ARTIKEL
Gegevensbescherming door ontwerp (Privacy by Design in het Engels) is een term uit de Algemene verordening gegevensbescherming (AVG), iets waar veel organisaties bekend mee zullen zijn. Organisaties die persoonsgegevens verwerken, zijn volgens deze verordening verplicht om al in de ontwerpfase van een product of dienst aandacht te schenken aan de bescherming van die gegevens. Toch blijkt het concept van Privacy by Design voor veel organisaties nog steeds een uitdaging te zijn, omdat het vaak nogal abstract en theoretisch blijft. In dit artikel leggen we uit waarom het voor elke organisatie belangrijk is, wat de zeven basisprincipes zijn en hoe je de theorie in praktijk brengt.
Waarom is Privacy by Design van belang?
Privacy by Design is een concept dat stamt uit het begin van de jaren negentig van de vorige eeuw en is de benaming van een strategisch en technisch framework dat het risico op privacyschendingen in een gegevenssysteem door middel van technische en organisatorische maatregelen tot een minimum beperkt. Het oorspronkelijke Privacy by Design-concept is rond 1990 bedacht en uitgewerkt door Ann Cavoukian, de toenmalige Information & Privacy Commissioner of Ontario in Canada. Volgens haar moet privacybescherming standaard een basisonderdeel zijn van alle IT-technologieën, bedrijfssystemen en netwerkinfrastructuren.
Wanneer je daar als organisatie al meteen vanaf het begin goed over nadenkt, voorkom je dat je later tegen problemen aanloopt wanneer je daadwerkelijk persoonsgegevens gaat verwerken. In feite is Privacy by Design door de jaren heen alleen maar relevanter geworden. De hoeveelheid gegevens waar je als organisatie mee te maken hebt, neemt immers exponentieel toe. Daardoor wordt het steeds ingewikkelder om te waarborgen dat je organisatie alleen de absoluut noodzakelijke persoonsgegevens verwerkt, en ook om eventuele beveiligingsproblemen vroegtijdig in kaart te brengen en te voorkomen, in plaats van achteraf te verhelpen.
Wanneer je Privacy by Design in je eigen systemen toepast, heb je dus meer controle over welke persoonsgegevens je precies verwerkt en kun je potentiële problemen vroegtijdig signaleren en voorkomen, zodat je die niet achteraf hoeft te verhelpen. Maar er zit nog een voordeel aan: het is op de langere termijn ook voordeliger om zo te werken. Wanneer je al vroegtijdig in de ontwerpfase technische en organisatorische maatregelen neemt om het risico op privacyproblemen zo klein mogelijk te houden, voorkom je dat later in het ontwikkelproces dure aanpassingen nodig zijn. Bovendien kan Privacy by Design je zelfs een concurrentievoordeel opleveren: wanneer je de privacy van je klanten (nog) beter respecteert en beschermt, groeit hun vertrouwen in je organisatie en is de kans groot dat ze je merk uit zichzelf gaan promoten.
De zeven basisprincipes van Privacy by Design
Als je wilt weten hoe Privacy by Design precies werkt, kun je het beste beginnen bij de zeven basisprincipes waar dit concept op gestoeld is. Hoe de toepassing van deze basisprincipes in de praktijk uitpakt, hangt wel af van de specifieke organisatie en de specifieke omstandigheden. Hieronder volgt een uitleg van elk basisprincipe, zodat je beter begrijpt hoe je deze vorm van gegevensbescherming in je eigen bedrijf kunt toepassen.
1. Proactief in plaats van reactief: voorkomen is beter dan genezen
Het eerste basisprincipe gaat over het belang van een proactieve in plaats van een reactieve benadering bij je product, dienst, systeem of proces. Het doel moet altijd zijn om te voorkomen dat er überhaupt risico’s rond privacy ontstaan. Privacy by Design betekent dus dat je anticipeert op mogelijke inbreuken op de privacy en daar proactief preventieve maatregelen voor treft, in plaats van zulke problemen achteraf te verhelpen.
