Kennis

Privacy by design: een win-win situatie

17 november '21 4 min Privacy & Informatiebeveiliging

Ontwikkel je als organisatie een nieuw product of nieuwe dienst waarbij persoonsgegevens zullen worden verwerkt? Dan is het essentieel om de bescherming van de persoonsgegevens mee te nemen in het ontwerp. In AVG-termen heet dit: privacy by design. Ontdek wat privacy by design inhoudt, waarom je er als organisatie niet omheen kan en krijg praktische handvatten om privacy by design binnen jouw organisatie toe te passen.

Gegevensbescherming door ontwerp en standaardinstellingen

De AVG verplicht organisaties persoonsgegevens te beschermen door ontwerp en standaardinstellingen. Verwerkt een organisatie bij de ontwikkeling van een nieuw product of nieuwe dienst persoonsgegevens, dan speelt naleving van dit voorschrift al in de eerste fasen van de planning een belangrijke rol. Toepassing van privacy by design begint dus bij het ontwerp en duurt voort gedurende de gehele levenscyclus van de verwerking. Denk hierbij aan de volgende fasen in de verwerking: het ontwerp, inclusief inkoop, aanbestedingen, uitbesteding, ontwikkeling, onderhoud, testen, opslag en vernietiging. Bovendien geldt naleving van het voorschrift ook voor al bestaande producten of diensten.

De zeven principes van privacy by design

Privacy by design kent de volgende zeven principes:

1. Proactief in plaats van reactief

Vooraf privacyrisico’s in kaart brengen en op basis daarvan preventieve maatregelen nemen, betekent anticiperen op -en dus zoveel mogelijk voorkomen van- inbreuken op de privacy van betrokkenen.

2. Privacy is de standaard

Producten en diensten moeten standaard ingesteld zijn om de hoogste mate van privacy te waarborgen, maar met eenvoudig bedieningsgemak van de gebruiker in acht genomen. Denk bijvoorbeeld aan de standaardinstellingen van een cookiebanner. Pas als een websitebezoeker via de cookiebanner toestemming geeft, mogen marketing/tracking cookies geplaatst worden.

3. Integreren van gegevensbescherming in het ontwerp

Door privacy by design wordt privacy integraal onderdeel van het product of de dienst.

4. Volledige functionaliteit

Alle legitieme belangen en doelstellingen dienen op zodanige wijze te worden gefaciliteerd dat de betrokkene zijn privacy niet hoeft in te leveren.

5. End-to-end beveiliging

Privacy by design houdt rekening met het veilig opslaan van persoonsgegevens gedurende de gehele levenscyclus en ook met een juiste manier van vernietigen.

6. Zichtbaarheid en transparantie

Openheid en transparantie over de gegevensverwerking, creëert vertrouwen bij alle betrokken partijen.

7. Respect voor privacy van de betrokkene

Bij toepassing van privacy by design staat de gebruiker of klant centraal door standaard instellingen, transparantie, duidelijke communicatie en gebruiksvriendelijke mogelijkheden.

Denise Brouwer

Interim privacy counsel

Privacy by design toepassen

Hoe pas je de bovengenoemde zeven principes vervolgens toe? Wij geven je een aantal handvatten:

1. Aanwezigheid van persoonsgegevens

Beoordeel bij de ontwikkeling van een nieuw product of nieuwe dienst of er sprake is van aanwezigheid van persoonsgegevens. Is dit het geval, neem dan de privacyrichtlijnen in acht, zoals de rechtmatigheid, doelbinding en minimale gegevensverwerking.

Lees meer over deze en andere belangrijke privacyrichtlijnen.

2. Risico’s en rechtmatigheid

Schat de risico’s in en beoordeel de rechtmatigheid van de gegevensverwerking. Dit kan bijvoorbeeld aan de hand van een Data Protection Impact Assessment (DPIA) als de verwerking een hoog risico kan inhouden voor de betrokkene.

3. Implementeer risicobeperkende maatregelen

Nadat de privacyrisico’s in kaart zijn gebracht dienen organisaties passende maatregelen te nemen om de betreffende risico’s te beperken. Voorbeelden van mogelijk geschikte maatregelen en waarborgen zijn, afhankelijk van de context en het risico van de gegevensverwerking, pseudonimisering van persoonsgegevens & betrokkenen informatie verstrekken over de opslag van persoonsgegevens.

Een andere mogelijk geschikte maatregel is toegangscontrole op persoonsgegevens waarbij gebruikersinstellingen standaard zijn gerelateerd aan de toegangsrechten en rollen van een medewerker. Concreet betekent dit dat een medewerker alleen toegang krijgt tot persoonsgegevens die nodig zijn voor zijn of haar functie. In een autorisatiematrix kan worden beschreven welke medewerker welke rechten heeft en waarom.

Als eenmaal de maatregelen zijn gedefinieerd is het van belang om een plan op te stellen, zodat deze maatregelen ook daadwerkelijk worden geïmplementeerd en daarop gemonitord kan worden. Wat kan in dit plan staan? De te nemen acties, wie deze acties moeten verrichten, de deadline en de status van de acties. Vergeet ook niet regelmatig de gegevensverwerking te evalueren en te beoordelen om de persoonsgegevens gedurende de gehele levenscyclus te kunnen beschermen.

4. Zorg voor een goed ingericht proces

Wil een organisatie op een juiste manier uitvoering geven aan de principes van privacy by design, dan is het essentieel dat medewerkers de beginselen van gegevensbescherming en de rechten en vrijheden van betrokkenen begrijpen. Zorg ervoor dat IT architecten, ontwikkelaars, business-, product- en proceseigenaren, maar ook inkopers en hoger management voldoende kennis hebben van privacy by design. Het raakt immers alle lagen van de organisatie. Richt daarnaast op de juiste plekken in de organisatie triggers in om privacy by design goed te kunnen borgen. Denk bijvoorbeeld aan een aanbestedingsproces, projectvoortbrengingsproces of change proces.

Kansen

Door privacy by design toe te passen, ben je als organisatie bewust van mogelijke gevolgen voor de privacy van betrokkenen en verhoog je de kwaliteit van privacybescherming. Bovendien verkleint de toepassing van privacy by design niet alleen de kans op privacyschending, maar ook het risico op boetes en schadeclaims. Daarnaast biedt het kansen om klantvertrouwen op te bouwen. Kortom: een win-win situatie!

Versterking nodig van een privacy & informatiebeveiliging professional?

Heeft jouw organisatie hulp nodig bij de toepassing van privacy by design of een ander privacyvraagstuk? Ons team van interim privacy & security counsels staat voor je klaar.

Ontdek de mogelijkheden

Denise Brouwer

Interim privacy counsel

Over de auteur

Denise Brouwer is interim privacy counsel bij DPA. Ze voorziet organisaties van praktisch juridisch advies over privacy, technologie en informatiebeveiliging. Denise volgde eerder een traineeship privacy & security waarbij ze opdrachten verrichtte in de retail- en energiesector.