De Dag van de Privacy

 

Op 28 januari 2022 vieren we de ‘Dag van de Privacy’. De implementatie van de Algemene Verordening Gegevensbescherming (de ‘AVG’), of beter gekend onder de Engelse afkorting ‘GDPR’, was heel uitdagend sedert haar inwerkingtreding op 25 mei 2018. Dat is onder meer het gevolg van onduidelijkheid over de kwalificatie van de gegevensbeschermingsverantwoordelijke, de transfers van de persoonlijke gegevens buiten de Europese Unie (bijvoorbeeld naar de Verenigde Staten) e.a.

De gegevensbeschermingsautoriteiten reiken meer en meer instrumenten aan om de implementatie van GDPR te verduidelijken, zoals: de eerste publicatie van gedragscodes voor notarissen en cloud computing.

Het hoofdstuk is nog niet ten einde want ook in 2022 zijn er nog veel uitdagingen op het gebied van GDPR. Misschien krijgen we eindelijk een Eprivacy verordening, als opvolger van de Eprivacy richtlijn 2002/58/EG, die in het bijzonder de bescherming van extraterritoriale online privacyrechten beoogt? Of misschien ziet het lang verwachte ‘GDPR conformiteitsattest’ het daglicht? Dat laatste is een attest, uitgereikt via een certificeringsinstantie, dat kadert in een mechanisme om producten en diensten te beoordelen op hun conformiteit met gegevensbescherming.

Wegens de Dag van de Privacy, hebben wij er speciaal voor u onderstaand onderwerp uitgekozen.

 

De Franse gegevensbeschermingsautoriteit CNIL publiceert nieuwe richtlijnen voor IT-ontwikkelaars

Wij volgen de ontwikkelingen van GDPR wereldwijd op en, in dit verband, trok een publicatie van de Commission nationale de l’informatique et des libertés (hierna: de ‘CNIL’), of het Franse equivalent van onze Belgische Gegevensbeschermingsautoriteit, van 13 december 2021 onze aandacht. De CNIL publiceerde op die datum een nieuwe versie van de ‘GDPR Richtlijnen voor (IT) ontwikkelaars’.

Hoewel die richtlijnen werden uitgevaardigd door de CNIL, kunnen deze eventueel, uiteraard onder strikt voorbehoud van een ad hoc analyse op basis van de Belgische wetgeving, als bron van inspiratie dienen voor Belgische IT-ontwikkelaars van websites en applicaties. Uniek aan die publicatie is dat er expliciete voorbeelden worden gegeven van coding of programmeertaal die IT-ontwikkelaars kunnen gebruiken bij het programmeren.

De praktische richtlijnen van de CNIL zijn bedoeld om de IT-ontwikkelaars van websites of applicaties te praktisch te ondersteunen bij de implementatie van GDPR, met aandacht voor de bescherming van de persoonsgegevens tegen cyberaanvallen.

De CNIL heeft in dat verband maar liefst 18 praktische richtlijnen uitgewerkt:

  1. Het ontwikkelen in overeenstemming met GDPR;
  2. De identificatie van persoonlijke gegevens;
  3. De voorbereiding van de ontwikkeling;
  4. De beveiliging van uw development environment;
  5. Uw broncode (‘source code’) beheren;
  6. Maak een weloverwogen keuze van uw IT-architectuur;
  7. Beveilig uw websites, applicaties en servers;
  8. Minimaliseer de verzamelde persoonsgegevens;
  9. Het beheer van gebruikersprofielen;
  10. Beheer uw bibliotheken en software development kits (‘SDK’);
  11. Zorg voor de kwaliteit van uw broncode en de bijbehorende documentatie;
  12. Informeer de gebruikers;
  13. De voorbereiding op de uitoefening van de rechten van data subjects;
  14. De bewaartermijn van de persoonsgegevens;
  15. Rekening houden met de rechtsgrondslagen bij de technische implementatie en uitoefening;
  16. Analyseer trackers op uw sites en applicaties;
  17. Verkeer naar uw websites en applicaties meten;
  18. De bescherming tegen cyberaanvallen.

 

De bovenstaande uitvoerige lijst illustreert heel duidelijk het belang van GDPR binnen het kader van projecten inzake IT-ontwikkeling.

Waar vindt u deze richtlijnen terug?

  • een versie op de website van CNIL: klik hier;
  • een versie op de website van GitHub: klik hier voor La CNIL publie un guide RGPD pour les développeurs. Op die website staan er templates en bestaat de mogelijkheid voor IT ontwikkelaars om feedback te geven.

 

De richtlijnen zijn voorlopig enkel beschikbaar in het Frans. Wij kunnen niet alle 18 richtlijnen binnen het kader van deze nieuwsbrief behandelen, aangezien dit ons te ver zou leiden. In de komende maanden zullen wij de richtlijnen meer in detail bespreken. Wij plannen daarom op 14 februari 2022 al de publicatie van een nieuwsbrief waarin wij de eerste richtlijn over het ontwikkelen in overeenstemming met GDPR zullen behandelen.

Hulp nodig bij de implementatie van GDPR of concrete vragen bij de inhoud van deze nieuwsbrief? De implementatie van GDPR is een complexe materie waarvoor u bij voorkeur bijstand vraagt een specialist. Contacteer marc.dhoore@marlex.be en liesbet.demasure@marlex.be.

Auteurs
Marc D'hoore
Marc D'hoore
Liesbet Demasure
Liesbet Demasure