Privacy by Design nu echt in de ontwerpfase

Al een aantal jaren geleden werd het principe van Privacy by Design (PbD) geïntroduceerd met de Canadese privacy commissaris Ann Cavoukian als belangrijkste trekker. Principes werden vastgesteld, grotendeels gebaseerd op de OECD Guidelines voor gegevensbescherming. Deze Guidelines stammen oorspronkelijk uit 1980 en bevatten principes als dataminimalisatie, controle en transparantie. De centrale boodschap bij PbD was natuurlijk dat privacybescherming moet en kan door in het ontwerp van systemen al rekening te houden met deze principes. Die boodschap is nooit verloren gegaan en krijgt nu een extra duwtje door de Algemene Verordening Gegevensbescherming of privacyverordening. Wanneer deze Verordening in 2018 van kracht wordt is PbD, of eigenlijk Data Protection by Design een vereiste waaraan organisaties moeten voldoen. Probleem is dat nog steeds niemand écht weet wat PbD is en de hamvraag is: wanneer heb je aan het vereiste voldaan? Daarom vind ik dat het tijd is voor een bruikbaar design voor PbD.

Privacy by Design

Op het eerste gezicht lijkt het simpel: je moet je systemen zo inrichten dat privacy al vanaf de ontwerpfase ervan meegenomen wordt als vereiste. Hierbij moet je denken aan het beschermen van gegevens tegen misbruik en lekken. Aanvullend geldt Data Protection by Default, wat betekent dat instellingen standaard op de meest privacyvriendelijke manier moeten zijn geprogrammeerd. Op welke manier de beste bescherming wordt geboden is echter niet zo duidelijk en het lijkt dan ook vooral om een inspanningsverplichting te gaan.

Het risico bij zo’n verplichting is dat de hoeveelheid benodigde inspanning niet vaststaat. Een graadmeter ligt in het traditionele juridische beginsel van proportionaliteit: de inspanning moet in verhouding staan tot het te bereiken doel. Dat geldt zowel voor de inspanning in technische zin als voor de benodigde investeringen. Een extra maatregel die maar weinig extra bescherming biedt en om een grote investering vraagt zal dus niet zomaar aangemerkt worden als tekortkoming als deze niet is geïmplementeerd. Tenzij het over hele gevoelige gegevens gaat, want dan kan de aard van de gegevens de investering weer rechtvaardigen.

In de praktijk...

Toch helpt dit allemaal maar beperkt en het blijft een kwestie van afwegen en interpreteren. In de praktijk is behoefte aan handvatten die verduidelijking brengen. Vragen die gesteld worden zijn bijvoorbeeld: Welke maatregelen leveren wat op? Hoe verhoudt zich dat tot de juridische vereisten? Op welke manier kun je nu naar je systemen kijken om volgens de principes van PbD te ontwerpen? En dan heb je ook nog de gebieden die vanuit privacyperspectief extra spannend zijn, zoals big data toepassingen. Hoe ga je daar dan mee om?

Zonder goede handvatten weten veel organisaties niet waar ze aan toe zijn. Dat kan veel tijd, geld en moeite kosten, omdat er discussies komen waarbij de uitkomsten die bereikt moeten worden niet helder vaststaan. Maar zelfs voor big data is privacyvriendelijk ontwerpen mogelijk. Een raamwerk met technische mogelijkheden, juridische vereisten en een gestructureerde organisatieomgeving kan helpen om inzicht te bieden. En dat is precies waar Privacy Company nu mee bezig is.

Het Big Privacy project

Het SIDN Fonds ondersteunt ons Big Privacy project, waarin we een raamwerk opstellen voor privacyvriendelijke big data toepassingen. Dit raamwerk zal geheel conform PbD zijn en toepasbaar in huidige technologische omgevingen. Garanties over wat voldoende inspanningen zijn kunnen we uiteraard niet geven, maar het raamwerk zal wel helpen bij het inschatten van de benodigde inspanningen, laten zien op welke manier PbD geïmplementeerd kan worden en aantonen dat privacy niet ten koste hoeft te gaan van innovatie. Dat is op zijn minst een stap in de goede richting en organisaties zullen een beter beeld krijgen van wat er van ze verwacht wordt.

Over de uitkomsten van het project zullen we later berichten. Vanzelfsprekend worden de resultaten publiekelijk beschikbaar gesteld zodat iedereen er zijn voordeel mee kan doen. Voor nu zijn we hard aan het nadenken en puzzelen. Houd onze blogpagina in de gaten voor de ontwikkelingen in dit project. Wordt vervolgd…

Author image
Arnold Roosendaal
Adviseur bij Privacy Company