De Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 ingaat, kent de begrippen ‘privacy by design’ en ‘privacy by default’. Op het eerste gezicht lijken deze heel erg op elkaar, maar natuurlijk zijn er verschillen. Eerst privacy by default: dit begrip betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Stel dat een klant informatie bij een website opvraagt, dan mag niet automatisch het vakje aangevinkt zijn dat hij de nieuwsbrief wil ontvangen.
Leeftijd en geslacht niet noodzakelijk
Een webwinkel hoeft bij het invullen van de adresgegevens ook niet niet om een leeftijd of geslacht te vragen, omdat dit niet noodzakelijk is voor het afleveren van de bestelling. Als dit zelfs verplichte velden zijn, wordt de informatie afgedwongen en dit is na 25 mei een overtreding van de AVG (videocollege). Bovendien snijdt de webwinkel dan in de eigen vingers, want de privacybewuste klant zal zijn bestelling elders plaatsen.
Al bij het ontwerp persoonsgegevens beschermen
Privacy by design betekent dat er bij het ontwerp van diensten, software en (soms) producten al rekening gehouden moet worden met het beschermen van persoonsgegevens. Een app kan dan niet meer zo ontworpen worden dat hij standaard inzage heeft in het adresboek van de gebruiker, gewoon ‘omdat het handig is’. Het mag alleen nog als dit noodzakelijk is voor de werking van de app. Ontwerpers van een smart-tv moeten gebruikers de keus geven of zij hun kijkgedrag willen delen met derden en dat dus niet standaard verplicht maken.
‘Handig’ geen geldige grondslag
Zo moet steeds nagedacht worden over de vraag of het überhaupt nodig is om persoonsgegevens te verzamelen en zo ja, waarom. ‘Handig’ is onder de AVG geen geldig argument (‘grondslag’) meer. Verder moet er in het ontwerp ook al nagedacht worden over de beveiliging van de persoonsgegevens die wél verzameld en opgeslagen worden. Pseudonimisering en anonimiseringspelen daar een belangrijke rol in.
PRIVACY BY DEFAULT: standaardinstellingen altijd zo privacyvriendelijk mogelijk
Bereid u voor op de AVG in tien stappen
Vanaf 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe wet komt in plaats van de Wet bescherming persoonsgegevens (Wbp). Veel regels van de Wbp houden stand, maar de AVG maakt de wetgeving wel strikter. Daarnaast heeft u te maken met diverse nieuwe regels. Voldoet uw organisatie op dit moment nog niet aan de Wbp, dan is er flink wat werk aan de winkel. Begin tijdig door nu al de tien stappen te doorlopen op weg naar de AVG.
Download de tool: direct toepasbaar in de praktijk
Bron: Rendement Financieel