We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Het begrip Privacy by Design is al in de jaren 90 geïntroduceerd door Canadese privacy toezichthouder Ann Cavoukian. Zij was van mening dat niet alleen technische, maar ook organisatorische en fysieke maatregelen tijdens de volledige levenscyclus (van begin tot eind), essentieel zijn voor het behoud van privacy.
Inmiddels zijn de beginselen van Privacy by Design in onze wet- en regelgeving verankerd. Zo leggen onze Algemene Verordening Gegevensbescherming (AVG) Privacy by Design (artikel 25 lid 1 AVG) en Privacy by Default (artikel 25 lid 2 AVG) als verplichting op, ook al worden deze termen niet expliciet genoemd. De verplichting blijft helaas wat abstract en is weinig concreet.
Artikel 25 lid 1 AVG noemt slechts twee concrete verplichtingen:
Verder bevat de AVG een aantal afzonderlijke bepalingen met verplichtingen die nauw samenhangen met Privacy by Design en Privacy by Default. Je kunt het ook anders stellen: om te kunnen voldoen aan deze verplichtingen is het noodzakelijk Privacy by Design toe te passen:
De vraag is: Hoe moeten deze (deels abstracte) verplichtingen in de praktijk worden uitgevoerd? Welk houvast hebben bedrijven en organisaties daarbij?
In 2015, al voor invoering van de AVG, heeft ENISA in haar rapport ‘Privacy and Data Protection by Design – from policy to engineering’ getracht een brug te bouwen tussen “the legal framework” en “the available technologies implementation measures”. Vier jaar later heeft de EDPD-richtlijnen gepubliceerd over de toepassing van data protection by design en default. Ondanks de goedbedoelde pogingen bieden de richtlijnen niet het houvast die zij beoogden te bieden. Bestudering van de richtlijnen leidt mijns inziens tot de conclusie dat slechts een aantal voorbeelden en handvatten wordt gegeven, maar dat de richtlijnen toch vrij abstract blijven. Hetzelfde geldt voor het eerder verschenen ENISA-rapport.
Op grond van de AVG is Privacy & Security by Design een verplichting van de verwerkingsverantwoordelijke (in veel gevallen de opdrachtgever). De praktijk is echter, dat verwerkingsverantwoordelijken software niet zelf ontwikkelen en dat door de opdrachtgever vaak te weinig eisen worden gesteld aan de beveiliging. Dit heeft tot gevolg dat kwetsbaarheden in de software vaak pas aan het licht komen in de gebruiksfase, soms pas op het moment dat er bijvoorbeeld een cyberincident plaatsvindt. Dat is uiteraard een onwenselijke zaak.
Ondanks het feit dat de wet- en regelgeving en aanwezige richtlijnen helaas vrij abstract blijven, is het van belang te realiseren dat de AVG uitgaat van ‘accountability’. Dit betekent dat organisaties zullen moeten documenteren op welke wijze zij aan de AVG voldoen. Ook aan Privacy en Security by Design. Voldoet een organisatie niet aan haar documentatieplicht, dan kan zij door de Autoriteit Persoonsgegevens op de vingers worden getikt.
Heeft u vragen over het succesvol uitvoeren van ICT-projecten, neem dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity.
De inhoud van deze blog is onderdeel van ‘ICT Projecten: een praktische handreiking’, een bundeling van artikelen over het succesvol uitvoeren van een ICT-project. Klik hier om de praktische handreiking te downloaden.
Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!
