou echter enerzijds heel gezond zijn voor innovatie. ...
Het is verrassend genoeg wel degelijk beschreven als onderdeel van de auteurswet. Je zou verwachten dat een afdingen inkoop procurement met juridische onderbouwing gzou gebruiken, niet dus.

Het grootste probleem met data portabiliteit speel zich echt niet op werkstations af. Daar staat de data niet. Het zij dienstverleners softwareleveranciers voor servers entreprise verwerkingen waar dat probleem speelt.

Hoeveel namen van dat soort lockins wil je hebben?
Sap Oracle Ibm HP Cap gemini Centric Pink Olifant Philips epic etc. Zodra de software specifiek is en extern geregeld wordt hang je.
29-06-2018, 18:19 door ph-cofi
Door karma4:
Door Anoniem: ...Verplichte data portabiliteit voor software pakketten is in geen wet te vinden namelijk. Zoiets wettelijk verplichten zou echter enerzijds heel gezond zijn voor innovatie. ...
Het is verrassend genoeg wel degelijk beschreven als onderdeel van de auteurswet. (...)

Er is meer wetgeving, althans voor de overheid:
https://www.earonline.nl/index.php/Rijksregister_standaarden

Een IT'er kan een inkoper allerlei ontsnappingstips influisteren om tenminste de complete gegevens uit een pakket te kunnen plukken. Beter is het te testen tijdens aanbesteding en vast te leggen in overeenkomst. Een pakket dat geen portabiliteit biedt in de folder, opletten geblazen.
29-06-2018, 21:52 door karma4
Door ph-cofi:
Er is meer wetgeving, althans voor de overheid:
https://www.earonline.nl/index.php/Rijksregister_standaarden
....
Ik reageerde even enkel op dataportabiliteit in zijn algemeenheid.
Voor de overheid heb je inderdaad iso27k reeks met de bir tnk.
Via logius nogal wat uitwisselingsstandaarden voor de basisregistraties digikoppeling stuf en meer.

Er gaat het nodige in de aanvestedingsformulering de eigen verklaringen zeggen dat het een succes is. Als je de details in gaat dan klopt er geen hout van. Gemeentesoftware is maar voir een paar leveranciers. De lockin is vrij hard zoal het brp debacle laat zien. 10 jaar projecteer kosten 100 miljoen en je k an er niets mee. Heel open op github gezet.
05-07-2018, 08:23 door Anoniem
/on topic

Waarom verbaast mij deze vraag niet... terwijl het eigenlijk erg triest is.

Ik heb nog geen standaard softwarepakketten langs zien komen die wel AVG-compliant zijn. Zo ken ik geen standaard softwarepakketten die bijvoorbeeld al een goede exportfunctie hebben, en die een goede implementatie van retentieperiodes hebben, en die een functie om 'the right to be forgotten' goed geimplementeerd hebben.

Het blijft altijd rommelen met de bestaande functionaliteiten voor raadplegen. Retentieperiodes zijn vaak al erg lastig, maar ik heb sowieso nog geen goede implementaties gezien van 'the right to be forgotten', waarbij je bijvoorbeeld met een druk op de knop de gegevens van een klant kunt deleten, scramblen of af kan schermen met toegangsrechten.

Ik kan me dan ook niet voorstellen dat er (grote) bedrijven zijn in Nederland (of Europa) die echt compliant zijn.

Het geeft wel weer aan hoe triest het gesteld is met de proactiviteit van de meeste ontwikkelaars van standaard softwarepakketten. Als wij de afgelopen jaren vroegen naar dit soort functies, dan werd er veelal raar gekeken. Terwijl je als softwareleverancier echt goede sier kunt maken als je wel deze functies hebt ingebouwd!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.