De betekenis van privacy by default

De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. We nemen in dit artikel de term 'privacy by default' onder de loep.

Marcel van Langen
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Het toepassen van AVG binnen jouw organisatie is niet altijd eenvoudig. Dat blijkt ook wel in de praktijk. Eén van die gebieden waarop implementaties niet altijd soepel loopt, is op het gebied van 'privacy by design' en 'privacy by default'. Deze zijn in de praktijk namelijk niet altijd eenvoudig toepasbaar. Deze begrippen zijn te vinden in artikel 25 van de AVG. De termen 'privacy by design' en 'privacy by default' horen bij elkaar, een beetje zoals Bert en Ernie. Ze hebben ook beiden betrekking op de bescherming van privacygevoelige informatie. Toch hebben ze allebei een duidelijk eigen betekenis.

In dit artikel staan we stil bij de term 'privacy by default'. In dit artikel gaan we in op de betekenis en toepassing van de term 'privacy by design'.

Artikel 25 lid 2

Zoals gezegd staan de begrippen 'privacy by design' en 'privacy by default' in de AVG, en wel in artikel 25. In lid 2 van dit artikel vinden we 'privacy by default' terug:

The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.

Maar wat betekent dit nou in de praktijk? Kort gezegd: privacy is de standaard. Privacy by default vereist dat de standaardinstellingen van een ontwerp altijd zo privacy vriendelijk moeten zijn. De Nederlandse term uit de AVG is dan ook 'gegevensbescherming door standaardinstellingen'. Stel dat je in een applicatie kunt kiezen om je gegevens openbaar te maken, dan moet deze optie met andere woorden standaard uit staan. Of anders gezegd: de gebruiker moet er zelf actief voor kiezen om de gegevens openbaar te maken. Een mooi voorbeeld van 'privacy by default'.

Artikel 25 lid 2 geeft aan dat met een aantal onderwerpen rekening moet worden gehouden bij het bepalen van de maatregelen:

  • Standaard verwerk je alleen de persoonsgegevens die nodig zijn. En zeker niet meer
  • Je beperkt ook het aantal verwerkingen (opslag, doorsturen etc.) tot het absolute minimum
  • Wanneer je de persoonsgegevens niet meer nodig hebt, verwijder of anonimiseer je deze
  • Personen krijgen alleen toegang tot de persoonsgegevens wanneer dit noodzakelijk is

Het belang

Kijk je naar de online wereld, dan is de waarde van persoonsgegevens de afgelopen jaren sterk toegenomen. Websites, organisaties en sociale netwerken willen graag zoveel mogelijk te weten komen over jou. Wie je bent, wat je voorkeuren zijn, hoeveel je verdient etc. Er valt veel geld te verdienen met die informatie. Direct via bijvoorbeeld diensten en advertenties, indirect door bijvoorbeeld het doorverkopen van jouw gegevens. Overheden en andere regulerende instellingen willen hier graag paal en perk aan stellen. Een van de manieren om dat te doen is via 'privacy by default'. Je beschermt de gebruikers op deze manier tegen zichzelf. Veel gebruikers laten immers de standaardinstellingen ongemoeid. Ofwel omdat ze deze niet lezen, ofwel omdat ze de impact van de instellingen niet doorzien.

Normity - Privacy by default - Camera's op straat

Maatregelen

Wil je met 'privacy by default' aan de slag, dan kun je onderscheid maken tussen technische en organisatorische maatregelen. Het voorbeeld hierboven is een typisch voorbeeld van een technische maatregel. Je zorgt ervoor dat de gebruiker ervoor kan kiezen om zijn gegevens openbaar te maken. Vrijwel iedere applicatie bevat hiervoor mogelijkheden. Bijvoorbeeld dat je kunt aanvinken om opgenomen te worden op de verjaardagskalender, dat je standaard onder een alias kunt reageren, dat standaard jouw emailadres niet wordt getoond. Let wel: het gaat de AVG om de standaardinstelling. Je kunt dus met een gerust hart een minder privacy vriendelijke optie aanbieden, mits dit maar niet de default is!

Je kunt als organisatie ook organisatorische maatregelen nemen voor 'privacy by default'. Je moet dan met name denken aan de mate van beschikbaarheid van privacygevoelige gegevens. Iedere organisatie heeft hiermee te maken. Heb je bijvoorbeeld een personeelsdossier, dan kun je 'privacy by default' toepassen door minimale toegang te geven. Dus bijvoorbeeld alleen de directie en de afdeling HR. Een goed autorisatiebeleid is met andere woorden een prima voorbeeld van een organisatorische maatregelen op het gebied van 'privacy by default'.

Voorbeelden

  • Browsers met een standaard 'Do Not Track'-optie
  • Standaard uitgevinkte checkboxen op formulieren
  • Niet verplichte velden goed herkenbaar maken
  • Opties om gegevens te delen standaard uit
  • Standaard zo min mogelijk informatie tonen
  • Goed ingericht autorisatiemodel voor toegang
  • Beperk het maken van kopieën van documenten
  • Verwijder gegevens wanneer ze niet meer nodig zijn
  • Maak de privacy instellingen inzichtelijk
  • Wees zo helder mogelijk in je taalgebruik

Normity

Normity bevat standaard een uitgebreide privacy module. Of met een mooie woord: een Privacy Management System (PMS). En nog veel meer trouwens. In onze privacy module zit alles wat je nodig hebt om privacy te implementeren in jouw organisatie. Denk aan een (of meerdere) verwerkingsregisters, de mogelijkheid om verzoeken van betrokkenen vast te leggen en te verwerken etc. Verder heeft Normity de AVG wetgeving ook als normenkader toegevoegd. Wel zo makkelijk.

Meer weten? Vraag een gratis demo aan of geef ons een belletje op 085 - 00 46 605. Wij horen graag van je!

privacy dataminimalisatie persoonsgegevens opslag marketing default design standaard instellingen gevoelig openbaar profielen afschermen waarborg transparantie beheer

Privacy by...

Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.

1 - Privacy by default
2 - Privacy by design

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management