2. Privacy als standaardinstelling
Het tweede basisprincipe is dat de privacy standaard gewaarborgd moet zijn. Gebruikers moeten van één ding op aan kunnen: de standaardinstellingen. Het uitgangspunt moet dus zijn dat de privacy van alle persoonsgegevens in al je IT-systemen en bedrijfsprocessen standaard maximaal beschermd is, zonder dat degene om wiens gegevens het gaat daar iets voor hoeft te doen.
3. Privacy in het ontwerp geïntegreerd
Het derde basisprincipe is dat privacy een essentieel onderdeel van het ontwerp en de architectuur van je IT-systemen en bedrijfsprocessen moet zijn. Dit houdt in dat privacy al meteen vanaf de allereerste ontwerpschets deel moet uitmaken van de kernfunctionaliteit, en dus niet pas later als ‘add-on’ wordt toegevoegd.
4. Volledige functionaliteit: win-win zonder compromissen
Het doel van dit basisprincipe is dat er rekening wordt gehouden met rechtmatige belangen en doelstellingen, en dat er geen onnodige compromissen worden gedaan ten aanzien van de privacy. Dit principe gaat dan ook lijnrecht in tegen de opvatting dat je aan de privacy mag tornen wanneer je bepaalde ontwerpdoelen, rechtmatige belangen en/of technische mogelijkheden voor ogen hebt. Het is juist de bedoeling dat je op een win-winsituatie uitkomt, waarin je alles realiseert én de privacy kunt waarborgen.
5. End-to-end beveiliging: gedurende gehele levensduur beschermd
Het doel van het vijfde basisprincipe is dat alle gegevens tijdens hun gehele levensduur goed beveiligd zijn en op het juiste moment worden vernietigd. Alle gegevens moeten dus van begin tot eind beveiligd zijn, zowel tijdens de opslag als wanneer ze worden verzonden of gebruikt. Bovendien moet dit gebeuren volgens de erkende internationale standaarden die hiervoor zijn ontwikkeld.
6. Zichtbaarheid en transparantie: openheid voor alles
Het is van groot belang dat de gebruikte technologieën en/of bedrijfsprocessen transparant zijn voor de gebruiker, in lijn zijn met de doelstellingen waarover de gebruiker ook is geïnformeerd, en gecontroleerd worden door een onafhankelijke instantie.
7. Respect voor de privacy van de gebruiker: de gebruiker staat centraal
Dit basisprincipe gaat over maatregelen in een informatiesysteem die de privacy standaard goed beschermen, de juiste informatie geven en gebruiksvriendelijke opties bevatten zodat de gebruiker centraal blijft staan. Dit houdt in dat het systeem moet zijn ontworpen met het oog op de gebruiker en moet inspelen op wat de gebruiker op privacygebied verwacht, nodig heeft of als standaardinstellingen wenst.
Voorbeeld van een organisatie die Privacy by Design heeft toegepast
Als je eenmaal weet wat de onderliggende basisprincipes zijn, kun je Privacy by Design beter in de praktijk brengen. Om het nog wat duidelijker te maken, geven we hier een voorbeeld van een organisatie die Privacy by Design op hun eigen manier heeft toegepast. Het gaat hier om een echt bedrijf, maar vanwege de privacy laten we de naam achterwege.
Een grote autofabrikant wil een nieuwe webshop opzetten waarin klanten allerlei auto-onderdelen en accessoires kunnen bestellen. De huidige webshop functioneert niet helemaal goed en is inmiddels ook verouderd. Daar willen ze nu dus iets aan doen. Ze hebben een speciaal projectteam samengesteld waar, naast de teamleider, mensen van verschillende afdelingen in zitten, zoals IT, marketing en logistiek. Het hele team weet dat privacy een belangrijke factor is en daarom zijn ze eerst bij hun functionaris voor gegevensbescherming (DPO) te rade gegaan. Die heeft het team geadviseerd om ook de privacyfunctionaris bij het projectteam te halen, zodat ze Privacy by Design correct toepassen. Het project was gelukkig nog niet van start gegaan zodat de privacyfunctionaris vanaf het allereerste begin bij het project betrokken is geweest. Verder besloten ze om een privacy-governanceteam in te stellen met daarin mensen met uiteenlopende expertises, maar vooral ook een senior manager. In dit geval werd de Chief Legal Officer gevraagd om het contactpunt tussen het team en de directie te zijn. Verder werd een trainingsprogramma samengesteld met modules die aansluiten bij de rollen en verantwoordelijkheden van de diverse medewerkers binnen het bedrijf, zodat alle werknemers een passende privacytraining konden krijgen.
