De AVGB-beginselen van Privacy by Design en Privacy by Default3 min gelezen
Een blog van het privacy-team van Dentons Boekel
Graag lichten wij twee belangrijke principes toe met betrekking tot de verwerking van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (de AVGB). Deze principes gaan vanaf 25 mei 2018, voor een flink deel van organisaties, zorgen voor de nodige wijzigingen in het interne beleid en de technische systemen:
- privacy by design
- privacy by default
Privacy by design en privacy by default (gegevensbescherming door ontwerp en door standaardinstellingen) dwingen organisaties te waken voor de bescherming van persoonsgegevens. Zowel in het beginstadium van de ontwikkeling van producten en diensten als gedurende het gehele proces van gegevensverwerking.
Privacy by design
Privacy by design speelt een rol op het moment dat er nieuwe diensten en producten worden ontworpen. De AVGB verplicht de verantwoordelijke om al tijdens het ontwikkelen van producten en diensten te zorgen voor passende technische en organisatorische maatregelen. Dit zorgt ervoor dat de gegevensbeschermingsbeginselen worden uitgevoerd en gewaarborgd. Vooral bij IT-producten en diensten moet al tijdens het ontwikkelproces gebruik worden gemaakt van privacy verhogende maatregelen.
Kortom; organisaties moeten kunnen aantonen dat de bescherming van persoonsgegevens een aandachtspunt is geweest vanaf het moment van aanvang van het ontwerpproces. Wanneer pas in een later stadium (met terugwerkende kracht) de relevante producten en diensten in overeenstemming met de vereisten uit de AVGB worden gebracht, zullen hiermee vermoedelijk onnodige kosten gepaard gaan.
Privacy by default
Privacy by default houdt in dat organisaties verplicht zijn om alleen persoonsgegevens te verwerken die noodzakelijk zijn voor het specifieke doel van de verwerking. Persoonsgegevens mogen in principe niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk worden gemaakt.
Dit geldt voor:
- De hoeveelheid verzamelde persoonsgegevens
- De mate waarin die gegevens worden verwerkt
- Het termijn waarvoor deze gegevens worden opgeslagen
- De toegankelijkheid van de persoonsgegevens
Om dit te bereiken moeten vanaf het begin technische- en organisatorische maatregelen zijn getroffen.
Privacy by default is voornamelijk van belang voor diensten en producten waarbij de betrokkene zelf de keuze heeft om persoonsgegevens te delen.
Het verplicht organisaties tot het beschermen van de persoonsgegevens door de systemen (e.g. websites, applicaties, apparaten) standaard op de meest privacy vriendelijke wijze in te stellen. Vooral bij de verwerking van persoonsgegevens van online en social media platforms speelt dit een grote rol.
Let op; vooraf aangekruiste hokjes (opt-out) en applicaties die bijvoorbeeld automatisch de locaties van klanten volgen, voldoen in principe niet aan de vereisten van privacy by default.
De praktijk
Om de naleving van de AVGB aan te kunnen tonen, moeten organisaties hun beleid aanpassen en maatregelen treffen die voldoen aan de eisen van privacy by design en privacy by default.
Deze maatregelen zijn:
- Het minimaliseren van de verwerking van persoonsgegevens (niet méér persoonsgegevens verwerken dan noodzakelijk)
- Het zo spoedig mogelijk pseudonimiseren van persoonsgegevens (waarbij persoonsgegevens worden vervangen door een code)
- Transparantie met betrekking tot de functies en de verwerking van persoonsgegevens (waaronder richting de betrokkenen)
- Het in staat stellen van de betrokkenen om controle uit te oefenen op de informatieverwerking
Gedurende het gehele proces, van ontwikkeling tot het gebruik van applicaties, diensten en-of producten waarmee persoonsgegevens zijn gemoeid, moet rekening worden gehouden met het recht op de bescherming van persoonsgegevens. Zorg er dus voor dat de ICT- ontwikkelaar hiervan op de hoogte is.
Op deze manier worden zowel de verantwoordelijken als de verwerkers in staat gesteld om te kunnen voldoen aan hun verplichtingen omtrent de gegevensbescherming.
Een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van privacy by design en privacy by default is voldaan.
Ten slotte
Zoals eerder besproken zullen de beginselen van privacy by design en privacy by default voor een aantal organisaties zorgen voor de nodige wijzigingen in het interne beleid en de technische systemen.
Het is goed om te weten dat de vereiste veranderingen vóór 25 mei 2018 moeten zijn doorgevoerd.
Vanaf dan zal de Autoriteit Persoonsgegevens actief toezien op de implementatie en naleving van de AVGB.
Organisaties die de AVGB niet (behoorlijk) naleven, lopen het risico op forse boetes.
25 mei 2018 lijkt misschien nog ver weg, maar een goede implementatie kost veel tijd!
Het privacy-team van Dentons Boekel
Marc Elshof
Barry Breedijk
Celine van Es