Hoe pas je de zeven principes van privacy by design toe in jouw organisatie?

May 9, 2016

Het begrip privacy by design is bedacht rond 1990 door Ann Cavoukian, toentertijd informatie & privacy commissaris in Ontario, Canada. Nu heeft de Europese Commissie het begrip privacy by design opgenomen in de Algemene Verordening Gegevensbescherming en het verplicht gesteld voor organisaties om dit toe te passen. Volgens de verordening moet bij de bepaling van de verwerkingsmiddelen en bij de verwerking zelf, passende technische en organisatorische maatregelen worden genomen om de gegevensbeschermingsbeginselen uit te voeren. Wat betekent deze vage norm precies en hoe kan een organisatie privacy by design correct toepassen?

De zeven principes van privacy by design

Om privacy by design uit te leggen ga ik kort in op de zeven basisprincipes:

  1. Voorkomen is beter dan genezen Privacy by design zorgt ervoor dat privacy risico’s zo klein mogelijk blijven, door vooraf al over deze risico’s na te denken en maatregelen te treffen. Het voorkomen van privacy inbreuken staat centraal.
  2. Privacy is de standaard Producten en diensten moeten standaard ingesteld zijn om de hoogste mate van privacy te bieden. In dat geval is privacy als het ware ingebouwd in de systemen (dit principe wordt privacy by default genoemd).
  3. Integreren van gegevensbescherming en beveiliging in het ontwerp Privacy by design zorgt ervoor dat privacy een kerncomponent wordt van je producten of diensten. Tijdens de ontwikkeling wordt privacy een integraal onderdeel van het product of dienst, zonder afbreuk te doen aan de functionaliteit daarvan.
  4. Volledige functionaliteit Het is van groot belang dat privacy niet ten kosten gaat van bijvoorbeeld beveiliging. Door privacy in de ontwikkelingsfase in te bouwen in de systemen hoef je geen afweging te maken tussen beveiliging en privacy of tussen privacy en andere functionaliteiten.
  5. End-to-end beveiliging - Bescherming gedurende de hele levenscyclus Privacy by design houdt rekening met privacy gedurende de gehele levenscyclus van de persoonsgegevens. Dit betekent dat alle persoonsgegevens veilig opgeslagen worden en ook op een juiste manier worden vernietigd.
  6. Zichtbaarheid en transparantie Privacy by design staat voor openheid en transparantie. Deze transparantie creëert vertrouwen bij alle betrokken partijen. Klanten en leveranciers kunnen zien dat je privacy serieus neemt en je geeft openheid over hoe er met persoonsgegevens wordt omgegaan in de organisatie.
  7. Respect voor privacy van de betrokkene – de betrokkene staat centraal Wellicht het belangrijkste aspect van privacy by design is dat de gebruiker of klant centraal staat. De belangen van de betrokkenen staan altijd op de eerste plek door het aanbieden van sterke standaard instellingen, transparantie, duidelijke communicatie en gebruiksvriendelijke mogelijkheden.

Privacy by design betekent dus niet alleen het inbouwen van privacy in systemen zelf, maar ook in werkprocessen, de managementstructuur en het bovenliggende netwerk.

Nu de belangrijkste vraag: wat betekent privacy by design voor de praktijk?

Een belangrijk onderdeel van privacy by design in de praktijk is het minimaliseren van de hoeveelheid persoonsgegevens. Bij het ontwerpen van een systeem moet je stilstaan bij welke persoonsgegevens daadwerkelijk nodig zijn voor het doel waarvoor je de gegevens verwerkt. Hoe minder gegevens er worden opgeslagen, hoe beter.

Een ander belangrijk aspect van privacy by design is het anonimiseren of pseudonimiseren van persoonsgegevens. Persoonsgegevens die nodig zijn voor een verwerking moeten zoveel mogelijk anoniem worden opgeslagen. Als dit niet mogelijk is kan pseudonimisatie een oplossing zijn. In dit geval zijn de persoonsgegevens nog wel te koppelen aan een specifiek persoon, maar zijn of haar identiteit wordt zoveel mogelijk afgeschermd.

In de praktijk is het niet altijd mogelijk om persoonsgegevens na een bepaalde tijd uit het systeem te verwijderen. Veel systemen kennen deze functionaliteit simpelweg niet. Bij privacy by design wordt rekening gehouden met bewaartermijnen tijdens het ontwerpen van het te gebruiken systeem. Ook moet je nadenken over hoe een betrokkene op een effectieve manier controle kan uitoefenen over zijn of haar gegevens. Dit kan bijvoorbeeld met een beveiligd internetportaal waarin jouw klant of leverancier zijn of haar adresgegevens kan aanpassen.

Privacy by design ziet echter niet alleen toe op het ontwerp van het systeem, maar ook op het privacybeleid van de organisatie. Het is zeer belangrijk om een goed intern beleid te hebben en erop toe te zien dat dit beleid ook door werknemers nageleefd wordt. Het is tenslotte van groot belang dat werknemers weten hoe ze met privacy om moeten gaan binnen de organisatie.

Als organisatie kun je veel baat hebben bij het goed toepassen van privacy by design. Omdat risico’s zo klein mogelijk worden gehouden kun je onverwachte hoge kosten in een later stadium vermijden. Bovendien is de betrokkene verzekerd van een correcte manier van het verwerken van zijn of haar persoonsgegevens.

Download