GDPR toegelicht
Gezien het grote belang van GDPR/AVG publiceert Nederland ICT negen toelichtingen op de regelgeving. Hierin wordt uiteengezet wat een en ander specifiek betekent voor ict-bedrijven. Onder meer komen zaken als de ‘Functionaris voor de Gegevensbescherming’, ‘Transparantie’ en het ‘Recht op vergetelheid’ voorbij. In deze editie van ICT/Magazine kijken we naar ‘Privacy by design & by default’.
De begrippen ‘privacy by design’ en ‘privacy by default’ worden vaak in één adem genoemd, maar hebben verschillende betekenissen. Wat de begrippen met elkaar gemeen hebben, is dat ze beide expliciet genoemd worden in de GDPR. De zogeheten ‘verwerkingsverantwoordelijken’ – de klant, vanuit het perspectief van de ict-leverancier – worden verplicht gesteld om invulling te geven aan deze begrippen. Toch zullen ‘privacy by design’ en ‘privacy by default’ ook écht tot in het DNA van ict-leveranciers moeten doordringen. Al is het maar omdat klanten hierom gaan vragen (al dan niet gedwongen door het risico op boetes). Daar komt bij dat het veel duurder is om privacy by design met terugwerkende kracht door te voeren dan hier bij de ontwikkeling van producten en diensten al rekening mee te houden.
Wat is privacy by design?
Het idee is om in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Reeds bij de ontwikkeling van ict-producten en -diensten moet er aandacht zijn voor privacy en privacy-verhogende maatregelen. Is het écht nodig voor het product of de dienst om persoonsgegevens te verwerken, of kan er ook gewerkt worden met geanonimiseerde gegevens? Als er dan toch persoonsgegevens verwerkt gaan worden, denk dan na over de beveiliging van deze gegevens. Dat kan bijvoorbeeld door pseudonimiseren (anders dan bij anonimiseren worden de gepseudonimiseerde gegevens nog steeds gezien als persoonsgegevens), door encryptie en met behulp van acces control. Ook bewaartermijnen en het faciliteren van de rechten van de betrokkenen zijn van belang om privacy-proof te opereren.
Data-minimalisatie
In het ontwerp moet gewaarborgd worden dat er niet méér persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel van de verwerking: data-minimalisatie. Denk aan het inrichten van een online-bestelproces, waarbij een adres meestal nodig is om een product te kunnen afleveren. Een geboortedatum is daarvoor hoogstwaarschijnlijk niet noodzakelijk. Maak dus niet klakkeloos een veld aan waarin je vraagt naar de geboortedatum. Als je dan toch vraagt naar de geboortedatum, voor bijvoorbeeld marketingdoeleinden, dan mag dat geen verplicht veld zijn en moet duidelijk zijn wat de gevolgen zijn van het wel of niet invullen van het veld.
Wat is privacy by default?
Privacy by default vereist dat de standaardinstellingen zo privacy-vriendelijk mogelijk zijn. Zo mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. Een profiel op social media mag alleen openbaar zijn als een gebruiker daar zelf actief voor kiest. De toepassing moet in de standaardinstellingen de gebruikersprofielen zoveel mogelijk afschermen. Dit principe van het afschermen van persoonsgegevens geldt voor alle ict-toepassingen: van browser-instellingen tot een bedrijfs-app. Voor nieuwsbrieven vereist de Telecommunicatiewet een ‘opt-in’; je moet je actief voor een nieuwsbrief aanmelden en deze mag dus niet standaard aangevinkt staan. Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je mensen moeten actief kiezen voor het breder laten delen van hun gegevens.
Bekijk ook de andere toelichtingen op de GDPR op de website van Nederland ICT: https://www.nederlandict.nl/dossier/avg/ Zes van de negen zijn al gepubliceerd.
