Print:

3 misverstanden over privacy by design (plus: hoe het werkelijk zit)

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Door de beginselen van privacy by design en privacy by default in de Algemene verordening gegevensbescherming (AVG) staat het thema van gegevensbescherming door slim ontwerp bij veel organisaties hoog op de agenda. Tegelijkertijd is er nog veel onduidelijk over deze manier van gegevensbescherming. De drie veelgehoorde misverstanden.

Dataprotectie & Privacy gids | IIR

 

De AVG verplicht verwerkingsverantwoordelijken om invulling te geven aan privacy by design en privacy by default. Privacy by design betekent dat er al bij het ontwerpen van producten en diensten rekening wordt gehouden met de bescherming van persoonsgegevens. Een belangrijk onderdeel van privacy by design is data-minimalisatie. In het ontwerp moet gewaarborgd worden dat er niet méér persoonsgegevens worden verwerkt en bewaard dan strikt noodzakelijk voor het doel van de verwerking. Ook privacy by default kan gezien worden als onderdeel van privacy by design: deze aanpak gaat ervan uit dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn. Denk aan apps die niet standaard de locatie van gebruikers registreren, of aanmeldformulieren waarin de optie om reclame te ontvangen niet vooraf is aangevinkt.

Door de komst van de AVG staat privacy by design volop in de belangstelling. Misverstanden zijn er ook. We ontkrachten drie mythes.

Misverstand 1: er zijn kant-en-klare oplossingen voor privacy by design

Privacy by design, wie wil het niet? Maar de implementatie is minder eenvoudig dan je misschien zou denken. Een standaard aanpak is er niet. Sterker nog, er is nog veel onduidelijk over de basisprincipes. Wat houdt privacy by design eigenlijk precies in, en wat kan je er mee?

Privacy by design staat in Nederland nog in de kinderschoenen, waarschuwt IIR-docent Frank van Vonderen. “Experts zijn nog druk bezig om een eigen beeld en visie te ontwikkelen, zonder dat de verschillende expertises (organisatie, IT, juridisch) worden samengebracht. De eerste whitepapers en standaarden zijn inmiddels wel geschreven. Maar privacy by design moet nog tastbaar en concreet moet worden gemaakt voor niet-specialisten.”

Bovendien zijn IT-systemen niet van de een op de andere dag privacyvriendelijk te maken. Dat komt onder andere doordat organisaties vaak afhankelijk zijn van het aanbod van hun leveranciers van systemen en software. Een softwarepakket verzamelt in veel gevallen meer gegevens dan een organisatie nodig heeft. Aanpassingen zijn niet zomaar mogelijk. Jaap-Henk Hoepman, wetenschappelijk directeur van het Privacy & Identity Lab, verwacht dat de markt wel steeds meer zal inspelen op de vraag naar privacyvriendelijke systemen en software. Maar tot nu toe is het aanbod nog zeer beperkt.

Misverstand 2: privacy by design vindt plaats bij nieuwe verwerkingen

De AVG wekt misschien de indruk dat privacy by design alleen maar bij nieuwe processen en systemen wordt uitgevoerd. Maar het moet worden toegepast op álle persoonsgegevens en de daarbij behorende systemen en producten – en dus ook op de bestaande gegevensverwerkingen. We zouden volgens Frank van Vonderen daarom net zo goed kunnen spreken van privacy by redesign.

Misverstand 3: privacy by design is een kwestie van techniek

Bij privacy by design denken we al snel aan technische oplossingen. De term design refereert immers vaak aan het ontwerpen van IT-systemen. Toch is techniek niet de kern van privacy by design. De aanpak start namelijk met dataminimalisatie: het uitgangspunt is om alleen de persoonsgegevens te verzamelen (en bewaren) die noodzakelijk zijn voor het doel van de verwerking. Dit is primair een organisatorische keuze, die vervolgens met technische én organisatorische maatregelen kan worden uitgewerkt.

Zoals Frank van Vonderen het zegt: “Privacy by design is in eerste instantie organisatie en pas in tweede instantie techniek. In de eerste plaats betekent privacy by design namelijk bepalen welke persoonsgegevens je wil en mag verzamelen en verwerken. Het hoe van de techniek is daar een afgeleide van.”

Meer weten over privacy by design? In het IIR-whitepaper en onze trainingen en opleidingen passeren alle need to knows de revue. Tijdens de 2-daagse praktijkcursus Privacy by Design doet u de noodzakelijke kennis op om uw processen, producten en diensten Privacy by Design te maken. Privacy by design komt ook uitgebreid aan bod in de 4-daagse cursus Privacy Officer 2.0.

Privacy by Design | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van Privacy by Design direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten