“Privacy by design” en “Privacy by default”. Wat betekent dit voor mijn organisatie?

Het begrip Privacy by Design is in de jaren ‘90 geïntroduceerd door Canadese privacy toezichthouder Ann Cavoukian. Het begrip “privacy-enhancing technologies” (PETs) bestond al: “een samenhangend geheel van ICT-maatregelen dat de persoonlijke levenssfeer beschermt door het elimineren of verminderen van persoonsgegevens of door het voorkomen van onnodige dan wel ongewenste verwerking van persoonsgegevens, een en ander zonder verlies van functionaliteit van het informatiesysteem”. Ann Cavoukian was (terecht) van mening dat “a more substantial approach is required”. Met andere woorden, niet alleen technische, maar ook organisatorische en fysieke maatregelen.

Privacy by Design is voornamelijk van toepassing op de ontwikkeling (het ontwerp) van nieuwe systemen. Privacy by Default ziet op de verplichting om de privacy van betrokkenen te beschermen door de instelling en functies standaard (by default) op de meest privacyvriendelijke stand te zetten

In de Algemene Verordening Gegevensbescherming (AVG) is Privacy by Design en Privacy by Default als verplichting opgenomen. De AVG en Memorie van Toelichting zijn echter niet heel erg concreet. In artikel 25 AVG wordt expliciet genoemd:

• Dataminimalisatie (zie ook artikel 5 lid 1 sub c AVG):

alleen strikt noodzakelijke gegevens verzamelen

• Pseudominiseren (zie ook artikel 4 lid 5 AVG):

het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Verder zijn er afzonderlijke bepalingen die nauw samenhangen met Privacy by Design & Default, bijvoorbeeld:

• Encryptie (art 6 lid 4 sub e, art. 32 lid 1 sub a AVG)
• “Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering”
• “De pseudonimisering en versleuteling van persoonsgegevens”
• Bewaren (art. 5 lid 1 sub e AVG)
• “Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is”.

Hoe kan een organisatie aantonen dat Privacy by Design & Default is geborgd? De AVG gaat uit van accountability, dus stel in ieder geval een privacybeleid op. Veranker in dit privacybeleid Privacy by Design & Default voor de gehele levenscyclus van de gegevensverwerking. Neem in ieder geval ook op voor welk type gegevensverwerking een DPIA is/moet worden uitgevoerd en welke resultaten zijn meegenomen.

Op woensdag 3 februari 2020 heeft het KNVI evenement “Cybersecurity en de gevolgen van een Ransomware aanval met de CIO van Universiteit Maastricht” plaatsgevonden. Op 8 februari 2020 zullen we tijdens het Get Connected evenement verder praten over dit onderwerp waarbij Privacy by Design en Privacy by Default zeker aan de orde zullen komen. U kunt zich hier aanmelden.

Heeft u vragen over privacy en security, neemt u dan contact op met Natascha van Duuren.