De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. We nemen in dit artikel de term 'privacy by design' onder de loep.
Het toepassen van AVG binnen jouw organisatie is niet altijd eenvoudig. Dat blijkt ook wel in de praktijk. Eén van die gebieden waarop implementaties niet altijd soepel loopt, is op het gebied van 'privacy by design' en 'privacy by default'. Deze zijn in de praktijk namelijk niet altijd eenvoudig toepasbaar. Deze begrippen zijn te vinden in artikel 25 van de AVG. De termen 'privacy by design' en 'privacy by default' horen bij elkaar, een beetje zoals Bert en Ernie. Ze hebben ook beiden betrekking op de bescherming van privacygevoelige informatie. Toch hebben ze allebei een duidelijk eigen betekenis.
In dit artikel staan we stil bij de term 'privacy by design'. In een vorig artikel stonden we al stil bij de betekenis en toepassing van de term 'privacy by design'.
Zoals gezegd staan de begrippen 'privacy by design' en 'privacy by default' in de AVG, en wel in artikel 25. In lid 1 van dit artikel vinden we 'privacy by design' terug:
Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
Privacy by design betekent dat je bij het ontwerpen van een informatiesysteem al rekening houdt met privacy. Zowel technisch als organisatorisch. Nog te vaak komt privacy pas om de hoek kijken wanneer een informatiesysteem al in productie is genomen. Bijvoorbeeld wanneer een verzoek van een betrokkene moet worden verwerkt. Dat is vanzelfsprekend niet de bedoeling. Veel zinvoller is het om in de ontwerpfase al te gaan kijken naar privacy aspecten. Bijvoorbeeld bij de vraag welke gegevens nu echt nodig zijn. Heb je wel echt van een gebruiker zijn BSN nodig? Waarom vraag je de gebruiker om zijn geboortedatum? Hoe lang houd je de gegevens vast? Welke manier van inloggen past het beste? Dit is overigens niet alleen voor de gebruiker zinvol, ook voor de ontwikkelaar van het informatiesysteem zitten er voordelen aan de toepassing van 'privacy by design'. Aanpassingen achteraf zijn nu eenmaal duurder en zorgen vaak voor veel extra inspanning.
Je kunt je overigens (terecht) afvragen of dit artikel wel nodig was. Pakken we er namelijk artikel 5 van de AVG bij, dan kunnen we daar al lezen dat persoonsgegevens op een transparante manier, behoorlijk en rechtmatig moeten worden verwerkt. Het toepassen van 'privacy by design' vloeit hier uit voort. Het is namelijk niet meer dan logisch dat je bij de ontwerpfase al rekening houdt met het transparant, behoorlijk en rechtmatig omgaan met persoonsgegevens van betrokkenen.
Een belangrijk aspect van 'privacy by design' is 'data minimalisatie'. Data minimalisatie betekent dat je er voor zorgt dat er nooit meer persoonsgegevens worden verwerkt dan strikt noodzakelijk voor het doel van de verwerking. Je vraagt je met andere woorden als ontwikkelaar van een informatiesysteem bij ieder persoonsgegeven af of je deze wel echt nodig hebt. Heb je het opleidingsniveau van een gebruiker wel echt nodig voor het aanbieden van een online forum? Zo nee, kies er dan voor om het veld te verwijderen OF het veld niet verplicht te maken. Zorg er in het laatste geval ook voor dat je duidelijk aan de gebruiker laat weten wat de gevolgen zijn van het al dan niet invullen van het veld. Dit heeft alles te maken met transparantie, een ander belangrijk onderdeel van 'privacy by design'.
Privacy by Design is gebaseerd op 7 principes die oorspronkelijk zijn ontwikkeld door Ann Cavoukian:
Performity bevat standaard een uitgebreide privacy module. Of met een mooie woord: een Privacy Management System (PMS). Daarin zit alles wat je nodig hebt om privacy te implementeren in jouw organisatie. Denk aan een (of meerdere) verwerkingsregisters, de mogelijkheid om verzoeken van betrokkenen vast te leggen en te verwerken etc. Verder heeft Performity de AVG wetgeving als normenkader toegevoegd.
Meer weten? Vraag een gratis demo aan of geef ons een belletje op 088 - 206 30 06. Wij horen graag van je!
Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.
1 - Privacy by default
2 - Privacy by design
Lichtenauerlaan 114-120
3062 ME Rotterdam
KVK 89213602
BTW NL862433873B01
IBAN NL84 RABO 0343 9299 88