Mede door het omvangrijke aantal systemen dat persoonsgegevens verwerkt is het niet mogelijk voor privacytoezichthouders om systematisch alle systemen te controleren op rechtmatigheid en om bij onrechtmatigheid tijdig sancties op te leggen. Om dit probleem meer proactief te ondervangen heeft de wetgever gekozen voor het concept van “privacy by design and default” (art. 25 AVG en overweging 78 AVG). Het concept levert tevens een bijdrage aan compliance met andere verplichtingen uit de AVG (zoals art. 5 (beginselen), art 24 lid 1 (passende maatregelen) en 32 AVG (beveiliging)).
Het concept verplicht organisaties ertoe, al tijdens de ontwikkeling, de uitwerking, de keuze en het gebruik van producten en diensten, preventief en proactief, privacybeschermende maatregelen te verwerken in het design van deze producten en diensten.
Toepassing van het concept is verplicht voor alle nieuwe verwerkingen. Ook bestaande verwerkingen zullen in lijn met het concept moeten worden gebracht. Dat kan in het kader van de verplichte periodieke evaluatie van verwerkingen (art. 24 lid 1 en 32 lid 2 AVG). Of volledige vervanging van bestaande systemen noodzakelijk is kan onder meer worden getoetst aan de er mee gemoeide kosten (art. 24 lid 1 AVG, eerste volzin).
Privacy by design zorgt er voor dat het ontwerp in het algemeen een goed beschermingsniveau waarborgt en tevens faciliteert dat bij de instellingsmogelijkheden automatisch de meest privacy-vriendelijke instelling wordt aangehouden (privacy by default).
Het eerste lid van art. 25 AVG werkt het principe van privacy by design and default in het algemeen uit. Het tweede lid geeft een nadere uitwerking van het principe in relatie tot doelbinding (art. 5 lid 1(c) AVG) (zie ook WP 223 en WP 240).
uw organisatie is bezig met de ontwikkeling, bijwerking en/of ingebruikname van gegevenswerkende systemen of technieken;
tijdens de ontwikkeling en/of vóór ingebruikname van deze systemen dienen passende technische en organisatorische privacyverhogende maatregelen te worden getroffen. Deze maatregelen dienen te zien op:
de bepaling van de verwerkingsmiddelen (op welke manier de gegevensverwerking zal plaatsvinden); en
de gegevensverwerking zelf.
de maatregelen dienen afhankelijk te zijn van de volgende omstandigheden:
stand van de techniek betreffende de te nemen maatregel;
uitvoeringskosten; • aard van de verwerking;
context van de verwerking;
doel van de verwerking;
eventuele risico’s voor de rechten en vrijheden van natuurlijke personen.
de maatregelen dienen de gegevensbeschermingsbeginselen uit de AVG als doel, waaronder:
het bewerkstelligen van een minimale gegevensverwerking;
het verwerken van gegevens op een doeltreffende manier;
conformering aan de AVG;
de bescherming van betrokkenen.
Privacy by design and default gelden in beginsel bij iedere ontwikkeling bijwerking en/of ingebruikname van (nieuwe) gegevensverwerkende systemen en technieken. Indien uw organisatie een systeem dat of een techniek die persoonsgegevens verwerkt, laat ontwikkelen, ontwikkelt, uitkiest, in gebruik neemt of updatet, gelden de vereisten van privacy by design and default. Denk bijvoorbeeld aan salarisadministraties, CRM-systemen, een elektronisch patiëntendossier, een werklaptop, een “Bring Your Own Device”, een website, intranet, cameratoezicht, een toegangspasjessysteem, een personeelsvolgsysteem of wearables.
Ook bestaande verwerkingen zullen in lijn met het concept moeten worden gebracht. Dat kan in het kader van de verplichte periodieke evaluatie van verwerkingen (art. 24 lid 1 en 32 lid 2 AVG ). Of volledige vervanging van bestaande systemen noodzakelijk is kan onder meer worden getoetst aan de er mee gemoeide kosten (art. 24 lid 1 AVG, eerste volzin).
