Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA).
Artikel 6: ‘Privacy by Design’ en ‘Privacy by Default’; moet ik er echt wat mee?
Gegevensbescherming door ontwerp, in het Engels ‘privacy by design’, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. ‘Privacy by default’ betekent dat de standaardinstellingen in uw systemen zo zijn gekozen dat de privacy maximaal wordt geborgd. Privacy by design is voor veel privacy officers een moeilijk onderwerp. Er zijn veel theoretische handvatten, maar het in de praktijk toepassen hiervan is vaak complex. Maak daarom uw organisatie vertrouwd met de uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
De begrippen privacy by design en privacy by default worden vaak in één adem genoemd, maar hebben verschillende betekenissen.
Privacy by design houdt in dat u die technische en organisatorische maatregelen neemt om ervoor te zorgen dat u – als standaard – alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Het idee van privacy by design is om in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens te borgen. Bij de ontwikkeling van producten en/of diensten moet vooraf al aandacht zijn voor belangrijke privacybeginselen als dataminimalisering en transparantie. Maak in het ontwikkelproces van ICT-producten en -diensten al gebruik van privacy-verhogende maatregelen (ook wel privacy enhancing technologies of PET genoemd).
Privacy by default houdt in dat u die technische en organisatorische maatregelen neemt die ervoor zorgen dat de standaardinstelling de meest privacy-vriendelijke is. Denk daarbij aan instellingen op een social media profiel. Bij goed ‘privacy by default’ inrichten is het standaard zo dat u niks deelt, tenzij u het zelf aanpast. Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.
Maak uw organisatie nu al vertrouwd met de uitgangspunten van privacy by design en privacy by default. Ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Heeft uw organisatie bijvoorbeeld een app, zorg dan dat deze niet de locatie van gebruikers laat registeren als dat niet nodig is. Verzamelt u in uw organisatie leeftijdsdata? Ga dan eens na of je echt de leeftijd nodig hebt, of een bepaalde leeftijdsgrens (wel/niet ouder dan 18, wel/niet met pensioen).
Om de begrippen privacy by design en privacy by default in één oogopslag te kunnen uitleggen binnen uw eigen organisatie, zou u bijvoorbeeld gebruik kunnen maken van de volgende 10 gouden regels van Privacy by Design. De regels zijn zodanig beschreven dat iedereen ze begrijpt. Niet alleen de privacy professionals, maar ook ICT-ers, juristen, procesmedewerkers en kwaliteitscoördinatoren.
In het volgende artikel wordt ingegaan op de rechten van betrokkenen. Welke rechten hebben cliënten eigenlijk als het gaat om hun privacy?
Marius van Rijswijk is ook een van de sprekers op het HCB Seminar ‘AVG-Proof na 1.5 jaar – Voor kinderopvang, basisonderwijs en kindcentra’ dat georganiseerd wordt door het Haags Congres Bureau op 22 november in Utrecht. Verder met Ina Brouwer, advocaat bij Borg Advocaten en Ard Jan Dunnik, advocaat bij Coupry. Korting voor oud deelnemers Haags Congres Bureau en voor leden van BMK.
Hedendaagse jeugdcriminaliteit: nieuwe vragen en enkele antwoorden na een historische daling
Mensen boven Macht – Edwin Tuin
Advocaat-generaal: geen herziening Arnhemse villamoord
