AVG: Het verschil: privacy by design en privacy by default

AVG, privacyAls de AVG op 25 mei 2018 van kracht wordt, gaan de begrippen ‘privacy by design’ en ‘privacy by default’ een grote rol spelen. Voor het gevoel liggen de twee dicht bij elkaar, maar het zijn toch gescheiden begrippen met een nét iets andere inhoud. Wat is het verschil?

De Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 ingaat, kent de begrippen ‘privacy by design’ en ‘privacy by default’. Op het eerste gezicht lijken deze heel erg op elkaar, maar natuurlijk zijn er verschillen. Eerst privacy by default: dit begrip betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Stel dat een klant informatie bij een website opvraagt, dan mag niet automatisch het vakje aangevinkt zijn dat hij de nieuwsbrief wil ontvangen.

Leeftijd en geslacht niet noodzakelijk

Een webwinkel hoeft bij het invullen van de adresgegevens ook niet niet om een leeftijd of geslacht te vragen, omdat dit niet noodzakelijk is voor het afleveren van de bestelling. Als dit zelfs verplichte velden zijn, wordt de informatie afgedwongen en dit is na 25 mei een overtreding van de AVG (videocollege). Bovendien snijdt de webwinkel dan in de eigen vingers, want de privacybewuste klant zal zijn bestelling elders plaatsen.

Al bij het ontwerp persoonsgegevens beschermen

Privacy by design betekent dat er bij het ontwerp van diensten, software en (soms) producten al rekening gehouden moet worden met het beschermen van persoonsgegevens. Een app kan dan niet meer zo ontworpen worden dat hij standaard inzage heeft in het adresboek van de gebruiker, gewoon ‘omdat het handig is’. Het mag alleen nog als dit noodzakelijk is voor de werking van de app. Ontwerpers van een smart-tv moeten gebruikers de keus geven of zij hun kijkgedrag willen delen met derden en dat dus niet standaard verplicht maken.

‘Handig’ geen geldige grondslag

Zo moet steeds nagedacht worden over de vraag of het überhaupt nodig is om persoonsgegevens te verzamelen en zo ja, waarom. ‘Handig’ is onder de AVG geen geldig argument (‘grondslag’) meer. Verder moet er in het ontwerp ook al nagedacht worden over de beveiliging van de persoonsgegevens die wél verzameld en opgeslagen worden. Pseudonimisering en anonimiseringspelen daar een belangrijke rol in.

PRIVACY BY DESIGN: bij ontwerp bescherming persoonsgegevens al meenemen
PRIVACY BY DEFAULT: standaardinstellingen altijd zo privacyvriendelijk mogelijk

Bereid u voor op de AVG in tien stappen

Vanaf 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe wet komt in plaats van de Wet bescherming persoonsgegevens (Wbp). Veel regels van de Wbp houden stand, maar de AVG maakt de wetgeving wel strikter. Daarnaast heeft u te maken met diverse nieuwe regels. Voldoet uw organisatie op dit moment nog niet aan de Wbp, dan is er flink wat werk aan de winkel. Begin tijdig door nu al de tien stappen te doorlopen op weg naar de AVG.

Download de tool: direct toepasbaar in de praktijk

Bron: Rendement Financieel