Privacy by default
De betekenis van privacy by default

De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. We nemen in dit artikel de term 'privacy by default' onder de loep.

Het toepassen van AVG binnen jouw organisatie is niet altijd eenvoudig. Dat blijkt ook wel in de praktijk. Eén van die gebieden waarop implementaties niet altijd soepel loopt, is op het gebied van 'privacy by design' en 'privacy by default'. Deze zijn in de praktijk namelijk niet altijd eenvoudig toepasbaar. Deze begrippen zijn te vinden in artikel 25 van de AVG. De termen 'privacy by design' en 'privacy by default' horen bij elkaar, een beetje zoals Bert en Ernie. Ze hebben ook beiden betrekking op de bescherming van privacygevoelige informatie. Toch hebben ze allebei een duidelijk eigen betekenis.

In dit artikel staan we stil bij de term 'privacy by default'. In dit artikel gaan we in op de betekenis en toepassing van de term 'privacy by design'.

Artikel 25 lid 2

Zoals gezegd staan de begrippen 'privacy by design' en 'privacy by default' in de AVG, en wel in artikel 25. In lid 2 van dit artikel vinden we 'privacy by default' terug:

The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.

Onafhankelijkheid en plaats

Maar wat betekent dit nou in de praktijk? Kort gezegd: privacy is de standaard. Privacy by default vereist dat de standaardinstellingen van een ontwerp altijd zo privacy vriendelijk moeten zijn. De Nederlandse term uit de AVG is dan ook 'gegevensbescherming door standaardinstellingen'. Stel dat je in een applicatie kunt kiezen om je gegevens openbaar te maken, dan moet deze optie met andere woorden standaard uit staan. Of anders gezegd: de gebruiker moet er zelf actief voor kiezen om de gegevens openbaar te maken. Een mooi voorbeeld van 'privacy by default'.

Artikel 25 lid 2 geeft aan dat met een aantal onderwerpen rekening moet worden gehouden bij het bepalen van de maatregelen:

  • Standaard verwerk je alleen de persoonsgegevens die nodig zijn. En zeker niet meer
  • Je beperkt ook het aantal verwerkingen (opslag, doorsturen etc.) tot het absolute minimum
  • Wanneer je de persoonsgegevens niet meer nodig hebt, verwijder of anonimiseer je deze
  • Personen krijgen alleen toegang tot de persoonsgegevens wanneer dit noodzakelijk is
Het belang

Kijk je naar de online wereld, dan is de waarde van persoonsgegevens de afgelopen jaren sterk toegenomen. Websites, organisaties en sociale netwerken willen graag zoveel mogelijk te weten komen over jou. Wie je bent, wat je voorkeuren zijn, hoeveel je verdient etc. Er valt veel geld te verdienen met die informatie. Direct via bijvoorbeeld diensten en advertenties, indirect door bijvoorbeeld het doorverkopen van jouw gegevens. Overheden en andere regulerende instellingen willen hier graag paal en perk aan stellen. Een van de manieren om dat te doen is via 'privacy by default'. Je beschermt de gebruikers op deze manier tegen zichzelf. Veel gebruikers laten immers de standaardinstellingen ongemoeid. Ofwel omdat ze deze niet lezen, ofwel omdat ze de impact van de instellingen niet doorzien.

Privacy by default camera
Maatregelen

Wil je met 'privacy by default' aan de slag, dan kun je onderscheid maken tussen technische en organisatorische maatregelen. Het voorbeeld hierboven is een typisch voorbeeld van een technische maatregel. Je zorgt ervoor dat de gebruiker ervoor kan kiezen om zijn gegevens openbaar te maken. Vrijwel iedere applicatie bevat hiervoor mogelijkheden. Bijvoorbeeld dat je kunt aanvinken om opgenomen te worden op de verjaardagskalender, dat je standaard onder een alias kunt reageren, dat standaard jouw emailadres niet wordt getoond. Let wel: het gaat de AVG om de standaardinstelling. Je kunt dus met een gerust hart een minder privacy vriendelijke optie aanbieden, mits dit maar niet de default is!

Je kunt als organisatie ook organisatorische maatregelen nemen voor 'privacy by default'. Je moet dan met name denken aan de mate van beschikbaarheid van privacygevoelige gegevens. Iedere organisatie heeft hiermee te maken. Heb je bijvoorbeeld een personeelsdossier, dan kun je 'privacy by default' toepassen door minimale toegang te geven. Dus bijvoorbeeld alleen de directie en de afdeling HR. Een goed autorisatiebeleid is met andere woorden een prima voorbeeld van een organisatorische maatregelen op het gebied van 'privacy by default'.

Voorbeelden
  • Browsers met een standaard 'Do Not Track'-optie
  • Standaard uitgevinkte checkboxen op formulieren
  • Niet verplichte velden goed herkenbaar maken
  • Opties om gegevens te delen standaard uit
  • Standaard zo min mogelijk informatie tonen
  • Goed ingericht autorisatiemodel voor toegang
  • Beperk het maken van kopieën van documenten
  • Verwijder gegevens wanneer ze niet meer nodig zijn
  • Maak de privacy instellingen inzichtelijk
  • Wees zo helder mogelijk in je taalgebruik
Performity

Performity bevat standaard een uitgebreide privacy module. Of met een mooie woord: een Privacy Management System (PMS). En nog veel meer trouwens. In onze privacy module zit alles wat je nodig hebt om privacy te implementeren in jouw organisatie. Denk aan een (of meerdere) verwerkingsregisters, de mogelijkheid om verzoeken van betrokkenen vast te leggen en te verwerken etc. Verder heeft Performity de AVG wetgeving ook als normenkader toegevoegd. Wel zo makkelijk.

Meer weten? Vraag een gratis demo aan of geef ons een belletje op 088 - 206 30 06. Wij horen graag van je!

Privacy by...

Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.

1 - Privacy by default
2 - Privacy by design

privacy
dataminimalisatie
persoonsgegevens
opslag
marketing
default
design
standaard
instellingen
gevoelig
openbaar
profielen
afschermen
waarborg
transparantie
beheer
5339 Performity Logo   RGB

onderdeel van

Performance Collective logo RGB zonder payoff
Informatie
nieuwsbrief
TELEFOON
ADRES

Lichtenauerlaan 114-120
3062 ME Rotterdam

zakelijk

KVK       89213602
BTW     NL862433873B01
IBAN     NL84 RABO 0343 9299 88