Het Privacy by Design Framework: om zeker te weten dat jouw organisatie compliant is en blijft
In de Algemene Verordening Gegevensbescherming (AVG) wordt Privacy by Design (PbD) expliciet vereist bij het verwerken van persoonsgegevens. PbD betekent dat organisaties bij de ontwikkeling van (nieuwe) producten en diensten zo vroeg mogelijk aandacht besteden aan het beschermen van persoonsgegevens. Het is echter onduidelijk wanneer is voldaan aan het vereiste van PbD. Er is grote behoefte aan een praktisch hulpmiddel waarmee organisaties PbD kunnen vormgeven in nieuwe processen en diensten, en waarmee tevens de basisinformatie verkregen kan worden om te laten zien op welke wijze een organisatie compliant is.
Een praktisch raamwerk
Privacy Company heeft daarom dit raamwerkontwikkeld, waarin invulling wordt gegeven aan PbD op basis van vereisten die door de AVG verspreid zijn opgenomen. In de bepaling over PbD zelf wordt namelijk alleen pseudonimisering genoemd als concreet voorbeeld. Verspreid door de AVG zijn echter meerdere aspecten te vinden die wettelijk verplicht gesteld zijn en een stukje van PbD invullen. We hebben die aspecten op een rijtje gezet en een logische indeling gemaakt in zeven hoofdcategorieën. Voor elke categorie hebben we vervolgens een voorbeeld van technische invulling gegeven en aangegeven welke documenten of organisatorische aspecten daarbij nodig zijn. Omdat het soms niet mogelijk is om alle technische aspecten in een proces in te passen, bijvoorbeeld omdat een proces dan praktisch gezien niet uitgevoerd kan worden, hebben we ook op enkele plaatsen een alternatieve waarborg benoemd. Uiteindelijk is het van belang dat een organisatie kan aantonen dat voldoende waarborgen voor de bescherming van privacy aanwezig zijn en dat dit zoveel mogelijk technisch (by design) is geïmplementeerd.
Hoe is het raamwerk opgebouwd?
Indien mogelijk moet een organisatie werken met anonieme gegevens. Anonieme gegevens zijn namelijk geen persoonsgegevens en de AVG is dan niet van toepassing. Omdat anonimiseren de beste bescherming biedt vind je deze in de eerste kolom in het raamwerk. Bij anonimiseren worden gegevens vaak ook geaggregeerd. Wanneer het niet mogelijk is voor de organisatie om met anonieme gegevens te werken gelden de overige zeven kolommen. Bij iedere kolom is aangegeven waar je het vereiste in de AVG terug kunt vinden.
De zeven kolommen gaan achtereenvolgens over:
- dataminimalisatie
- pseudonimiseren
- encryptie
- access control
- data protection by default
- verwijderen/bewaartermijnen
- het faciliteren van rechten van betrokkenen
Technische component, onderliggende documentatie, het alternatief
Per kolomonderwerp is er steeds een technische component met ondersteunende documentatie of organisatorische maatregelen. Bij access control gaat het bijvoorbeeld om logische en fysieke toegangscontrole. Als onderliggende documentatie is een autorisatiematrix vereist die goed up-to-date moet blijven. Wanneer een relatief grote groep mensen toegang heeft tot de persoonsgegevens is een alternatieve waarborg het gebruik van access logs. Daarmee kan de rechtmatigheid van toegang achteraf gecontroleerd worden. Het moge duidelijk zijn dat de alternatieve waarborgen echt als alternatief moeten worden gezien als iets technisch niet mogelijk is. De voorkeur is om zoveel mogelijk de technische componenten te implementeren.
Wat kun je met het raamwerk?
Door het raamwerk te doorlopen en te registreren welke aspecten zijn meegenomen ontstaat een overzicht van de manier waarop de organisatie aan Privacy by Design voldoet. In het overzicht kunnen ook de documenten opgenomen worden die de organisatie gebruikt.
Het kan binnen een organisatie gebruikt worden als onderdeel van de algehele privacy governance. Om zeker te weten dat de organisatie compliant blijft wordt aanbevolen regelmatig een privacy audit uit te voeren aan de hand van dit raamwerk. Daarnaast kan een (verplichte) privacy impact assessment helpen inzichtelijk maken welke maatregelen vereist zijn bij het ontwerpen van een nieuwe dienst of gegevensverwerking. Veel succes met het toepassen!
Dit raamwerk is onderdeel van het Big Privacy project dat Privacy Company uitvoert met steun van het SIDN Fonds.
