Inmiddels is de AVG al enige tijd ingevoerd en hebben veel bedrijven de nodige aanpassingen gedaan, toch blijft het omgaan met privacygevoelige informatie lastig blijkt keer op keer.
Als het gaat om de AVG, worden de begrippen ‘privacy by design’ en ‘privacy by default’ vaak gelijktijdig genoemd. Toch hebben deze twee begrippen een totaal andere betekenis, al hebben ze beide natuurlijk te maken met de bescherming van privacygevoelige informatie. Bij privacy by design draait het om bescherming door ontwerp, terwijl privacy by default het volledig draait om de standaardinstellingen.
Kent u de verschillen tussen privacy by design en privacy by default en weet u hoe deze toe te passen? In dit blogartikel staan wij stil bij de volgende onderwerpen:
- Privacy by design
- Data-minimalisatie
- Privacy by default
- Transparantie en persoonsgegevens inzichtelijk maken
Wilt u weten hoe u privacy by design kunt implementeren in uw organisatie? In ons gratis e-book lichten wij de principes van privacy by design voor u toe. Download hem gratis!
Privacy by design
Bij privacy by design draait het volledig om bescherming van privacygevoelige informatie door ontwerp. Vanaf het eerste stadium dient privacy meegenomen te worden bij zowel de technisch- als organisatorische aspecten. Op die manier wordt er een zorgvuldige omgang met persoonsgegevens afgedwongen.
Dit betekent dat eisen voor privacy en het privacybeleid bij de ontwikkeling van alle producten en diensten actief toegepast dienen te worden. In het bijzonder bij ICT-producten en -diensten is het van belang om privacy-verhogende maatregelen vanaf het eerste moment mee te nemen. Dergelijke maatregelen worden ook wel Privacy Enhancing Technologies (PET) genoemd.
Uiteraard zijn er niet bij alle producten of diensten persoonsgegevens nodig. In enkele gevallen is het mogelijk om te werken met volledig geanonimiseerde gegevens. Indien het gebruik maken van persoonsgegevens wel noodzakelijk of gewenst is, is het van belang om na te denken over de beveiliging van deze gegevens. Zo kan er gekozen worden voor pseudonimiseren, encryptie en/of toegangscontrole. Wordt er gewerkt met gevoelige persoonsgegevens? Controleer dan of het uitvoeren van een DPIA verplicht is.
Data-minimalisatie
Een belangrijk onderdeel van privacy by design is data-minimalisatie. Dit houdt in dat er niet meer persoonsgegevens verwerkt (opgeslagen, gebruikt en/of gedeeld) worden dan strikt noodzakelijk voor het realiseren van de doelstelling van het product of de dienst.
Een voorbeeld hiervan is het inrichten van een online-bestelproces. Adresgegevens zijn enkel noodzakelijk wanneer een product afgeleverd dient te worden. Een geboortedatum is hierbij niet noodzakelijk en dus irrelevant. Vraag de bezoeker dus enkel de gegevens in te vullen die daadwerkelijk nodig zijn.
Wilt u meer informatie vragen, bijvoorbeeld voor een nieuwsbrief of andere marketing doeleinden? Maak deze velden dan niet verplicht en maak de bezoeker duidelijk waarvoor deze gegevens gebruikt worden. Vraag bezoekers daarnaast ook om toestemming voor het beoogde doel.
Privacy by default
Hiermee komen we bij privacy by default. De bezoeker in het bovenstaande voorbeeld zal niet standaard opgenomen moeten worden voor de nieuwsbrief maar kiest hier expliciet voor. Privacy by default kan gezien worden als een onderdeel van privacy by design. Privacy by default vereist namelijk dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn.
Persoonsgegevens en gevoelige informatie mogen nooit standaard openbaar inzichtelijk zijn. Denk bijvoorbeeld aan een social media profiel. Deze mogen openbaar inzichtelijk zijn, mits de persoon daar zelf actief voor heeft gekozen. Het social media platform zal in de standaardinstellingen de gebruikersprofielen zo veel mogelijk moeten afschermen.
Alle ICT-toepassingen, van internetbrowser tot een bedrijfsapplicatie, dienen persoonsgegevens af te schermen in de standaardinstellingen. Pas als een gebruiker actief heeft aangegeven dat deze gebruikt mogen worden en/of zichtbaar mogen zijn voor derden, kunnen deze daarvoor gebruikt worden.
Transparantie en persoonsgegevens inzichtelijk maken
Het waarborgen van privacy vereist tot slot dat het gebruik en de werkwijze transparant is voor de betrokkenen. Indien het niet helder is wat er wordt vastgelegd en hoe de informatie wordt gebruikt, kan men ook geen beeld vormen in hoeverre de privacy gewaarborgd is. Geef dus inzicht in de wijze waarop persoonsgegevens opgeslagen, gebruikt en eventueel gedeeld worden. In het beste geval geeft u de gebruikers/betrokkenen zelf toegang tot de gegevens en het beheer hiervan.
Uw informatiebeveiliging op orde
Aan de hand van bovenstaande informatie is hopelijk duidelijk wat de verschillen zijn tussen privacy by design en privacy by default. Andere aspecten van privacy by design die nog niet aan de orde zijn gekomen zijn:
- Single identity / single authentication;
- Positive-sum principe;
- Toepassing van bewaartermijnen;
- End-to-end encryptie.
Deze lichten we toe in ons e-book ‘De principes van Privacy by Design’. Dit e-book kunt u gratis downloaden.
Wilt u meer informatie of wilt u weten hoe u privacy by design kunt implementeren in uw organisatie? Wij helpen u graag op het gebied van informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.
Wilt u weten hoe u privacy by design kunt implementeren in uw organisatie? In ons gratis e-book lichten wij alle principes van privacy by design voor u toe. Download hem gratis!