Wat betekent “privacy by design” eigenlijk?

Privacy by design is bij het ontwerpen van systemen van meet af aan adequate bescherming van persoonsgegevens inbouwen. Tenminste als die gegevens verwerkt worden in dat systeem en dat geldt zeker als het gevoelige of bijzondere persoonsgegevens betreft. Meestal betreft het softwareapplicaties en met “adequaat” bedoel ik conform de eisen die de nieuwe privacywet (AVG/GDPR) aan die bescherming stelt. Het is een wijdverbreid misverstand dat dit alleen IT-security betreft. U zult bij het ontwerp niet alleen technische maar ook organisatorische aspecten moeten betrekken. Zo moet u er bijvoorbeeld rekening mee houden dat betrokkenen (dat zijn de individuen waarvan u de gegevens verwerkt) hun rechten kunnen uitoefenen. En dat is vaak niet zo eenvoudig als u misschien denkt.

Rechten van betrokkenen

Die rechten hebben betrokkenen nu eenmaal door de nieuwe privacywet, de Algemene Verordening Gegevensbescherming. Eén van die rechten is het recht op inzage en rectificatie. Dit betreft echter alleen diens persoonsgegevens. Veel dossiers, zoals bijvoorbeeld in een personeelsadministratie, bevatten persoonlijke notities. De betrokkene heeft geen inzagerecht in deze voor intern overleg bedoelde notities. Bij de bouw van het systeem is het dus gewenst om daar rekening mee te houden zodat deze notities niet per ongeluk aan de betrokkene verstrekt worden. Te denken valt dan bijvoorbeeld aan encryptie en een correcte afhandeling van rechten en rollen.

Privacy by default vs. Privacy by design

Vaak wordt privacy by default in één adem genoemd met privacy by design. Het idee van privacy by default is om de standaardinstellingen in de meest privacy-vriendelijke stand te zetten. De AVG verplicht organisaties om dat te doen bij producten en diensten waarbij de gebruiker zelf kan aangeven of hij zijn gegevens wil delen met anderen. Privacy by default is overigens niet alleen bedoeld voor social media; het kan bijvoorbeeld ook gaan over apps waar van de gebruiker toestemming voor bepaalde toepassingen wordt gevraagd.