De AVG stelt strenge eisen aan ICT-systemen zoals privacy by design en beveiliging. Hoe zit het als mijn Moodle site versie 3.2 of ouder is?
‘Privacy by design’ houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen en ontwikkeld dat zij zo veel mogelijk rekening houden met de privacy van de gebruikers. Een voorbeeld hiervan is als er een knop is ingebouwd waarmee een gebruiker inzage krijgt in alle persoonsgegeven van hemzelf. Een andere maatregel kan zijn het minimaleren van data.
Een organisatie moet passende technische en organisatorische maatregelen nemen om te waarborgen dat alle verwerkingen volgens de eisen van de AVG worden uitgevoerd. Deze waarborgen moet je ook kunnen aantonen! De AVG kent geen uitzondering voor software die een organisatie reeds in gebruik heeft. Je kan dus niet zeggen dat je volgend jaar pas jouw Moodle 3.1 site gaat upgraden omdat dan het support afloopt van deze Long-Term-Support versie.
In de context van Moodle is het probleem wel dat de 2e maandag van mei Moodle 3.5 uitkomt die AVG-proof is en anderhalve week later al de AVG van kracht wordt. Binnen die korte periode alle Moodle sites upgraden, is ondoenlijk. Zeker als hier maatwerk in zit waar ook de privacy API geïmplementeerd moet worden.
Organisaties die Moodle 3.3 en 3.4 draaien kunnen vanaf volgende week hun sites gaan updaten, omdat dan minor releases uitkomen die AVG-compliant zijn.
Na 25 mei 2018 zal het probleem van de legacy software niet gelijk opgelost zijn. Zorg in ieder geval dat je upgradeplannen zijn uitgewerkt en dat je kan aantonen welke andere maatregelen je hebt genomen. Uiteraard in alle redelijkheid met de omvang, het doel van de verwerking en het soort gegevens (bv bijzondere persoonsgegevens).
Lees onze hele serie blogs over Moodle en de AVG.
Je moet ingelogd zijn om een reactie te plaatsen.