Hoe zit maatwerksoftware met AVG/GDPR en data in de EU? (residency, verwerkers, subprocessors)
Geen juridisch advies, wel goede afspraken
Deze paragraaf is geen juridisch advies: voor definitieve interpretatie reken je best op juridische counsel en, waar nodig, een data protection officer (DPO). Wel kunnen we schetsen wat in softwaretrajecten typisch speelt.
Rollen en verantwoordelijkheid
Meestal is de klant de verwerkingsverantwoordelijke voor de persoonsgegevens die in de applicatie terechtkomen; de studio treedt op als verwerker tijdens ontwerp, bouw en onderhoud, tenzij contractueel anders bepaald. Dat vraagt een verwerkersovereenkomst (DPA) met doeleinden, subverwerkers, bewaartermijnen, gegevensexport en -verwijdering, en incidentmelding.
Subprocessors en keten
Een maatwerkproduct gebruikt bijna altijd cloud, mail, monitoring, analytics, die kunnen subverwerkers zijn. Je wilt transparantie over welke partijen wat doen, waar data fysiek kan landen, en welke waarborgen (zoals SCCs bij relevante doorgiften buiten de EER) van toepassing zijn.
Residency en "data in de EU"
Residency is niet magisch: het gaat om welke aanbieder, welke regio's, welke encryptie en welke contractuele garanties. "Alles in de EU" kan een eis zijn; praktisch stem je hostingregio's, logging en backup daarop af. Dat hoort vroeg in Imagine, niet pas bij productie.
Dataminimalisatie en privacy by design
In de applicatie zelf: minimaliseer persoonsgegevens, scheid rollen en rechten, log niet onnodig PII (personally identifiable information), bied export en verwijdering waar nodig, en leg bewaartermijnen vast. Privacy by design is goedkoper dan achteraf aanpassen.