Privacy by design: wat betekent het en hoe is het belangrijk voor de AVG?

Gillian Loones
By: Gillian Loones AVG | 30 november

Werken met gegevensbescherming kan behoorlijk overweldigend en verwarrend zijn. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) is het er nog complexer op geworden. In deze blogpost bespreek ik een manier van denken die het misschien wat gemakkelijker maakt om je inspanningen rond privacy en gegevensbescherming en de AVG te coördineren, genaamd privacy by design. In het Nederlands wordt dit principe ook wel aangeduid met ‘gegevensbescherming door ontwerp’.

Na het lezen van dit artikel zou je een algemeen idee moeten hebben van wat privacy by design is, hoe het zich verhoudt tot de AVG, en hoe het zelfs de kleinste bedrijven kan helpen hun privacy en gegevensbescherming op een hoger plan te brengen.

Wat is privacy by design?

Privacy by design werd aanvankelijk alleen gebruikt in software en systeem ontwikkeling. Daar betekent het dat privacymaatregelen worden ingebouwd in het ontwerp van systemen. Op die manier worden privacy en gegevensbescherming kernfunctionaliteiten van het systeem, naast datgene waarvoor het systeem in de eerste plaats is ontworpen.

We kunnen dit gemakkelijk vertalen van softwareontwikkeling naar een bredere context, zoals je bedrijf. Voor je bedrijf betekent dit dat bij elk nieuw proces of elke nieuwe activiteit vanaf de allereerste planningsfase rekening moet worden gehouden met gegevensbescherming en privacy. Met andere woorden, denken aan privacy bij het ontwerpen van nieuwe processen = privacy by design.

Het idee is dat het beschermen van de gegevens en privacy van je klanten een doel moet zijn dat je altijd nastreeft, evenzeer als je bedrijfsdoelen. Door gebruik te maken van privacy by design worden de gegevens en privacy van je klanten altijd beschermd en blijft de controle over deze gegevens altijd bij de klant, die zijn toestemming op elk moment kan intrekken.

Waarom zou je je druk maken om privacy by design?

Je systemen en processen op deze manier inrichten lijkt in eerste instantie misschien overbodig, maar het brengt veel voordelen met zich mee. In tegenstelling tot wat de naam doet vermoeden, kun je met kleine stapjes toewerken naar privacy by design in je bedrijf en vrij snel de voordelen ervaren. Het is niet nodig om alles wat je doet in één keer radicaal om te gooien!

Enkele voordelen zijn:

  • Het maakt de gegevensbescherming in je organisatie sterker en gegevensinbreuken minder waarschijnlijk. Datalekken kunnen leiden tot aanzienlijke financiële verliezen.

  • Je laat je klanten zien dat je de waarde van hun privacy begrijpt en dat je zorgvuldig omgaat met hun gegevens, waardoor je een vertrouwensrelatie opbouwt.

  • Het is een goede manier om je bedrijf toekomstbestendig te maken. We kunnen er bijna zeker van zijn dat de druk van de regelgever, maar ook van de consument, om de privacy goed te controleren, in de toekomst zal toenemen. Door nu al te beginnen met het privacybewust inrichten van je bedrijf voorkom je dat je in de toekomst gedwongen wordt om radicalere en duurdere veranderingen door te voeren wanneer de timing misschien niet optimaal is.

  • Cyberbeveiligingsrisico's veranderen voortdurend en snel. Door een sterke basis voor gegevensbescherming in je systemen en processen in te bouwen, beperk je de tijd en middelen die je moet besteden aan het reageren op steeds veranderende risico's voor gegevens en privacy.

  • Privacy by design maakt deel uit van de AVG en dus kan de invoering van privacy by design een grote hulp zijn bij het naleven van de AVG.

Smart CTA_e-book NL

Privacy by design in de AVG

Op basis van het concept ‘privacy by design’ introduceert artikel 25 van de AVG “data protection by design” en “data protection by default”. Hieronder licht ik beide concepten toe aan de hand van korte fragmenten uit artikel 25. Lees het volledige artikel hier.

