De Europese privacywet (AVG) heeft lang niet zoveel nieuwe regels meegebracht als wel wordt gedacht. Op veel punten moeten organisaties hetzelfde doen als voorheen, met als nieuw element de dreiging van enorme boetes. Eén van de belangrijkste onderwerpen die wel meer aandacht krijgt is Privacy by design. Wat betekent deze algemene term nu precies? Hoe voldoet een organisatie praktisch aan de eisen van Privacy by design?
Privacy by design of, zoals de Nederlandse term luidt, gegevensbescherming door ontwerp, is een soort parapluterm voor een werkwijze waarbij vanaf de ontwerpfase rekening wordt gehouden met privacy. In plaats van het eindresultaat van een project of systeem te toetsen of het aan de wet voldoet, wordt bij elke keuze getoetst of de privacyvriendelijke optie wordt gekozen. Wat de privacyvriendelijke keuze is, wordt bepaald door alle beginselen en regels die de privacywet voorschrijft. Zo moet rekening gehouden worden met de privacybelangen van betrokkenen, transparantie en beveiliging. Het is aan de organisatie zelf om te bepalen hoe deze eisen ingevuld moeten worden. Kunnen we misschien toch meer specifieke handvatten vinden, hoe Privacy by design er in de praktijk uitziet?
Het Europees Comité voor Gegevensbescherming, het overkoepelend orgaan van de toezichthouders, heeft een richtlijn uitgebracht om precies zulke handvatten te bieden. De organisatie die een verwerking van persoonsgegevens wil uitvoeren dient passende technische en organisatorische maatregelen te nemen om de risico’s te beperken. Deze maatregelen worden al in het project of het product meegenomen vanaf het moment dat het doel ervan duidelijk is. Technische maatregelen zijn bijvoorbeeld het pseudonimiseren van een dataset, zodat gegevens niet direct naar een individu verwijzen, en het versleutelen van gegevens tijdens het versturen. Bij organisatorische maatregelen kan worden gedacht aan de juiste toegangsinstellingen voor medewerkers.
Zoals met vrijwel alles onder de AVG dienen de stappen die worden genomen te worden vastgelegd. Zo kan een organisatie achteraf laten zien op welke manier rekening is gehouden met de privacybelangen van de betrokkenen.
Waarschijnlijk kunnen veel projectmanagers en IT-ontwikkelaars nog niet direct aan de slag met deze eisen van Privacy by design. Een Functionaris gegevensbescherming (FG) of privacy officer zal in veel gevallen moeten ondersteunen bij de ontwikkeling van projecten of producten. Zo waarborg je als organisatie dat de keuzes die in de ontwerpfase, en tijdens iedere stap daarna, worden gemaakt, voldoen aan de wet.
