“Privacy by Design” de fundamentele principes

image description

Blog door Latoya Vermaas; Business Consultant Bouw en Van de Meerendonk

Een term die steeds vaker wordt genoemd in relatie tot de AVG is Privacy by Design (PbD). Op hoofdlijnen houdt dit in dat u al vanaf de ontwerpfase van een product of dienst rekening houdt met het borgen van de privacy van de gebruikers. Hierdoor voorkomt u dat gegevens die eigenlijk niet nodig zijn toch worden verwerkt. Ook kunt u in de ontwerpfase nog relatief eenvoudig de juiste technische keuzes maken (toepassen van privacy enhancing technologies) Hierover meer in een vervolgblog.

Om PbD concreter te maken licht ik de 7 fundamentele principes voor PbD toe, zoals opgesteld door Dr. Ann Cavoukian:

  1. Proactief vs. reactief 
    Preventief vs. correctief Breng vooraf de privacy risico’s in kaart met behulp van een Privacy Impact Assessment (PIA) en neem op basis daarvan preventieve maatregelen. Dit beperkt het risico op vervelende situaties als datalekken en high-impact cyberaanvallen. 
  2. Privacy by Default 
    Zorg ervoor dat de standaardinstellingen de privacy van de gebruiker waarborgt, zonder dat de gebruiker hier zelf actie voor hoeft te ondernemen. Zie ook de blog Privacy by Default
  3. Privacy geïntegreerd in het ontwerp
    Maak privacy net als functionaliteit tot een focuspunt tijdens de ontwerpfase. Is het bijvoorbeeld mogelijk de hoeveelheid te verwerken data te minimaliseren? Kan sommige data geanonimiseerd worden? Verzamelt u ook metadata en zo ja, is het noodzakelijk om dit aan een specifieke gebruiker te kunnen koppelen? 
  4. Volledige functionaliteit Een gebruiker moet de volledige functionaliteit van een product of dienst kunnen gebruiken zonder dat hij daarvoor (een deel van) zijn privacy moet inleveren. De zogenoemde cookie-wall is een voorbeeld hoe het niet moet. Hierbij kan de gebruiker de website niet bezoeken als hij geen cookies accepteert. 
  5. End-to-end beveiliging 
    Zorg ervoor dat de privacy gedurende de hele lifecycle goed ingeregeld is. Neem zowel vooraf maatregelen zoals genoemd bij principe 3, maar ook tijdens en na het verzamelen en verwerken van data, bijvoorbeeld via encryptie. U moet tenslotte data niet alleen veilig opslaan, maar ook veilig vernietigen zodra de data niet meer nodig is
  6. Zichtbaarheid en transparantie
    Geef gebruikers eenvoudig inzicht in hoe, waar, wanneer en waarom hun gegevens worden verwerkt. Daarnaast moeten er procedures aanwezig zijn zodat de gebruiker zijn gegevens kan laten aanpassen of verwijderen. 
  7. Respect voor privacy
    Het uitgangspunt van PbD is de gebruiker. Zorg er daarom voor dat het voor de gebruiker zo makkelijk mogelijk wordt gemaakt om zijn privacy te waarborgen. Sterke default privacy instellingen en goede informatievoorziening zijn hierbij van groot belang. 

Hoe aan deze principes invulling kan worden gegeven, verschilt sterk per organisatie. Het is van belang eerst te kijken naar de risico’s en op basis daarvan te bepalen hoe de principes van PbD zo efficiënt mogelijk kunnen worden toegepast.

image description

Meer weten hoe u PbD toepast? Neem dan contact met me op.