Data protection by default

Data protection by default wordt omschreven als:

  • “verwerk alleen persoonsgegevens die noodzakelijk zijn voor elk specifiek doel van het proces”

  • “persoonsgegevens worden niet zonder tussenkomst van de betrokkene toegankelijk gemaakt voor een onbepaald aantal personen”

Met andere woorden: organisaties moeten het verzamelen van gegevens beperken tot de strikt noodzakelijke gegevens die nodig zijn om hun doel te bereiken. Als een gebruiker geen actie onderneemt, moeten zijn of haar gegevens nog steeds worden beschermd, moet zijn privacy nog steeds worden gewaarborgd.

Voorbeeld – cookie kennisgeving

Stel je de gebruikelijke cookie-melding voor. Velen van ons negeren die of klikken ze gewoon zo snel mogelijk weg. Als gegevensbescherming de standaardinstelling is, zou dit moeten betekenen dat alleen de strikt noodzakelijke cookies actief zijn. Als een gebruiker geen actie onderneemt, betekent dit dat de standaardsituatie (maximale gegevensbescherming) niet mag worden gewijzigd. Meer cookies mogen alleen worden geactiveerd wanneer de gebruiker daar uitdrukkelijk toestemming voor geeft.

Sommige websites activeren echter automatisch alle cookies. Het wegklikken van de cookiemelding betekent het accepteren van alle cookies van derden. Dit is geen standaard gegevensbescherming.

Data protection by design

Dataprotection by design wordt omschreven als ‘het integreren van de nodige waarborgen in de verwerking’. Met andere woorden, alle gegevensbeschermingsmaatregelen en -waarborgen moeten in het ontwerp van het gegevensverwerkingssysteem zijn ingebouwd.

AVG blijft nogal vaag over implementatie...

Gegevensbescherming by design en by default zijn wettelijke verplichtingen op grond van de AVG. Als deze niet worden geïmplementeerd, betekent dit een schending van de AVG. Op dit moment kunnen we echter vaststellen dat er niet veel AVG-boetes voor het niet implementeren van privacy by design zijn uitgedeeld, wat erop wijst dat privacy by design niet strikt wordt gehandhaafd.

Dit betekent echter niet dat je je er niets van moet aantrekken. Zoals eerder gezegd, biedt het werken aan privacy by design veel voordelen voor je bedrijf, en je plaatselijke gegevensbeschermingsautoriteiten kunnen altijd besluiten om het strenger te gaan handhaven. Dus hoe begin je met privacy by design?

Aan de slag met privacy by design

Helaas is artikel 25 vrij beknopt en biedt het, afgezien van ‘passende technische en organisatorische maatregelen’ en twee voorbeelden (pseudonimisering en gegevensminimalisering), niet veel houvast over wat precies onder “passende maatregelen” moet worden verstaan.

Gelukkig dragen alle maatregelen die je al hebt genomen om je gegevensbescherming te verbeteren waarschijnlijk ook bij tot privacy by design. We hebben ook al onderstreept dat het nemen van kleine stappen in de richting van privacy by design heel redelijk is en voor de meeste bedrijven de beste manier om vooruitgang te boeken, dus er is geen reden om ontmoedigd of geïntimideerd te raken.

We hebben al eens eerder geprobeerd om duidelijkheid te verschaffen over wat “passende maatregelen” kunnen zijn door te kijken naar eerder uitgevaardigde AVG-boetes.

De 7 basisbeginselen van privacy by design

Voor een concretere leidraad kunnen we teruggrijpen naar het oorspronkelijke concept van privacy by design. Het werd voor het eerst op papier gezet in 2009 door Ann Cavoukian, toen de Information & Privacy Commissioner van Ontario, Canada. Zij ontwikkelde de 7 basisbeginselen van privacy by design.

De 7 principes zijn:

  1. Proactief, niet reactief; preventief, niet corrigerend 

  2. Privacy als standaardinstelling 

  3. Privacy verankerd in ontwerp 

  4. Volledige functionaliteit – Positief-som, niet Nul-som 

  5. End-to-end beveiliging – volledige levenscyclusbescherming 

  6. Zichtbaarheid en transparantie – houd het open 

  7. Respect voor de privacy van de gebruiker – houd de gebruiker centraal 

Wij zullen ze hieronder kort bespreken en ze telkens verbinden met enkele eerste stappen in de richting van ‘passende technische en organisatorische maatregelen’.

