GDPR-compliance betekent dat je persoonsgegevens verwerkt volgens de Algemene Verordening Gegevensbescherming van de EU: alleen verzamelen wat je nodig hebt, een wettelijke reden hebben om het te bewaren, het veilig houden en de rechten van mensen respecteren om hun eigen gegevens in te zien, te corrigeren en te verwijderen. Het geldt voor elke organisatie die gegevens van mensen in de EU aanraakt, waar die organisatie ook zit.
Een handige manier om het te zien is als een zorgplicht, zoals een garderobe bij een evenement. Mensen geven hun spullen af in de verwachting dat je ze veilig bewaart, op verzoek teruggeeft en niet aan vreemden uitdeelt. De AVG legt die belofte voor persoonsgegevens vast. In de praktijk vormt het echte technische keuzes, van beslissingen over dataresidentie over welke regio de data opslaat, tot pseudonimiseren dat verkleint hoe herleidbaar de gegevens zijn. Ook kleine dingen tellen, zoals of een nieuwsbriefaanmelding mensen stiekem op drie andere lijsten zet waar ze nooit om vroegen.
Compliance is geen eenmalig certificaat. Het is een doorlopende manier van werken: gevoelige data versleutelen, beperken wie het kan zien, een duidelijk privacybeleid bijhouden en klaarstaan om een datalek binnen 72 uur te melden. De boetes halen de krant, maar het meeste van de waarde zit in het voorkomen van de rommel en het verloren vertrouwen.
Bij TopDevs bouwen we AVG-denken vanaf het begin in systemen, met dataminimalisatie, opslag binnen de EU, encryptie en duidelijke registratie. Zo is compliance een eigenschap van hoe de software werkt, en geen haastige patch die je er vlak voor een audit bij plakt.