De AVG (Algemene Verordening Gegevensbescherming) is de Europese wet die regelt hoe organisaties met persoonsgegevens mogen omgaan. Hij geldt voor iedereen die klanten in de EU bedient, of je nu een webshop runt, een SaaS-product bouwt of gewoon een contactformulier hebt staan. De wet ging in mei 2018 in en werd al snel het voorbeeld dat veel landen buiten Europa overnamen.
In de kern stelt de AVG een paar eerlijke vragen. Heb je een goede reden om deze gegevens te verzamelen? Heeft de persoon ermee ingestemd? Kan diegene ze inzien of laten verwijderen? Worden ze veilig bewaard? Op al die vragen wordt verwacht dat je een antwoord hebt.
Een concreet voorbeeld: schrijft iemand zich via je website in voor een nieuwsbrief, dan heb je expliciete toestemming nodig, een vastlegging van wanneer die is gegeven, en een werkende afmeldlink. Je moet ook weten welke systemen dat e-mailadres bevatten, je CRM, je mailtool, elke API waar je het doorheen stuurt, zodat je het op verzoek kunt wissen.
Diezelfde logica wordt lastiger, en belangrijker, naarmate je meer data bewaart. Een big data-opzet die stilletjes records uit veel bronnen samenvoegt, kan iemand herkennen ook al noemt geen enkele tabel die persoon, precies het soort profilering waar de wet scherp op let. De veiligste gewoonte is om vooraf minder te verzamelen, want data die je nooit hebt opgeslagen kun je ook nooit lekken, en hoef je later ook nooit uit te leggen of te verwijderen.
Bij TopDevs houden we hier vanaf de eerste dag rekening mee: zo min mogelijk gegevens verzamelen, versleuteld opslaan, EU-hosting waar dat telt, en helder vastleggen waar elk stukje data zich bevindt.