Inzicht in functionaliteiten
Bij de ontwikkeling van de webshop had het projectteam als uitgangspunt dat de privacy van eindgebruikers (klanten) altijd gewaarborgd moest zijn. Daarom werd gekozen voor een gelaagde aanpak, om een goed beeld te krijgen van de functionaliteiten voor de gebruiker. Verder heeft het team een speciaal beleid opgesteld om te garanderen dat er bij de ontwikkeling van de technische processen én het systeem zelf al in een vroeg stadium naar de privacy werd gekeken. Dit beleid ging mede over belangrijke criteria zoals doel, bewaartermijn, minimale gegevensverzameling en beveiligingsmaatregelen.
Risicoanalyse en beveiliging van persoonsgegevens
Toen het team aan de slag ging met het ontwerp van de website, hebben ze eerst goed nagedacht over hoe ze alle persoonsgegevens op een veilige manier konden verzamelen, bewaren en verwerken. De persoonsgegevens van de klant komen daardoor nu in een aparte database terecht en worden daar ook verwerkt. Dit systeem maakt gebruik van encryptiesleutels die voor elk beveiligingsniveau, dus afhankelijk van de aard van de gegevens, de juiste lengte hebben. Verder is voorafgaand aan de lancering van de webshop een risicoanalyse uitgevoerd van de IT-infrastructuur, zodat zeker was dat de webshop naar behoren zou werken op het moment dat die live gaat. Als de webshop eenmaal live is, wordt deze analyse regelmatig uitgevoerd.
Unified User Experience (UUX)
In verband met de gewenste UUX voor de verschillende platforms (desktop en mobiel), is gekozen voor een systeem voor identiteitsbeheer waarin de gebruiker centraal staat. Daardoor worden alle gebruikers, ongeacht het platform dat ze gebruiken, conform artikel 13 van de AVG over hun privacyrechten geïnformeerd. Via een plug-in verschijnt er een onlineformulier waarin de gebruiker op zijn of haar rechten ten aanzien van de eigen persoonsgegevens wordt gewezen, zoals het recht op inzage, verwijdering en correctie van de verzamelde gegevens.
Inzicht in de gegevensverzameling
Om privacy als standaardinstelling te implementeren, heeft het team eerst in kaart gebracht bij welke activiteiten gegevens worden verwerkt. Daardoor weten ze nu precies welke gegevens er binnen de webshopomgeving worden verzameld. Ook zijn duidelijke afspraken gemaakt, zodat alleen de absoluut noodzakelijke gegevens worden verzameld. Als er ergens gegevens voor analysedoeleinden worden verzameld, wordt met data-governancetools continu gecontroleerd wie er toegang tot die gegevens heeft en wat ermee wordt gedaan. Verder heeft de websiteontwikkelaar de instructie gekregen om de privacy-instellingen zo in te stellen dat de gebruiker standaard goed beschermd is. In de webshopomgeving staat ook informatie over de manier waarop het bedrijf de persoonsgegevens van de klant verwerkt en hoe die beveiligd zijn. De contactgegevens van de personen die verantwoordelijk zijn voor de privacy en de beveiliging staan ook vermeld in de beleidsverklaringen.
Aan de slag
Zoals je hebt gezien, is Privacy by Design voor elke organisatie uitvoerbaar. Het concept lijkt misschien nogal abstract, maar het kan juist een goed handvat zijn om zorgvuldig over de gegevensbescherming van je eindgebruikers na te denken wanneer je nieuwe producten of diensten ontwerpt. Laat je dus vooral niet afschrikken door de theorie.