Privacy by design en privacy by default; wat hebt u eraan?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 9 in een reeks blogs over de nieuwe privacywetgeving.

Privacy by design en privacy by default; wat hebt u eraan | Valegis AdvocatenPrivacy by design en privacy by default; wat hebt u eraan?

‘Privacy by design’ en ‘privacy by default’ zijn twee begrippen die vaak genoemd worden in het kader van de nieuwe Algemene Verordening Gegevensbescherming, waaraan alle organisaties zich met ingang van 25 mei 2018 moeten houden. Maar wat betekenen deze begrippen nu eigenlijk, en wat moet u ermee?

De termen privacy by design en privacy by default klinken heel technisch en (dus) ingewikkeld, maar dat hoeft eigenlijk niet noodzakelijkerwijs het geval te zijn: het gaat vooral om een nieuwe denkwijze die organisaties zich onder de nieuwe wetgeving moeten aanwennen.

Privacy by design

Privacy by design houdt in dat organisaties al in de ontwikkelingsfase van een product of dienst nadenken over de privacyrisico’s die kunnen spelen bij dat nieuwe product of de nieuwe dienst. Het is belangrijk dat er al in een vroeg stadium aandacht wordt besteed aan de privacyaspecten: dus niet pas als het product of de dienst eigenlijk al zo goed als klaar is nog eens gaan kijken hoe het eigenlijk zit met de bescherming van persoonsgegevens.

Twee andere begrippen spelen hierbij een rol: ‘privacy enhancing technologies (PET)’ en ‘dataminimalisatie’. Privacy enhancing technologies zijn privacyverhogende maatregelen die getroffen kunnen worden. Die maatregelen kunnen bijvoorbeeld gericht zijn op het voorkomen van identificatie van personen (door het moeilijker of onmogelijk te maken om gegevens aan een bepaald individu te koppelen, door gegevens gescheiden op te slaan), het waarborgen tegen onrechtmatige verwerking van persoonsgegevens (het verbeteren van de beveiliging) en het toepassen van specifieke privacyondersteunende technologieën. Het gaat hier vooral om maatregelen op het gebied van ICT. Het begrip dataminimalisatie houdt in dat er niet meer gegevens mogen worden verwerkt dan strikt noodzakelijk: als het ook met minder kan, doe het dan vooral met minder.

Door al vroeg bij de ontwikkeling van een product of dienst aandacht te besteden aan privacy by design, zorgt u ervoor dat het eindproduct zo privacyvriendelijk mogelijk wordt. Dat is natuurlijk fijn voor de gebruiker, maar ook voor de organisatie: uiteindelijk moeten de privacyregels toch worden nageleefd en het is veel eenvoudiger (en dus goedkoper) om het in één keer goed te doen dan om later nog aanpassingen te moeten maken.

Privacy by default

Privacy by default is in wezen een onderdeel van privacy by design. Dit gaat ook over het zo privacyvriendelijk mogelijk inrichten van een product of dienst, maar dan met betrekking tot het delen of afstaan van persoonsgegevens door de betrokkenen zelf. Het idee van privacy by default is dat de instellingen van producten of diensten standaard (by default) op de meest privacyvriendelijke optie worden gezet.

Ik gebruik hiervoor altijd graag het voorbeeld van het kopen van een boek bij een webshop. De klant vult op de website een formulier in met allerlei persoonsgegevens en krijgt op het laatst nog de vraag of hij de algemene voorwaarden accepteert en of hij de nieuwsbrief graag wil ontvangen. Bij sommige velden van het formulier staat (bijvoorbeeld) een sterretje: de klant kan niet verdergaan zonder die velden te hebben ingevuld. In het kader van privacy by default is het belangrijk dat zo min mogelijk velden verplicht zijn als dat niet nodig is (en zelfs dat velden die niet noodzakelijk zijn helemaal niet verschijnen). De klant moet niet verplicht zijn om zijn leeftijd in te vullen als dat voor het kopen van het boek niet van belang is. Bovendien dient het vinkje bij de vraag over het ontvangen van de nieuwsbrief standaard uit te staan: als de klant doorklikt zonder hier aandacht aan te besteden moet hij niet automatisch op een mailinglist geplaatst worden. De onwetende gebruiker dient eigenlijk tegen zichtzelf beschermd te worden, om zo misbruik te voorkomen.

Dit geldt bijvoorbeeld ook voor social media: de instellingen moeten zo zijn ingericht dat er zo min mogelijk openbaar wordt gemaakt. Als de gebruiker zijn foto’s of verhalen graag met iedereen wil delen, dan kan hij dat zelf instellen.

Ten slotte

Wat betekent dit voor uw organisatie? De bestaande producten of diensten zullen moeten worden nagelopen op hun privacyvriendelijkheid en waar nodig worden aangepast. Bij nieuwe producten of diensten zult u zich vanaf het allereerste begin al moeten afvragen of de privacy van betrokkenen gewaarborgd is en steeds de meest privacyvriendelijke optie kiezen.

Hebt u nog vragen over dit onderwerp of wilt u hulp bij het toepassen van privacy by design of privacy by default? Aarzel dan niet om contact op te nemen met het privacyrecht team van Valegis Advocaten.

Dit artikel is geschreven door Daphne Jerphanion.