1. Proactief, niet reactief; preventief, niet corrigerend

Het eerste beginsel beschrijft de algemene instelling die je bij alle beginselen moet aanhouden. Gegevensbescherming en privacy moeten voorop staan bij het planningsproces van alle nieuwe initiatieven in je bedrijf.

Je moet er altijd naar streven privacyproblemen en gegevensinbreuken te voorkomen, in plaats van erop te reageren als ze zich voordoen.

Een manier om dit te doen is het uitvoeren van een periodieke risicoanalyse waarbij je potentiële privacy- en gegevensrisico’s en de gevolgen daarvan voor je bedrijf in kaart brengt. Je kunt dan gegevensbeschermingsmaatregelen nemen voordat er negatieve gevolgen optreden, zodat je ze kunt voorkomen.

Wij hebben een handige template voor risicoanalyse ontwikkeld dat je kan helpen om te beginnen met het proactief identificeren van risico’s in je organisatie.

2. Privacy als standaardinstelling

Elk IT-systeem of -proces in je organisatie moet zo zijn ontworpen dat privacy en gegevens automatisch worden beschermd. Als een individuele klant geen actie onderneemt, moeten zo weinig mogelijk gegevens over hem worden verzameld en moet zijn privacy beschermd blijven (denk maar aan het voorbeeld van de cookie-kennisgeving).

Simpel gezegd zou de standaardtoestand in je bedrijf moeten zijn dat er helemaal geen gegevens worden verzameld. We weten echter allemaal dat het dan erg moeilijk zou zijn om je bedrijf te runnen. Enige gegevensverzameling is dus gerechtvaardigd, zolang het maar een duidelijk doel heeft.

Je moet zorgvuldig nagaan welke soorten gegevens je nodig hebt om je bedrijfsdoelstellingen te bereiken. Wanneer je deze gegevens verzamelt:

3. Privacy verankerd in ontwerp

Dit beginsel houdt in dat privacy en beveiliging bij het ontwerpen van nieuwe processen of activiteiten even belangrijk moeten zijn als de bedrijfsdoelstellingen die je probeert te bereiken.

Een andere manier om hierover na te denken is een ontdekt veiligheidslek op dezelfde manier te bekijken als een ontwerpfout. Je zou een ontwerpfout die je winstgevendheid in gevaar brengt niet zomaar patchen. Als je gegevensbescherming beschouwt als iets dat net zo belangrijk is als je bedrijfsresultaten, zou je dus ook niet zomaar een beveiligingslek patchen. Daarom is het belangrijk om je proces of systeem zo te ontwerpen dat een dergelijke kwetsbaarheid überhaupt niet mogelijk is.

4. Volledige Functionaliteit - Positieve Som, niet Nul-Som

Dit houdt verband met wat we hierboven hebben besproken: privacy en beveiliging moeten even belangrijk zijn als je bedrijfsdoelstellingen. Dit betekent dat het geen zin heeft om beveiligingsmaatregelen toe te voegen na het ontwerpen van een nieuw proces. Dit zou ervoor zorgen dat beveiliging meer aanvoelt als een bijzaak. Het resultaat is dat de beveiligingsmaatregelen behoorlijk irritant kunnen zijn, en dat mensen zouden kunnen proberen er omheen te werken omdat dat efficiënter zou zijn dan eraan te voldoen.

Dit beginsel probeert dat te voorkomen. Het punt hier is dat privacy niet iets moet zijn dat ten koste gaat van andere doelstellingen, zoals efficiëntie of functionaliteit.

Door vanaf het begin te werken met privacy en veiligheid, is het idee dat dergelijke valse dilemma’s kunnen worden overwonnen om een win-win situatie te creëren – privacy en efficiëntie, privacy en functionaliteit.

