‘Privacy by Design’ en ‘Privacy by Default’; moet u er echt wat mee?
Dit is het zevende van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In deze artikelen behandelen we de belangrijkste thema’s uit de AVG.
Gegevensbescherming door ontwerp, in het Engels ‘privacy by design’, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. ‘Privacy by default’ betekent dat de standaardinstellingen in uw systemen zó zijn gekozen dat de privacy maximaal wordt geborgd. Privacy by design is voor veel privacy officers een moeilijk onderwerp, zeker omdat in onze branche vaak met min of meer standaard software wordt gewerkt en er dus weinig invloed op het ontwerp kan worden uitgevoerd. Maak daarom uw organisatie vertrouwd met de uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
De begrippen privacy by design en privacy by default worden vaak in één adem genoemd, maar hebben verschillende betekenissen.
Privacy by design houdt in dat u die technische en organisatorische maatregelen neemt om ervoor te zorgen dat u – als standaard – alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Denk aan het blokkeren van het veld voor het BSN als u een kandidaat inschrijft die u gaat bemiddelen. Het idee van privacy by design is om in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens te borgen. Bij de ontwikkeling van producten en/of diensten moet vooraf al aandacht zijn voor belangrijke privacybeginselen als dataminimalisering en transparantie. Maak in het ontwikkelproces van ICT-producten en -diensten al gebruik van privacy-verhogende maatregelen (ook wel privacy enhancing technologies of PET genoemd).
Privacy by default houdt in dat u die technische en organisatorische maatregelen neemt die ervoor zorgen dat de standaardinstelling de meest privacy-vriendelijke is. Denk daarbij aan instellingen op een social media profiel. Bij goed ‘privacy by default’ inrichten is het standaard zo dat de kandidaat niks deelt, tenzij hij het zelf aanpast. Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.
Maak uw organisatie nu al vertrouwd met de uitgangspunten van privacy by design en privacy by default. Ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Heeft uw organisatie bijvoorbeeld een app ontwikkeld voor de planning of urenregistratie, zorg dan dat deze niet de locatie van gebruikers laat registeren als dat niet nodig is. Verzamelt u in uw organisatie leeftijdsdata? Ga dan eens na of je echt de leeftijd nodig hebt, of gebruik bepaalde leeftijdsgrenzen (wel/niet ouder dan 18, wel/niet met pensioen).
Om de begrippen privacy by design en privacy by default in één oogopslag te kunnen uitleggen binnen uw eigen organisatie, zou u bijvoorbeeld gebruik kunnen maken van de volgende 10 gouden regels van Privacy by Design. Deze staan beschreven in het boekje ‘Privacy by Design’. Het is hier te bestellen. De regels zijn zodanig beschreven dat iedereen ze begrijpt. Niet alleen de privacy professionals, maar ook ICT-ers, juristen, procesmedewerkers en kwaliteitscoördinatoren.
In het volgende artikel wordt ingegaan op de rechten van betrokkenen. Welke rechten hebben kandidaten eigenlijk als het gaat om hun privacy?
Marcel Reijmers, directeur FlexKnowledge
Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.
