Agile werken en privacy gaan hand in hand
Sinds de invoering van de AVG heeft privacy nog nooit zo prominent op de voorgrond gestaan. De AVG vereist, bij wet, dat bij het realiseren van nieuwe diensten, processen en systemen vooraf over privacy is nagedacht. Dit heet “Privacy by Design” (hierna PbD). Bij Agile werken, zoals scrum, wordt opgeleverd per sprint van 2-4 weken, met een focus op snelle implementatie van nieuwe functies. Daarbij wordt privacy vaak toch nog als een bijzaak of sluitstuk beschouwd. Ook hoor ik herhaaldelijk praten over de “privacy ballast” die het Agile werken zou hinderen en bovendien tegenstrijdig zou zijn met Agile principes. Met deze blog wil ik benadrukken dat “Privacy by Design” juist prima is in te passen bij Agile werken en deze twee elkaar zelfs versterken.
In de praktijk zie ik dat privacy compliance overkomt als opdringen, omdat het Agile werken zou hinderen en de Agile principes niet zou respecteren. Agile werken is al decennialang een succesvolle software ontwikkelmethode. Absoluut tegen de Agile werkwijze in is het achteraf toetsen op de privacy aspecten van de opgeleverde ontwerpen en producten, via een afzonderlijke, binnen de AVG vereiste, zogenaamde “data privacy impact assessment” (DPIA). Een alternatief hiervoor, het opstellen van een privacy ontwerp voorafgaand aan de sprints, druist niet alleen in tegen de Agile kaders, maar hindert ook nog het implementeren van de opgeleverde functionaliteiten. Zelfs als vooraf de privacy maatregelen worden ontworpen, kan het nog steeds gebeuren dat deze maatregelen na de oplevering van het product alsnog moeten worden ingebouwd.
De vereiste privacy maatregelen moeten worden ontworpen en ingebouwd, samen met de functies van de producten waar ze betrekking op hebben. Hand-in-hand dus, om elkaar te versterken.
Op welke wijze kunnen Agile werken en privacy elkaar versterken?
Juist door het Agile werken te omarmen en privacy ook toe te passen vanuit de Agile principes. Hierdoor wordt er proactief voor gezorgd dat elk product dat wordt opgeleverd in de sprints de PbD principes volgt. Dit is een concrete aanpak binnen de kaders van Agile werken.
Bij Agile werken zijn er drie logische momenten waarbij de ontwerpkeuzes worden gemaakt voor de op te leveren functionaliteit en producten. Dat zijn de zogenaamde sprint 0, de sprintplanning en de sprintreview. Ook privacy dient terug te komen op deze drie momenten.
De sprint 0
De sprint 0 is het begin van het Agile traject waarin kaders worden benoemd die gelden voor het geheel aan op te leveren functionaliteiten. Deze moeten geborgd worden voor elk op te leveren product. Er kunnen user stories worden opgesteld gericht op het compliant zijn met de AVG en het Privacy beleid van de organisatie. Overigens is een ingevoerd Data Privacy beleid ook één van de AVG vereisten.
Voorbeelden privacy “compliance” user story:
- Voor iedere te realiseren user story is de mogelijke impact op privacy vooraf beoordeeld door de data protection officer.
- Iedere verwerking van persoonsgegevens is opgenomen in het verwerkingsregister.
- De privacy/security test (geautomatiseerd uitgevoerd) is succesvol afgerond en heeft geen issues met de categorieën “kritisch en hoog” opgeleverd.
De sprintplanning
De sprintplanning bijeenkomst beslist voor een sprint aan welke user stories gewerkt wordt, wat dus direct van invloed is op de reikwijdte van het ontwerpwerk. Het is mogelijk om user stories vanuit het perspectief van de data protection officer op te stellen welke moeten worden gerealiseerd.
Voorbeelden privacy user stories:
- User story: recht om vergeten te worden
Als de persoonsgegevens niet meer worden gebruikt voor de doelstelling waarvoor ze verkregen zijn, wil ik als data protection officer, dat deze worden verwijderd uit onze systemen en de systemen van onze leveranciers conform de hieraan gestelde bewaartermijnen. - User story: anonimiseren persoonsgegevens
Als data protection officer wil ik dat alle persoonsgegevens die binnen onze systemen worden vastgelegd en verzameld voor analyse doelstellingen, worden geanonimiseerd zodat we waardevolle en niet persoonlijke informatie kunnen gebruiken. - User story: security
Als data protection privacy officer wil ik dat de persoonlijke data in de logfiles encrypted wordt, zodat er geen persoonlijke data beschikbaar kan komen.
De sprintreview
De sprintreview markeert het einde van een sprint en is waar producten worden getoond en geaccepteerd of afgewezen. In de sprintreview komen ook de privacy gerelateerde user stories terug en wordt beoordeeld of deze in voldoende mate zijn gerealiseerd of daadwerkelijk als “done” te beschouwen.
Door deze drie logische momenten aan te grijpen, versterken PbD en Agile werken elkaar uitstekend.