Vier best practices voor privacy by design en privacy by default

Als je privacy al vanaf de allereerste start een onderdeel maakt van producten en diensten, dan voorkom je veel problemen. Maar in de dagelijkse praktijk is het lastig om alles goed te regelen.

Asiya Baher, adviseur bij L2P, deelt de belangrijkste best practices voor privacy by design en privacy by default.

De Algemene verordening gegevensbescherming (AVG) zet nadrukkelijk de schijnwerpers op privacy by design en privacy by default. Je kunt de zorgvuldige omgang met persoonsgegevens immers stimuleren door privacy al tijdens het ontwerp van producten en diensten in te bouwen. Bijvoorbeeld door technisch te regelen dat gegevens niet langer worden bewaard dan noodzakelijk is voor het doel van de verwerking. Bij privacy by default gaat het erom dat de standaardinstellingen privacy vriendelijk zijn. Dat betekent onder andere dat je dataminimalisatie op orde brengt, met technische én organisatorische maatregelen.

Van uitdagingen naar oplossingen

In de praktijk zien we dat privacy professionals vaak laat in het traject worden betrokken bij het ontwerpproces. Soms wordt zelfs pas na de evaluatie van een project duidelijk dat een ontwerp niet privacyproof is. Of er vindt een incident plaats, en dan blijkt opeens dat de organisatie meer persoonsgegevens verwerkt dan is toegestaan.

Het goede nieuws: er zijn steeds meer inzichten over succesvolle aanpakken voor privacy by design en privacy by default. De vier belangrijkste staan hieronder op een rij.

1. Focus op privacy als business enabler.

Goede keuzen in de ontwerp- en ontwikkelfasen zorgen voor een beter eindresultaat. Je komt dan tot een oplossing die goed werkt en die tegelijkertijd rekening houdt met de vereisten van de AVG én de privacy-verwachtingen van je doelgroepen. De uitvoering van Data Protection Impact Assessments (DPIA's), de keuze voor privacyontwerpstrategieën[1], herbruikbare oplossingen en de inzet van privacy enhancing technologies (PETs) helpen daarbij. Ook de zorgvuldige selectie van leveranciers is een succesfactor. Check bijvoorbeeld op welke manier leveranciers AVG-compliance waarborgen, en de eigen systemen in overeenstemming brengen met de richtlijnen van je organisatie.

2. Let op kennis, houding en gedrag op de werkvloer.

De bescherming van persoonsgegevens tijdens de uitwerking van nieuwe producten en diensten is veel meer dan een technische aangelegenheid. De menselijke factor is minstens zo belangrijk. Je wilt dat collega's snappen waarom gegevensbescherming belangrijk is, en wat dat betekent voor het dagelijkse werk.

Door collega's vroegtijdig te betrekken bij privacy issues, ontstaat draagvlak voor de aanpak. Met een zorgvuldige communicatie over de wettelijke vereisten geef je medewerkers ook de handvatten om op de juiste wijze met persoonsgegevens om te gaan.

3. Zie de samenhang tussen de verschillende AVG-normen

Er is nogal eens verwarring over de verhouding tussen artikel 25[2] (over privacy by design en privacy by default) en artikel 32 (over de beveiliging van de verwerking van persoonsgegevens). Artikel 25 focust op de integratie van gegevensbescherming in een ontwerp. Artikel 32 geeft richting aan de technische en organisatorische maatregelen in de gebruiksfase. Denk aan encryptie en herstelprocedures na incidenten.

Om aantoonbaar te voldoen (artikel 5 lid 2) aan AVG-beginselen zoals rechtmatigheid, doelbinding, dataminimalisatie en vertrouwelijkheid, is er aandacht nodig voor de verschillende manieren om privacy te waarborgen. In het ontwerpproces, maar ook in de praktische uitvoering van up-to-date beveiligingsmaatregelen.

4. Maak werk van risicomanagement.

Gegevensbescherming vraagt om een continu bewustzijn van de mogelijke impact van nieuwe ontwikkelingen op de AVG-compliance. Welke risico's ontstaan er als een ontwerp wordt aangepast? Welke maatregelen zijn dan passend? Hoe worden privacynormen doorvertaald in standaard werkwijzen voor innovatie?

Het succes van risicomanagement staat of valt met een cultuur waarin het belang en de noodzaak van privacy serieus worden genomen. De bescherming van persoonsgegevens is dan een vanzelfsprekend aandachtspunt op alle niveaus van de organisatie. De continue borging is cruciaal voor de aantoonbaarheid van naleving.

Privacy als toegevoegde waarde

Bij L2P zijn we ervan overtuigd dat privacy voor elke organisatie van toegevoegde waarde is. Privacy is geen lastige verplichting, of een to do die je afvinkt na een incident. Als je privacy echt een onderdeel maakt van producten en diensten, dan merk je daar op allerlei vlakken de voordelen van. Ontwerptrajecten verlopen efficiënter, wat bijdraagt aan de stabiliteit van de bedrijfsprocessen en -systemen. Daarmee versterk je vervolgens het vertrouwen van stakeholders in je werkwijze en organisatie. Zo maak je de belofte van privacy als business enabler daadwerkelijk waar.