In artikel 25 van de AVG worden de termen ‘gegevensbescherming door ontwerp’ en ‘gegevensbescherming door standaardinstellingen’ geïntroduceerd. Deze termen zijn ook wel bekend als ‘privacy by design’ en ‘privacy by default’. Om de regels van de AVG na te leven moet er rekening gehouden worden met gegevensbescherming door ontwerp en door standaardinstellingen. In deze blog wordt behandeld wat gegevensbescherming door ontwerp en door standaardinstellingen is, hoe organisaties hieraan kunnen voldoen en hoe dit bewezen kan worden.
Wat is gegevensbescherming door ontwerp?
Gegevensbescherming door ontwerp (privacy by default) houdt in dat de verwerkingsverantwoordelijke door de AVG verplicht is om passende technische en organisatorische maatregelen te nemen om zo de rechten van betrokkene te beschermen. Dit betekent dat organisaties bij het implementeren van nieuwe technologie in het vroegst mogelijk stadium al rekening moeten houden met gegevensbescherming. Dit moet worden gedaan om aan de beginselen van verwerking van persoonsgegevens en aan de rechten van betrokkenen te voldoen. Binnen de AVG wordt pseudonimiseren van persoonsgegevens als voorbeeld van gegevensbescherming door ontwerp gegeven. Hierbij worden persoonsgegevens in een vroeg stadium versleuteld achter een pseudoniem: alleen gemachtigde personen, die het algoritme achter de versleuteling kennen, kunnen bij de persoonsgegevens komen. Een ander voorbeeld hiervan is een algoritme dat zelf bekijkt of gegevens gebruikt worden. Indien blijkt dat de gegevens niet meer nodig zijn, kunnen deze door de algoritme automatisch verwijderd worden.
Wat is gegevensbescherming door standaardinstellingen?
Gegevensbescherming door standaardinstellingen wordt in de AVG gedefinieerd als een plicht van de verwerkingsverantwoordelijke om technische en organisatorische maatregelen te nemen om te zorgen dat alleen gegevens die echt noodzakelijk zijn te verwerken. Het artikel stelt dat dit geldt voor de hoeveelheid persoonsgegevens, de mate van verwerking, de termijn en toegankelijkheid van de persoonsgegevens. Dit betekent dat een organisatie al vanaf het begin alleen de gegevens die echt noodzakelijk zijn mag verwerken, en deze niet langer mag opslaan dan toegestaan. In beginsel mogen persoonsgegevens nooit openbaar zijn: de betrokkene moet hier altijd eerst toestemming voor geven.
Een voorbeeld waarbij standaardinstellingen toegepast worden om de verwerking van persoonsgegevens te minimaliseren, is wanneer een betrokkene een website bezoekt en een keuzescherm over cookie-gebruik tevoorschijn komt. In dit keuzescherm dient de optie ‘gebruik alleen de noodzakelijke cookies’ altijd standaard aangevinkt te zijn. Dit heeft als gevolg dat tenzij de betrokkene er zelf voor kiest om het gebruik van andere cookies toe te staan, alleen de noodzakelijke cookies gebruikt worden tijdens het bezoeken van de website. De standaardinstellingen moeten dus altijd het meest privacy-vriendelijke zijn.
Verschil tussen gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen
Hoewel beide termen erg op elkaar lijken, en vaak samen worden behandeld, zijn ze niet gelijk. Het eerste verschil is wanneer de implementatie van gegevensbescherming plaatsvindt. Bij gegevensbescherming door ontwerp moet er al in de vroegste stadium rekening houden met waarborging van privacy, terwijl bij gegevensbescherming door standaardinstellingen dit ook later plaats kan vinden. Ook kan gegevensbescherming door standaardinstellingen gezien worden als een onderdeel van gegevensbescherming door ontwerp: de meest privacy-vriendelijke settings standaard inprogrammeren kan al in een vroeg stadium geïmplementeerd worden.
Certificaat
Om aan te tonen dat organisaties aan de eisen van gegevensbescherming door ontwerp en door standaardinstellingen te voldoen, kunnen de organisaties een certificaat ontvangen. Dit certificaat kan verkregen worden, indien de organisatie aan de eisen van de AVG voldoet. Het certificaat kan aangevraagd worden bij een door de Raad voor Accreditatie (RvA) geaccrediteerde instelling. Het AVG-certificaat dient als bewijs dat laat zien dat de organisatie de regels van de AVG naleeft.
In deze blog werd besproken wat gegevensbescherming door ontwerp en door standaardinstellingen is, hoe dit nageleefd kan worden en de naleving bewezen kan worden door middel van een certificaat. Wilt u meer weten over AVG-data compliance? In de volgende blog wordt de bewaartermijn voor persoonsgegevens behandeld.