Maar hoe kun je dit concreet doen? Het idee zou zijn dat de persoon of het team die verantwoordelijk is voor gegevensbescherming nauwer wordt betrokken bij ontwerpactiviteiten, zodat ze gemakkelijker kunnen worden afgestemd op de bedrijfsdoelstellingen van een systeem of proces.

Dus in plaats van een workflow te ontwerpen en die vervolgens over te dragen aan bijvoorbeeld de IT-afdeling om na te gaan of hij veilig genoeg is, moet je proberen vanaf het begin meer samen te werken met iemand van de IT-afdeling.

5. End-to-end beveiliging - volledige levenscyclusbescherming

Ook dit beginsel dekt uitdrukkelijk een aantal zaken die we al kennen. Gegevensbeschermingsmaatregelen worden proactief toegepast voordat het eerste stukje informatie wordt verzameld, en worden gehandhaafd gedurende de gehele levenscyclus van de gegevens, totdat de gegevens tijdig en veilig worden vernietigd aan het einde van het proces.

Gegevens levenscyclus?

Wanneer je met (persoons)gegevens werkt, is het vaak een goed idee om te denken in termen van data lifecycle management. Kort gezegd stelt dit je in staat na te denken over hoe je gegevens worden gebruikt gedurende de verschillende fasen van hun ‘leven’, waaronder het creëren, opslaan, verwerken, archiveren en vernietigen van gegevens.

Wat dit betekent, is dat gegevensbescherming de standaard moet zijn in elke fase van de levenscyclus. Beveiligingsmaatregelen zoals encryptie, authenticatie, logging, enz. moeten dus in elke fase worden gebruikt.

In combinatie met de voorgaande beginselen betekent dit dat:

  • Alleen strikt noodzakelijke gegevens worden verzameld, telkens met een duidelijk gecommuniceerd doel.

  • De gegevens worden bewaard gedurende de strikt minimale tijd die nodig is om het doel te bereiken.

  • De gegevens worden veilig opgeslagen en verwerkt door middel van bv. encryptie, sterke toegangscontrole en loggingmethoden.

  • De gegevens worden veilig vernietigd zodra ze niet langer nodig zijn om het doel te bereiken.

6. Zichtbaarheid en transparantie - houd het open

Dit beginsel is vrij eenvoudig. Je moet open en transparant zijn tegenover de mensen van wie je gegevens verzamelt, onder meer over welke gegevens worden verzameld, voor welke doeleinden, hoe ze worden verwerkt en hoe de bescherming wordt gewaarborgd. Mensen moeten ook duidelijk worden geïnformeerd over hun rechten en mogelijkheden om vragen te stellen, klachten in te dienen of hun gegevens te laten wissen.

In wezen komt het erop neer dat je een duidelijk en begrijpelijk privacybeleid moet hebben waarnaar je klanten gemakkelijk kunt verwijzen wanneer zij twijfelen. Wij hebben een handige gids en template ontwikkeld om je op weg te helpen met het schrijven van een sterk privacybeleid.

7. Respect voor de privacy van de gebruiker - houd de gebruiker centraal

Dit laatste principe is er alleen om ons te herinneren aan het belangrijkste dat we hier proberen te doen: de gegevens en privacy van onze klanten met respect behandelen.

Daarom is het een goed idee om bij het ontwerpen van je systemen en praktijken voor gegevensverwerking altijd te proberen het belang van de individuele gebruiker voor ogen te houden. Ontwerp ze op een duidelijke, gebruiksvriendelijke manier die gebruikers voorziet van sterke privacy defaults, passende kennisgeving, en een duidelijk overzicht van hun verzamelde gegevens.

Kortom, je systemen en praktijken zo ontwerpen dat gebruikers in staat worden gesteld hun eigen gegevens actief te beheren, of zich op zijn minst bewust te zijn van hun gegevens.

Het betekent ook dat je weet dat de gebruiker altijd de eigenaar van zijn gegevens blijft. Uiteindelijk leent jouw bedrijf gewoon de gegevens van je klanten. Zij moeten hun toestemming hiervoor op elk moment kunnen intrekken.

