Privacy by Design (Gegevensbescherming door ontwerp)
“Privacy by Design” houdt in dat organisaties van het begin af aan, al tijdens het ontwikkelen van producten en diensten, aandacht moeten besteden aan privacyverhogende maatregelen. De AVG pleit onder andere voor het gebruik maken van “Privacy Enhancing Technologies” (PET). Een van die maatregelen die in artikel 25 genoemd wordt is het pseudonimiseren van persoonsgegevens. Dat wil zeggen dat de persoonsgegevens op zich, zonder gebruik van verdere gegevens, niet aan de desbetreffende betrokkene kunnen worden gekoppeld. Daarnaast moet ook van te voren al nagedacht worden over welke gegevens nu daadwerkelijk noodzakelijk zijn en dienen organisaties vervolgens alleen die gegevens te verzamelen om te voorkomen dat persoonsgegevens onnodig verzameld worden. Dit wordt ook wel het toepassen van dataminimalisatie genoemd. De voornaamste gedachte achter “Privacy by Design” is dat voorkomen wordt dat achteraf nog kostbare aanpassingen gemaakt moeten worden.
Privacy by Default (Gegevensbescherming door standaardinstellingen)
“Privacy by Default” houdt in dat de hoogste mate van privacybescherming de uitgangspositie moet zijn. Het gaat dan om de instellingen van een programma, app, website of andere dienst. Denk bijvoorbeeld aan de apps van telecomproviders waarmee onder andere inzage gegeven wordt in het verbruik en de abonnementskosten. Vaak is via de instellingen van een dergelijke app een knop betreffende het delen van persoonsgegevens aan of uit te zetten. Volgens de AVG moet de standaardinstelling de meest privacyvriendelijke zijn. Een ander voorbeeld is de privacyinstellingen van Facebook, de standaardinstelling moet de meest privacyvriendelijke zijn, in dat geval dus “Privé”.
Wanneer niet voldaan is aan de verplichtingen van “Privacy by Design and by Default” kan de Autoriteit Persoonsgegevens volgens de AVG een boete opleggen uit de eerste categorie. Deze boete kan oplopen tot 10 miljoen euro of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
U moet vanaf 25 mei 2018 voldoen aan de AVG. Het is dus de hoogste tijd na te denken over de wijze waarop u Privacy by Design en Privacy by Default zult gaan borgen in uw organisatie!
Vragen?
Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.