Overslaan en naar de inhoud gaan

Privacy by design

Privacy by design

Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.
 

De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.
 

Toekomstige regelgeving

Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.
 

Hoe privacy by design implementeren?

Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.
 

Voordelen van privacy by design

De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.
 

Waarom privacy by design omarmen?

Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.
 

Dreigende reputatieschade

De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.
 

Vertrouwen consument vergroten

Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.

Auteurs: Marc Elshof & Barry Breedijk

Hoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?

TAGS

Copyright © 2019 Mavim B.V.