Dit komt terug op wat we eerder hebben besproken: laat je klanten zien dat je de waarde van hun privacy begrijpt en dat je ervoor zorgt dat je hun gegevens op verantwoorde wijze gebruikt. Laat hen zien dat ze je kunnen vertrouwen.

Concrete acties voor de uitvoering van privacy by design

Ik hoop dat je nu beter begrijpt wat privacy by design en dataprotection by design/default proberen te bereiken, en waarom het een goed idee is om deze manier van denken geleidelijk ook in je bedrijf te gaan toepassen.

Laten we nu eens kijken naar een aantal van die “passende technische en organisatorische maatregelen” die kunnen worden gebruikt om de beginselen in de praktijk toe te passen. We hebben er al een paar besproken; bijvoorbeeld het periodiek uitvoeren van een risicoanalyse, het beoefenen van gegevensminimalisering, en het schrijven van een duidelijk privacybeleid.

Bedenk hierbij dat niemand van je verwacht dat je vanaf het begin een privacy by design expert bent. Het moet nu duidelijk zijn dat met relatief kleine stappen en acties veel kan worden bereikt. Dus zelfs alleen het werken met één of een paar van de onderstaande maatregelen kan al veel bijdragen aan de privacybescherming in je bedrijf. Er zijn natuurlijk nog veel meer acties mogelijk dan alleen die welke we hier bespreken.

Geformaliseerd engagement van het management inzake privacy en gegevensbescherming

Het explicieter opnemen van privacy en gegevensbescherming in bijvoorbeeld de missieverklaring, waarden en het intern beleid van je organisatie. Het formaliseren van deze verbintenis is de eerste stap naar het naleven ervan. Een onderdeel hiervan is het schrijven van een helder informatiebeveiligingsbeleid en beleid voor aanvaardbaar gebruik. Voor beide hebben wij gidsen en templates ontwikkeld.

Een team of persoon aanwijzen die verantwoordelijk is voor privacy en gegevensbescherming

Dit kan bijvoorbeeld een Data Protection Officer (DPO) zijn. Het is dan ook belangrijk om duidelijk te communiceren wie dit is en hoe contact met hen kan worden opgenomen, zowel aan je personeel als aan je klanten en partners.

Bied klanten een one-stop privacy portaal

Klanten een gemakkelijk te vinden plaats bieden waar zij al hun privacy- en gegevenscontroles kunnen beheren, op een duidelijke en gebruiksvriendelijke manier. Al te vaak zijn privacy- en gegevensinstellingen moeilijk te vinden of verspreid over verschillende instellingenmenu’s.

Duidelijk je redenen en rechtvaardigingen voor het verzamelen van gegevens communiceren en documenteren

Transparant zijn in je gegevensverzameling en -verwerking betekent dat je voor elk stukje informatie dat je verzamelt, duidelijk moet documenteren en meedelen wat je doel en rechtsgronden zijn, en door welke mensen of processen de gegevens zullen worden verwerkt.

Vermijdt dark patterns

Een gebruikersgericht en gebruiksvriendelijk ontwerp betekent ook het vermijden van dark patterns. Je cookiemelding moet bijvoorbeeld een duidelijk gemarkeerde optie “weigeren” hebben die gelijk is aan de optie “accepteren”. Je moet mensen niet manipuleren om meer gegevens te verstrekken dan waarvoor ze vrijwillig toestemming geven.

Zorg ervoor dat je team correct en veilig met gegevens omgaat

Maatregelen implementeren om te voorkomen dat je personeel de gegevens voor iets anders dan het gedocumenteerde doel gebruikt, of de richtlijnen voor gegevensbescherming niet volgt. Je kunt je team trainen in praktijken zoals gegevensminimalisatie, pseudonimisering en anonimisering; of technische beveiligingsmaatregelen zoals toegangscontrole, versleuteling en logmethoden.

Bevorder nauwere samenwerking tussen gegevensbeschermings-teams en bedrijfsteams

Het idee is dat zowel gegevensbescherming als bedrijfsdoelstellingen kunnen worden bereikt zonder dat de een de ander negatieve invloed beïnvloedt. Dit kan worden bereikt door beide teams aan te moedigen vanaf het begin van projecten samen te werken en ervoor te zorgen dat zij evenveel inbreng krijgen.

