Thema Privacy by Design

door | 8-jan-2018 | nieuws

De Algemene Verordening Gegevensbescherming (AVG) kent een aantal nieuwe verplichtingen ten opzichte van de huidige regelgeving. Organisaties hebben tot 25 mei 2018 de tijd om te zorgen dat zij voldoen aan de nieuwe eisen. Een van de nieuwe eisen is Privacy by Design (PbD) artikel 25van de AVG. Bij een goede PbD aanpak is het voor organisaties mogelijk om bijna alle aspecten voor AVG compliance gestructureerd en overzichtelijk aan te pakken.

Wat is Privacy by Design

Privacy by Design betekent dat de bescherming van privacy, of eigenlijk de bescherming van persoonsgegevens, in het ontwerp van producten of diensten (zoals informatiesystemen) meteen vooraf wordt ingebouwd. De omschrijving in de AVG biedt echter weinig houvast en blijft algemeen. Het artikel (25) spreekt over technische en organisatorische maatregelen naar de stand van de techniek. Maar hoe maak je dat nu concreet zonder in abstracte principes te blijven hangen.

Welke aspecten spelen een rol

Een goede manier om dat te doen is om vanaf het eerste ontwerp te bekijken welke privacy aspecten c.q. persoonsgegevens hierbij een rol spelen. In ieder geval mogen alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het afgesproken doel. Dus beschrijf eerst goed waarvoor je persoonsgegevens wilt verwerken. Vervolgens is het zaak om te kijken of het wel echt nodig is om persoonsgegevens te verwerken. Kan het doel ook bereikt worden met bijvoorbeeld anonieme gegevens (anonimisering)? In dat geval verwerk je geen persoonsgegevens. Als je wel echt persoonsgegevens nodig hebt zijn er een aantal beschermende maatregelen aan de orde, zoals pseudonimiseren en versleuteling (encryptie). Deze maatregelen zorgen ervoor dat niet altijd voor iedereen die met de gegevens werkt duidelijk/herkenbaar is over wie het gaat. Maar ook dat als gegevens onverhoopt worden gelekt (gehackt) er geen schade ontstaat voor de personen over wie het gaat.

Vervolgens moet er in voorzien worden dat alleen hiervoor geautoriseerde mensen bij de gegevens moeten kunnen. Dus, toegangscontrole zowel fysiek (een afgesloten gebouw of ruimte) als logisch (technisch met bijvoorbeeld een gebruikersnaam en wachtwoord en op basis van een autorisatie). Ook mogen persoonsgegevens niet langer bewaard worden dan voor het afgesproken doel van belang is. Als je de gegevens hiervoor niet meer nodig hebt moeten ze verwijderd / vernietigd worden. Uitzondering is als er nog een (wettelijke) plicht is tot archivering (bijvoorbeeld ten behoeve van de belastingdienst).

Tenslotte moeten de rechten van betrokkenen (degenen op wie de persoonsgegevens betrekking hebben) zoveel mogelijk standaard van toepassing zijn. Dat betekent dat de instellingen voor het delen van informatie als standaard zo privacyvriendelijk mogelijk moeten staan. Dus niet zomaar alles delen met iedereen, maar juist niet delen, tenzij de gebruiker een instelling aanpast. En verdere rechten moeten eenvoudig uitgeoefend kunnen worden. Dus de betrokkene moet zijn gegevens kunnen inzien, corrigeren indien nodig, en eventueel laten verwijderen.

Met Privacy by Design voldoen aan de AVG

Bij het goed toepassen van Privacy by Design wordt aan de meeste vereisten van de AVG voldaan. Alle verschillende aspecten komen aan de orde en er wordt een helder overzicht verkregen over de gekozen werkwijze en is aantoonbaar waarom bepaalde keuzes zijn gemaakt. Privacy by Design is daarmee de spil voor AVG compliance en bij een praktische toepassing een erg waardevol hulpmiddel voor organisaties.

Share This