Drupal beschikt over een een breed scala aan standaard modules/tools die ondersteuning en invulling geven bij het implementeren van ‘privacy by design’ principes en AVG wetgeving.
Geen enkele software is een directe oplossing, omdat privacy by design en AVG gaan over het anticiperen op privacyproblemen, specifiek aan een bepaald systeem en organisatie, nog voordat deze zich voordoen, nog voor de eerste regel code is geschreven. Niet achteraf als toevoeging en wanneer het nodig bleek, maar vooraf, direct bij het uitdenken(design), als kernfunctie van het systeem.
Het gaat om het nemen van zowel technische als organisatorische maatregelen die ervoor zorgen dat standaard alleen persoonsgegevens worden verwerkt die nodig zijn voor een specifiek doel van verwerking. Dit betekent dat nagedacht moet worden over processen voor o.a. het minimaliseren, bewaren en verwijderen van gegevens(opslagperiode) en toegang tot die gegevens, ook bij ontsluiten. Waarbij de processen door het systeem technisch kunnen worden geïmplementeerd, afgedwongen en gedocumenteerd. Een voorbeeld hiervan is middels standaard Drupal modules eenvoudig loggen van weergeven, toevoegen, aanpassen of verwijderen van entiteiten met persoonsgegevens. Waar (on)nodig kunnen persoonsgegevens geautomatiseerd worden geanonimiseerd en gepseudonimiseerd, bijvoorbeeld voor de analyse van data in Zoho of bij de export naar Excel bestanden.
Een mogelijke basis daarvoor zou onderzoek naar de gevolgen van de verwerkingen van persoonsgegevens op de privacy kunnen zijn, ook wel bekend als een privacy impact assessment.
Het is uiteindelijk aan de verwerkingsverantwoordelijke (Opdrachtgever) om te bepalen wat volgens haar passende technische en organisatorische maatregelen zijn; waarbij rekening gehouden kan worden met de implementatiekosten en de aard, omvang, context en doeleinden van de verwerking, evenals de risico's van uiteenlopende waarschijnlijkheden en ernst voor de rechten en vrijheden van natuurlijke personen die door de verwerking ontstaan. Dit alles natuurlijk onder begeleiding en advies van Atom als ervaren partner en bij voorkeur in samenwerking met een compliance-officer.
Het rollen en rechten systeem binnen Drupal is erg flexibel en het is eenvoudig een gebruiker het recht tot verwijderen van eigen account toe te wijzen, waarbij geconfigureerd kan worden of data(content) op dat moment bewaard, ongepubliceerd, verwijderd of gekoppeld aan een andere account moet worden.
Maatwerk configuraties zijn uiteraard ook mogelijk. Belangrijk is te realiseren dat dit niet zo eenvoudig is. De opdrachtgever heeft wellicht, per gebruikersrol en type content, specifieke wensen, zoals het anonimiseren en pseudonimiseren van bepaalde data, nodig voor specifieke verwerkingen. Het verzoek tot verwijderen beperkt zich waarschijnlijk niet tot het (Drupal)systeem, maar er zal ook data verwijderd moet worden uit gekoppelde systemen en andere interne systemen.
Conform de AVG heeft de organisatie een maand om uitvoering te geven aan een verzoek tot verwijderen van persoonsgegevens. Wij stellen samen met het de opdrachtgever een retentie schema samen, waarin frequentie en bewaartijden worden vastgesteld. Hierbij wordt AVG-wetgeving in acht genomen.
We kijken daarbij bijvoorbeeld naar het aantal verzoeken dat de opdrachtgever sinds ingang van de AVG heeft ontvangen. Het inregelen van een handmatig proces, dat binnen Drupal beheer, door de opdrachtgever zelf uitgevoerd kan worden en met de audit logging ook geregistreerd wordt lijkt kosten technisch bij weinig verzoeken al snel de beste oplossing.
In ieder geval moet privacy gebruikersgericht, zichtbaar, transparant en gedocumenteerd zijn. Gebruikers moeten duidelijke, gedetailleerde en gebruiksvriendelijke privacy informatie en opties krijgen.
Drupal maakt zeer weinig gebruik van lokale opslag van de cliënt cq. werkplek of browser van de gebruiker. De zeer beperkte cookie die Drupal opslaat bevat geen persoonsgegevens of andere gevoelige informatie en is daarnaast standaard extern onbruikbaar door encryptie. De browser zelf kan statische visuele informatie van de website opslaan, genaamd caching, voor een snellere gebruikerservaring.