Data protection impact assessments (DPIA)

Uitvoering van Data protection impact assessments (DPIA) voor grote processen en projecten. Ook hier is het belangrijk meerdere perspectieven te betrekken, zodat de DPIA het bereiken van de bedrijfsdoelstellingen niet in de weg staat.

Frequente controle van privacy- en gegevensrisico's

Bewaak de privacy- en cybersecurity risico’s in je processen en activiteiten regelmatig, en voor alle fasen in de levenscyclus van gegevens: verzameling, opslag, verwerking en vernietiging. Bedreigingen voor privacy en gegevens veranderen voortdurend. Het is belangrijk dat je een kader opzet waarin bijvoorbeeld de risicoanalyse periodiek wordt uitgevoerd.

Je team is even belangrijk bij het bereiken van sterke privacy by design

Om data protection by design en by default te implementeren via deze 7 beginselen, zijn er natuurlijk heel wat technische maatregelen nodig in je IT-systemen en -architectuur. Maar zoals je waarschijnlijk hebt gemerkt, zijn de bedrijfspraktijken en -processen van een organisatie zelf even belangrijk om ervoor te zorgen dat privacy de standaard blijft gedurende de hele levenscyclus van de gegevens.

Maar zoals je hier kunt lezen, is je team waarschijnlijk het belangrijkst bij het waarborgen van sterke gegevensbescherming. Je team moet weten wat persoonsgegevens zijn, wat veel voorkomende risico’s voor gegevensbescherming zijn, wat de algemene regels voor de omgang met persoonsgegevens zijn, enzovoort.

Je team heeft dit bewustzijn en deze kennis nodig, zodat zij kunnen begrijpen waarom je bedrijfsprocessen en -systemen op deze privacy-by-design manier zijn ontworpen. Zodat zij bijvoorbeeld begrijpen waarom zij klantgegevens alleen in het daarvoor bestemde systeem of op de daarvoor bestemde locatie mogen opslaan, en niet in hun eigen spreadsheets.

Kortom: bewustmaking van het personeel is een groot onderdeel van data protection by design en by default. Onwetend personeel zal ongetwijfeld gegevens verwerken op manieren die misschien niet optimaal zijn voor de privacy.

Bewustmakingstraining gebruiken voor privacy by design

Een goede manier om je personeel te laten denken op een gebruikersgerichte, privacy-gerichte manier, is het geven van veiligheidsbewustzijnstraining. We hebben eerder de opleiding van personeel besproken als een van de concrete acties die bijdragen aan privacy by design. Bewustmakingstrainingen zijn precies voor dit doel ontworpen: mensen bewust maken van risico’s, regels, procedures, enzovoort.

Neem bijvoorbeeld het eerste beginsel van Privacy by Design: proactief in plaats van reactief; preventief in plaats van corrigerend. Het proactief identificeren van risico’s en het ontwikkelen van passende maatregelen en waarborgen houdt ook in dat je jouw personeel bewust maakt van deze risico’s en hen traint in hoe ze erop moeten reageren.

Kwetsbaarheden in de beveiliging worden vaak gezien als technische problemen, maar een gebrek aan bewustzijn dat ertoe leidt dat een teamlid op een phishing-link klikt, is net zo goed een kwetsbaarheid in de beveiliging.

Aan de slag gaan met bewustzijnstraining is eenvoudiger dan je denkt.

Tot slot

Hoewel de redenering en de richtslijnen van de AVG voor data protection by design en by default kort en vrij vaag zijn, is het niet moeilijk te zien hoe deze concepten gemakkelijk aansluiten bij wat de AVG in het algemeen probeert te bereiken: individuele gebruikers meer controle geven over hun gegevens.

Door de privacy by design-principes in je organisatie te gebruiken, kom je niet alleen een heel eind op weg om aan de AVG te voldoen, maar help je ook bij het opbouwen van een vertrouwensvolle en open relatie met je klanten en partners.