Published On: 21st Oct. 2019 | Reading Time: (1-2 min) | Author: Navdeep Kumar
Sinds 25 mei 2018 is het zo ver: De GDPR (General Data Protection Regulation), de Nederlandse AVG (Algemene Verordening Gegevensbescherming) is van kracht.In dit artikel besteden we aandacht aan een verandering op privacy-gebied waarmee organisaties wereldwijd wordengeconfronteerd. De oorzaak van deze veranderingen is de nieuwe Europese privacywetgeving. De regels omtrent dataverwerking worden veel strenger, maar zijn vooral gericht op het afleggen van verantwoording. Een belangrijke verandering die de GDPR introduceert is Privacy by Design en Privacy by Default. De begrippen privacy by design en privacy by default worden vaak tezamen genoemd, maar toch verschillen de betekenissen van elkaar.
Het idee achter privacy by design is om al in een vroeg stadium zowel technisch als organisatorisch voor een zorgvuldige omgang met persoonsgegevens te zorgen. Privacy by design geeft aan dat bij de ontwikkeling van nieuwe producten en diensten aandacht moet worden besteed aan privacy bij gegevensverwerkingen.Vooral bij het ontwikkelen van nieuwe ICT-producten en -diensten gaat het erom dat de ontwikkelaars in het ontwikkelproces gebruik maken van privacy-verhogende maatregelen (ook wel privacy enhancing technologies of PET genoemd).
Uw organisatie kan zich bijvoorbeeld afvragen of het verwerken van persoonsgegevens voor uw product of dienst wel daadwerkelijk nodig is of dat u bijvoorbeeld ook kunt werken met volledig geanonimiseerde gegevens. Indien het voor uw organisatie van belang is om persoonsgegevens te verwerken, dan moet uw organisatie goed nadenken over de beveiliging van deze gegevens. De beveiliging van deze persoonsgegevens kan geschiedde doormiddel van encryptie en met behulp van acces control. Dit wordt ook wel het pseudonimiseren van gegevens genoemd. Uw organisatie dient tevens rekening te houden met de rechten van betrokkenen, uw registraties en uw bewaartermijnen. Voorts zijn data-minimalisatie en privacy by default belangrijke onderdelen van privacy by design.
Een onderdeel van privacy by design waar aandacht aan moet worden besteed is data-minimalisatie. Ten tijde van het ontwerpen van de software of dienst moet worden gewaarborgd dat uw organisatie niet meer persoonsgegevens verzameld dan daadwerkelijk nodig is voor uw doel. Een website zoals bol.com mag wel uw adresgegevens opslaan om de door u geplaatste bestelling af te leveren op uw huisadres, maar heeft hiervoor niet uw geboortedatum nodig. Het is van belang dat organisaties stilstaan bij de vraag of de opgevraagde gegevens daadwerkelijk nodig zijn voor het uitvoeren van uw doel. Gegevens verwerken voor de zekerheid mag niet meer.
Privacy by default kan gezien worden als een onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen voor al uw producten en diensten altijd zo privacy-vriendelijk mogelijk zijn. Zo moet uw organisatie ervoor zorgen dat persoonsgegevens nooit standaard zichtbaar zijn. Als voorbeeld kunnen wij kijken naar een profiel op Facebook. U kunt ervoor kiezen om uw profiel zichtbaar te maken voor iedereen. Toch zal Facebook in haar standaardinstellingen uw profiel moeten afschermen tot u er zelf voor kiest om deze openbaar te maken. Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-applicatie. De aanmelding voor de nieuwsbrief van uw organisatie mag hierdoor niet standaard aangevinkt staan op uw website. Echter, uw organisatie mag de gebruikers geen toegang ontzeggen bij het niet delen van persoonsgegevens. De gebruiker van applicatie of website zou zelf mogen besluiten waar hij zich voor zou willen aanmelden en deze hokjes mogen dan niet al bij voorbaat aangevinkt zijn.
De GDPR verplicht organisaties om invulling te geven aan de begrippen privacy by design en default.Artikel 25 van de Algemene Verordening Gegevensbescherming verplicht iedere partij die verantwoordelijk is voor de verwerking van persoonsgegevens tot ‘privacy by design’ en ‘privacy by default’ of in het Nederlands: ‘gegevensbescherming door ontwerp en door standaardinstellingen’.Al dan niet gedwongen door het risico op boetes, komt daarbij dat het duurder is om privacy bydesign met terugwerkende kracht door te voeren dan hier bij de ontwikkeling van producten en diensten al rekening mee te houden.
Met een boete die kan oplopen tot EUR 10.000.000 of 2% van de wereldwijde jaaromzet van uw organisatie liegen de consequenties van een schending van de verplichtingen tot ‘privacy by design er niet om. Uw organisatie dient daarom bij de ontwikkeling van nieuwe producten, diensten of informatiesystemen te controleren of de wijze waarop gegevens worden verwerkt geen inbreuk maakt op de privacy vanbetrokkenen personen. Het is van groot belang dat organisaties juridisch en technisch advies in winnen over privacy enhancing technologies en andere maatregelen die de privacy van betrokkenen waarborgen. Indien u vragen of hulp nodig heeft over het concept “privacy by design”, kunt u daarmee terecht bij de consultants van EMEA Consulting via gdpr@emea-consulting.org. Het achteraf wijzigen en verwijderen van privacy risico’s bij een dienst of product zal immers complexer, tijdrovend en kostbaarder zijn. Voorkomen is in dit geval daarom altijd beter dan genezen.
