Requirements bij softwareontwikkeling

Geplaatst op door

KMO’s, vooral dan de relatief weinig gesofistikeerde KMO’s of de KMO’s met relatief weinig resources, hebben nogal de neiging om amateuristisch te werk te gaan.

Zo blijkt uit de praktijk bijvoorbeeld dat zij geen gedocumenteerd proces hebben voor de uittekening, de ontwikkeling, het testen en de deployment van software; laat staan dat hun software gedocumenteerd is.

Dit kan trouwens ook het geval zijn wanneer een organisatie de ontwikkeling, de deployment en het latere beheer van de software outsourcen aan een extern informatica bedrijf.

Dit heeft tot gevolg dat wanneer bijvoorbeeld de software ontwikkelaars na enige tijd de organisatie verlaten de kennis van de software verloren gaat.

Lees verder

GDPR: minimale gegevensverwerking

Geplaatst op door

De GDPR legt verwerkingsverantwoordelijken de verplichting op om een minimum aan persoonsgegevens te verwerken.

Zij stelt dat persoonsgegevens enkel mogen worden verwerkt wanneer ze toereikend zijn, ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Maar wat betekent eigenlijk noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt?

Lees verder

GDPR en het begrip persoonsgegeven

Geplaatst op door

De GDPR definieert het begrip persoonsgegeven als elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Het is op dergelijke persoonsgegevens dat de beginselen inzake gegevensbescherming conform de GDPR van toepassing zijn.

Maar wat betekent elk gegeven van een geïdentificeerde of identificeerbare natuurlijke persoon?

Lees verder

GDPR en de rol van documentatie

Geplaatst op door

De GDPR stelt dat de verwerkingsverantwoordelijke een verantwoordingsplicht heeft.

Hij moet dus kunnen aantonen dat hij verwerkingen van persoonsgegevens uitvoert in overeenstemming met de GDPR.

Maar het is niet enkel omwille van de GDPR dat men zijn verwerkingen inzake persoonsgegevens moet documenteren.

Er zijn immers nog andere redenen waarom een verwerkingsverantwoordelijke best zijn activiteiten rond het verwerken van persoonsgegevens documenteert.

Lees verder

De onafhankelijkheid van de interne DPO

Geplaatst op door

In een vorige blog werd reeds gewezen op het fenomeen dat interne DPO’s soms het risico lopen om onder interne druk, voor de betrokkenen, minder gunstige adviezen en aanbevelingen te geven.

In deze blog post zal dieper ingegaan worden op de situatie van interne DPO’s bij kleinere organisaties zoals KMO’s.

Lees verder

Verwerker is tevens verwerkingsverantwoordelijke

Geplaatst op door

Wanneer een verwerker tevens verwerkingsverantwoordelijke is is het belangrijk deze situatie duidelijk te documenteren en de betrokkenen hierover in te lichten, en dit zowel door de organisatie die als verwerker optreedt als door de organisatie die optreedt als verwerkingsverantwoordelijke.

Lees verder

GDPR: Gezamenlijke verwerkingsverantwoordelijken

Geplaatst op door

De GDPR kent het begrip verwerkingsverantwoordelijke.

Nochtans is het in sommige situaties niet altijd duidelijk wie er verwerkingsverantwoordelijke is.

Dit komt over het algemeen voor bij organisaties die werken met een heleboel “bevriende” instanties en/of instanties die onder dezelfde koepel of zuil vallen, zoals je dit soms vindt bij VZW’s.

Dergelijke eco-systemen van organisaties hebben niet altijd een formele band met elkaar, zoals men dit doorgaans vindt bij onafhankelijke bedrijven die op “arm’s length” met elkaar handelen en omgaan.

Het begrip verwerkingsverantwoordelijke

De GDPR definieert het begrip verwerkingsverantwoordelijke, of in het Engels controller.

Lees verder

Data Protection by Design en by Default

Geplaatst op door
Antwoord

De GDPR legt verwerkingsverantwoordelijken de verantwoordelijkheid en de verplichting op om hun (computer) systemen en procedures zodanig te ontwikkelen dat zij rekening houden met de bescherming van persoonsgegevens.

Deze verplichting geldt voor alle verwerkingsverantwoordelijken ongeacht de complexiteit van hun verwerkingen en hun omvang.

Het maakt dus niet uit of men een grote multinational is of een KMO, de basisprincipes inzake het verwerken van persoonsgegevens dienen te worden nageleefd.

Aangezien deze maatregel ook van toepassing is op verwerkers en sub-verwerkers, moeten verwerkingsverantwoordelijken bij het aanstellen van verwerkers en sub-verwerkers ook van hen de nodige garanties krijgen dat zij hieraan voldoen.

Data Protection by Design en by Default kadert in de verplichting die op verwerkingsverantwoordelijken rust om passende technische en organisatorische maatregelen te nemen met als doel persoonsgegevens te beschermen.

Lees verder

Authenticatie versus authorisatie

Geplaatst op door

Informatiesystemen, en vooral dan die systemen die via het internet toegankelijk zijn, vereisen een sluitende identificatie van de gebruiker evenals tot wat deze gebruiker toegang heeft.

In de oudheid (althans naar informatica termen), waren informaticasystemen vaak monolitisch van aard. Dit betekent dat een oplossing of een dienst bestond uit slechts één applicatie. Bijvoorbeeld was de gebruikersinterface, de business en functionele logica en de gegevensbron allemaal vervat in één applicatie.

Een dergelijke architectuur laat partiële upgrades, bijwerkingen en bugfixes niet toe zonder het hele systeem offline te nemen.

Vandaag wordt er nog maar zelden gewerkt met monolitische systemen.

Lees verder

GDPR: Het gerechtvaardigd belang

Geplaatst op door

Een van de rechtsgronden die de GDPR verwerkingsverantwoordelijken geeft om de verwerking van persoonsgegevens te rechtvaardigen is het “gerechtvaardigd belang”.

Maar wat bedoelt men eigenlijk met de notie “gerechtvaardigd belang”, en wanneer kan een verwerkingsverantwoordelijke zich hierop baseren om de verwerking of de voorgenomen verwerking van persoonsgegevens op te baseren?

Om een “gerechtvaardigd belang” als rechtsgrond te kunnen inroepen als verwerkingsgrond moeten drie voorwaarden zijn vervuld:

Lees verder