Gegevensbescherming door ontwerp, in het Engels ‘privacy by design’, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. ‘Privacy by default’ betekent dat de standaardinstellingen in uw systemen zó zijn gekozen dat de privacy maximaal wordt geborgd. Privacy by design is voor veel uitleners een moeilijk onderwerp, omdat in onze branche vaak met min of meer standaard software wordt gewerkt en er dus weinig invloed op het ontwerp kan worden uitgevoerd. Maak daarom uw organisatie vertrouwd met de uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
De begrippen privacy by design en privacy by default worden vaak in één adem genoemd, maar hebben verschillende betekenissen.
Privacy by design
Privacy by design houdt in dat u die technische en organisatorische maatregelen neemt om ervoor te zorgen dat u – als standaard – alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Denk aan het blokkeren van het veld voor het BSN als u een kandidaat inschrijft die u gaat bemiddelen. Het idee van privacy by design is om in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens te borgen. Bij de ontwikkeling van producten en/of diensten moet vooraf al aandacht zijn voor belangrijke privacybeginselen als dataminimalisering en transparantie. Maak in het ontwikkelproces van ICT-producten en -diensten al gebruik van privacy-verhogende maatregelen (ook wel privacy enhancing technologies of PET genoemd).
Privacy by default
Privacy by default houdt in dat u die technische en organisatorische maatregelen neemt die ervoor zorgen dat de standaardinstelling de meest privacy-vriendelijke is. Denk daarbij aan instellingen op een social media profiel. Bij goed ‘privacy by default’ inrichten is het standaard zo dat de kandidaat niks deelt, tenzij hij het zelf aanpast. Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.
Maak uw organisatie vertrouwd met de uitgangspunten van privacy by design en privacy by default. Ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Heeft uw organisatie bijvoorbeeld een app ontwikkeld voor de planning of urenregistratie, zorg dan dat deze niet de locatie van gebruikers laat registeren als dat niet nodig is. Verzamelt u in uw organisatie leeftijdsdata? Ga dan eens na of je echt de leeftijd nodig hebt, of gebruik bepaalde leeftijdsgrenzen (wel/niet ouder dan 18, wel/niet met pensioen).
10 gouden regels
Om de begrippen privacy by design en privacy by default in één oogopslag te kunnen uitleggen binnen uw eigen organisatie, zou u bijvoorbeeld gebruik kunnen maken van de volgende 10 gouden regels van Privacy by Design. Deze staan beschreven in het boekje ‘ Privacy by Design’. Datis hier te bestellen. De regels zijn zodanig beschreven dat iedereen ze begrijpt. Niet alleen de privacy professionals, maar ook ICT-ers, juristen, procesmedewerkers en kwaliteitscoördinatoren.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de rechten van betrokkenen. Welke rechten hebben kandidaten eigenlijk als het gaat om hun privacy?