Maatregelen bij privacy by design and default zien op het “inbakken” van privacybeschermende maatregelen gericht op het voldoen aan wettelijke verplichtingen bij de inrichting en ingebruikname van persoonsgegevensverwerkende systemen. Een toets om te verifiëren of uw organisatie afdoende maatregelen heeft getroffen is om na te gaan of een redelijk handelend bekwaam deskundige dezelfde maatregelen zou hebben getroffen. Concrete voorbeelden van privacyverhogende maatregelen zijn als volgt:
– encryptie (het versleutelen van de gegevens);
– pseudonimisering (procedure waarmee identificerende gegevens met een algoritme worden vervangen door versleutelde gegevens);
– granulaire toegangsbeveiliging (zoals Attribute Based Access Control (ABAC));
– dataminimalisatie (beperken van verwerken persoonsgegevens);
– niet automatisch aanvinken van toestemming;
– creëren van transparantie betreffende de functies en de verwerking van persoonsgegevens;
– het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking;
– een webwinkel die haar klanten nooit belt hoeft géén telefoonnummer te verwerken;
– een gedeactiveerd werkplekaccount van een ex-werknemer moet spoedig worden verwijderd;
– een adressenlijst dient slechts toegankelijk te zijn voor medewerkers die de adressen uit noodzaak voor het doel verwerken;
– het gebruik van “open” invoervelden dient te worden vermeden om te voorkomen dat irrelevante of ontoelaatbare informatie wordt ingevoerd.
Het gebruik van privacy by default strekt er toe dat sommige verwerkingsmogelijkheden voor de verwerkingsverantwoordelijke standaard uitgevinkt staan. Het is mogelijk dat uw organisatie de betrokkene wil uitnodigen de uitgevinkte verwerkingsmogelijkheid voor de verwerkingsverantwoordelijke alsnog aan te vinken. Dit is mogelijk en toegestaan. Organisaties kunnen opties weergeven, waarbij uitgelegd wordt welke gegevens er verwerkt worden bij het aanvinken. Daarbij dient aangegeven te worden voor welke doeleinden deze gegevens worden verwerkt.
maatregelen gericht op het garanderen dat voldaan wordt aan het beginsel van doelbinding;
de verplichting geldt bij iedere persoonsgegevensverwerking binnen uw organisatie;
er dienen passende technische en organisatorische maatregelen te worden getroffen teneinde slechts die persoonsgegevens te verwerken die noodzakelijk zijn voor het betreffende verwerkingsdoel;
deze verplichting geldt voor de volgende aspecten van een gegevensverwerking:
de hoeveelheid verzamelde persoonsgegevens;
de mate waarin zij worden verwerkt;
de bewaartermijn waarvoor zij worden opgeslagen;
de toegankelijkheid van de persoonsgegevens.
alle maatregelen moeten onder meer het doel dienen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk kunnen worden gemaakt.
het European Union Agency for Network and Information Security (ENISA) heeft meerdere rapporten geschreven betreffende privacy by design and default. Het ENISA richt zich voornamelijk op de technische (privacyverhogende) maatregelen die organisaties kunnen treffen om te voldoen aan privacy by design and default. Deze rapporten zijn te vinden op www.enisa.europa.eu;
het gebruik van goedgekeurde certificeringsmechanismen helpt bij het aantoonbaar maken dat voldaan is aan de eisen van art. 25 AVG (art. 25 lid 3 AVG);
bij overheidsaanbestedingen moet het beginsel van privacy by design and default mee worden genomen in de aanbesteding door de betreffende overheidsinstelling (laatste volzin van overweging 78 AVG).
Dit is een checklist uit de uitgave Checklist Privacy AVG: privacybeleid in 57 checklists
Dit artikel is ook te vinden in het dossier AVG
