De organisatorische kant van Privacy by Design
De Algemene verordening gegevensbescherming (AVG) stelt in artikel 25 de toepassing van data protection by design (of Privacy by Design, PbD) verplicht. In het ontwerp van een systeem of dienst moeten aspecten uit de AVG worden meegenomen, zodat de privacybelangen van betrokkenen over wie gegevens worden verwerkt goed gewaarborgd zijn. Dat kan kort gezegd op twee manieren: door technische maatregelen en door organisatorische maatregelen. Vaak wordt vooral de technische kant uitgelicht en gaat het bijvoorbeeld over versleuteling van gegevens, pseudonimiseren, beveiligde verbindingen en manieren om te anonimiseren. Over de organisatorische kant wordt minder gesproken. Wellicht omdat de technische insteek makkelijk aansluit bij ICT beheerders en informatiebeveiligingsfunctionarissen die PbD als taak meekrijgen, terwijl de organisatorische kant meer als een juridisch feestje (contracten) wordt bestempeld. In deze blog wordt er daarom eens aandacht besteed aan de organisatorische kant van PbD.
Privacy organiseren is niet alleen juridisch
Een belangrijk onderdeel van het waarborgen van privacy ligt — naast de technische maatregelen — inderdaad op juridisch vlak. Zo moet er een juiste contractuele onderbouwing aanwezig zijn wanneer er:
- verwerkers worden ingezet,
- gegevens worden verstrekt aan een andere verwerkingsverantwoordelijke,
- of gegevens worden verkregen van een andere verwerkingsverantwoordelijke.
Het vaststellen van rollen en verantwoordelijkheden is daarom essentieel. Maar ook de afbakening van wat een andere partij wel en niet met de gegevens mag of zelfs moet doen, is erg belangrijk. Die contracten vallen in de praktijk dus vaak onder de verantwoordelijkheid van de afdeling juridische zaken. Maar er zijn nog meer organisatorische aspecten die bijdragen aan PbD.
Procedures die informatiebeveiliging ondersteunen
Om te beginnen zijn er de procedures die de technische maatregelen ondersteunen. Zo moet er een autorisatiematrix zijn waarin is vastgelegd wie of welke functies toegang krijgen tot persoonsgegevens en welke rechten daarbij horen. De juistheid van die matrix moet regelmatig gecontroleerd worden om te voorkomen dat mensen teveel rechten hebben of behouden bij bijvoorbeeld een functiewisseling. De naleving van deze zogeheten ‘logische toegangscontrole’ kan verder geborgd worden met het koppelen van rechten aan accounts die beveiligd zijn met 2-factor authenticatie.
Hetzelfde geldt voor fysieke toegangscontrole. Dan gaat het over het inrichten van een toegangssysteem, waardoor mensen die niet bij gegevens of apparatuur hoeven te komen daar ook niet bij kunnen komen.
Werkafspraken en werkinstructies
Naast de procedures die bepalen wie welke toegang tot persoonsgegevens krijgt, is het belangrijk om voor de mensen die met de gegevens werken heldere werkinstructies op te stellen. Dat vereist dus ook een helder inzicht in werkprocessen. Met de juiste instructies kan geborgd worden dat de gegevens waar iemand legitiem toegang toe heeft ook alleen voor de vastgestelde doelen worden verwerkt.
In nadere afspraken kan worden vastgelegd:
- hoe gegevens worden opgeslagen,
- hoe uitwisseling tussen medewerkers of met derde partijen plaatsvindt,
- en welke stappen worden genomen indien er ergens onverhoopt iets misgaat (bijvoorbeeld een datalek).
Transparantie richting betrokkenen
Een ander cruciaal onderdeel is transparantie richting de betrokkenen. Vanzelfsprekend gelden de reguliere informatieverplichtingen vanuit de AVG. Maar ook in het design kan aan transparantie gewerkt worden. Bijvoorbeeld door betrokkenen toegang tot hun eigen gegevens te bieden, indien dat een optie is. Daarmee kunnen de eerste rechten van betrokkenen worden afgevangen, omdat inzage (deels) meteen mogelijk is, maar wellicht ook correctie van gegevens.
Omgekeerd kan een goede PbD aanpak ook helpen om op een meer strategisch manier naar betrokkenen te informeren. Privacy serieus meenemen in het ontwerp kun je immers ook uitdragen naar de buitenwereld. En dat helpt aan het opbouwen van een positief beeld over de organisatie.
Algemeen bewustwording organisatie
Om het geheel te laten werken is algemeen privacybewustzijn binnen de organisatie een randvoorwaarde. Zolang de medewerkers niet actief bewust zijn van het belang van privacy en de bijkomende verantwoordelijkheden die ze hebben vanuit hun functie, zal het lastiger zijn om PbD vanzelfsprekend in te bedden.
Conclusie
PbD is dus een technische en organisatorische aangelegenheid. Voor zover onderdelen technisch ingebouwd kunnen worden is het advies om dat te doen. Voor de punten waar dat niet of niet volledig haalbaar is, kunnen organisatorische maatregelen helpen om de gaten te dichten. En het fijne daaraan is dat het bestaan van procedures en bewustzijn ook goed aantoonbaar zijn. En dat is weer nodig voor de vereiste accountability!