Als SAAS-provider bied je software as a service aan via de cloud. Naja, “cloud”… je maakt gewoon gebruik van een server natuurlijk (en waar die server precies moet staan is al een interessante privacy-vraag!). De impact van de Algemene Verordening Gegevensbescherming (AVG) op SAAS-applicaties is groot. Dat is eigenlijk ook helemaal niet zo verrassend, aangezien veel SAAS-applicaties nou eenmaal grote hoeveelheden data verwerken. Het is vrijwel onvermijdelijk dat er tussen al die data ook persoonsgegevens zitten. Natuurlijk heb je bij de ontwikkeling van jouw SAAS-applicatie al rekening gehouden met privacy, zoals de privacy-instellingen van de applicatie.
Wat betekent het voor jouw SAAS-applicatie dat de AVG van toepassing is? Welke privacy documenten moet je opstellen? Ben je een verwerker, een verwerkingsverantwoordelijk of allebei? Hoe moet je klanten informeren over hun privacy-rechten? We geven je alvast enkele handvaten.
Breng de datastromen van je SAAS-applicatie in kaart
De AVG stelt een aantal eisen die elk facet van je SAAS-applicatie zouden kunnen beïnvloeden. Denk dan in het bijzonder aan eisen omtrent het verzamelen, verwerken en opslaan van persoonsgegevens. Je eerste taak als SAAS-provider is dan ook om de datastromen eens goed in kaart te brengen. Daarbij kunnen de volgende vragen je op weg helpen:
- Welke persoonsgegevens verwerk je met jouw SAAS-applicatie?
- Waarom verzamel je deze gegevens? Voor welke doeleinden?
- Heb je alle gegevens die je verzamelt ook daadwerkelijk nodig?
- Waar komen de persoonsgegevens vandaan die je verwerkt? Wat zijn de bronnen?
- Waar bewaar je deze gegevens en voor hoe lang?
- Met wie deel je persoonsgegevens en waarom?
Vul je verwerkingsregister(s) in en hou ze up-to-date
Als verwerker of verwerkingsverantwoordelijke moet je een register bijhouden van jouw gegevensverwerkingen. In dit register geef je onder meer de doeleinden van de verwerking aan, waarom je deze gegevens verzamelt en welke technische en organisatorische maatregelen je treft op het gebied van beveiliging. Dit register moet je bovendien up-to-date houden; als er dus iets aan de verwerking verandert, zal je het register daarop moeten aanpassen.
We zien in de praktijk vaak dat SAAS-providers zowel verwerker als verwerkingsverantwoordelijke zijn. Dit betekent dat je als SAAS-provider twee verwerkingsregisters moet bijhouden: één voor jouw rol als verwerker en één voor jouw rol als verantwoordelijke. Je mag zelf bepalen hoe je een verwerkingsregister wilt bijhouden. Het moet alleen wel overzichtelijk blijven. Denk aan een online tool of een simpel Excel-bestandje.
Verwerkersovereenkomst voor SAAS opstellen
Een SAAS-provider kan doorgaans worden beschouwd als een verwerker onder de AVG. Dit betekent dat je een schriftelijke verwerkersovereenkomst dient te sluiten met de verwerkingsverantwoordelijke (vaak is dit de afnemer van de dienst). In de verwerkersovereenkomst moet in ieder geval iets komen te staan over de aard en doeleinden van de verwerking, welke persoonsgegevens je verwerkt en de categorieën van betrokkenen.
Op het moment dat gegevens worden doorgegeven aan partijen die zich buiten de Europese Economische Ruimte bevinden, zul je ook moet kijken naar een adequaatheidsbesluit of een (Europees) modelcontract.
Protocol meldplicht datalekken opstellen
Als SAAS-provider zie je hopelijk het belang in van een degelijke gegevensbeveiliging. Tegelijkertijd is de kans aanwezig dat jouw SAAS-applicatie een keer het slachtoffer wordt van een datalek. Op het moment dat een datalek is geconstateerd (of je hiervan een sterk vermoeden hebt), dien je actie te ondernemen. Welke stappen er precies gezet moeten worden, hangt af van het type datalek. Zo hoef je niet altijd een melding te doen bij de Autoriteit Persoonsgegevens wanneer er sprake is van een datalek. Of een datalek gemeld moet worden bij de AP hangt namelijk af van de impact van het datalek op betrokkenen.
Ingeval van een datalek, wil je als SAAS-provider snel en effectief kunnen reageren om reputatieschade te beperken en boetes van de AP te voorkomen. Het opstellen van een intern protocol “meldplicht datalekken” is daarbij een belangrijke eerste stap.
Privacyverklaring voor SAAS-applicatie
Als SAAS-provider heb je een privacyverklaring nodig. Daarin leg je bijvoorbeeld uit wat de gegevens zijn die je verzamelt en welke rechten de betrokkenen hebben. Een privacyverklaring moet in duidelijke taal zijn opgesteld. Gebruik hiervoor liever geen juridisch jargon, maar plain language dat voor iedereen te begrijpen is.
Als je een privacyverklaring hebt geschreven, is het slim om deze ook af en toe te actualiseren. Wijzigingen in wet- of regelgeving kunnen bijvoorbeeld invloed hebben op jouw privacyverklaring. Houd deze daarom goed in de gaten en pas je verklaring aan waar nodig.
Privacy voor SAAS goed regelen?
De privacywetgeving is veelomvattend en er zijn tal van verplichtingen waar je als SAAS-provider aan moet voldoen. Het goed regelen van privacy begint in ieder geval met het in kaart brengen van alle verwerkingen die je doet. Daarna is het tijd om de juiste privacy-documenten op te laten stellen, zoals een verwerkersovereenkomst en een privacyverklaring.
Onze privacy officers staan klaar om je te helpen. Neem vrijblijvend contact met ons op zodat we samen kunnen kijken welke stappen er gezet moeten worden.