Privacy by Design als spil voor AVG-compliance
De Algemene Verordening Gegevensbescherming (AVG) kent een aantal nieuwe verplichtingen ten opzichte van de huidige regelgeving. Organisaties hebben tot 25 mei 2018 de tijd om te zorgen dat zij voldoen aan de nieuwe eisen. Een belangrijke vraag is: hoe? Er moet immers vaak veel gebeuren en een project om AVG compliant te worden vereist een organisatie-brede aanpak met meerdere betrokken disciplines. En uiteraard ook nog afstemming op bestuurlijk niveau. Eén van de nieuwe eisen is Privacy by Design (PbD, eigenlijk Data protection by design). En laat dat nou net een heleboel aanknopingspunten bieden. Bij een goede PbD aanpak is het voor organisaties mogelijk om bijna alle aspecten voor AVG compliance gestructureerd en overzichtelijk aan te pakken.
Wat is Privacy by Design?
Privacy by Design betekent dat de bescherming van privacy, of eigenlijk de bescherming van persoonsgegevens, in het ontwerp van producten of diensten wordt meegenomen. In de AVG is het vereiste opgenomen in artikel 25. De omschrijving daar biedt echter weinig houvast en blijft algemeen. Het artikel spreekt over technische en organisatorische maatregelen naar de stand van de techniek. Maar hoe maak je dat nu concreet zonder in abstracte principes te blijven hangen, zoals rechtvaardigheid en transparantie?
Een goede manier om dat te doen is om te bekijken welke aspecten een stukje invulling geven aan PbD. In ieder geval mogen alleen de persoonsgegevens worden verwerkt die noodzakelijk zijn voor het doel. Dus beschrijf eerst goed waarvoor je persoonsgegevens wilt verwerken. Vervolgens is het zaak om te kijken of het wel echt nodig is om persoonsgegevens te verwerken. Kan het doel ook bereikt worden met anonieme gegevens? In dat geval verwerk je geen persoonsgegevens. Als je wel echt persoonsgegevens nodig hebt zijn er een aantal beschermende maatregelen aan de orde, zoals pseudonimiseren en versleuteling. Deze maatregelen zorgen ervoor dat niet altijd voor iedereen die met de gegevens werkt direct duidelijk is over wie het gaat. Maar ook dat als gegevens onverhoopt worden gelekt er eigenlijk geen schade ontstaat voor de personen over wie het gaat.
Vervolgens moet er voor gezorgd worden dat alleen mensen die bij de gegevens moeten kunnen er ook daadwerkelijk bij kunnen. Dus, toegangscontrole zowel fysiek (een afgesloten gebouw of ruimte) als logisch (technisch met bijvoorbeeld een gebruikersnaam en wachtwoord en op basis van een autorisatie). Ook mogen de gegevens niet te lang bewaard worden. Dat bepaal je aan de hand van het doel. Als je de gegevens niet meer nodig hebt moeten ze vernietigd of geanonimiseerd worden. Wel heb je soms nog een plicht tot archivering.
Tenslotte moeten de rechten van betrokkenen (degenen op wie de persoonsgegevens betrekking hebben) zoveel mogelijk standaard van toepassing zijn. Dat betekent dat de instellingen voor het delen van informatie als standaard zo privacyvriendelijk mogelijk moeten staan. Dus niet zomaar alles delen met iedereen, maar juist niet delen, tenzij de gebruiker een instelling aanpast. En verdere rechten moeten eenvoudig uitgeoefend kunnen worden. Dus de betrokkene moet zijn gegevens kunnen inzien, corrigeren indien nodig, en eventueel laten verwijderen.
Compliance onder de AVG
Bij het goed toepassen van PbD wordt automatisch aan de meeste vereisten van de AVG voldaan. Alle verschillende aspecten komen aan de orde en er wordt een helder overzicht verkregen over de gekozen werkwijze en waarom bepaalde keuzes zijn gemaakt. PbD is daarmee de spil voor AVG compliance en bij een praktische toepassing een erg waardevol hulpmiddel voor organisaties. Ook het communiceren van vereisten en wat dat betekent richting hoger management wordt vereenvoudigd.
Het Privacy by Design Framework
Om de vertaalslag naar de praktijk te maken heeft Privacy Company het Privacy by Design Framework ontwikkeld. Hierin is aan de hand van verscheidende onderdelen van de AVG invulling gegeven aan het PbD en is steeds aangegeven wat dat betekent voor techniek, voor onderliggende documentatie of procedures in de organisatie, en wat eventueel alternatieven zijn als een bepaalde maatregel de bedrijfsprocessen onevenredig zou frustreren.Als gebruiker van het PbD Framework krijg je in een aantal eenvoudige stappen een goed beeld van de maatregelen die je moet nemen om te voldoen. Ook helpt het Framework om in een ontwikkelproces de juiste vragen te stellen en de juiste interactie tussen juristen en technici te verkrijgen.
Het Framework is zodanig opgesteld dat het niet alleen kan helpen bij het voldoen aan Privacy by Design in een specifiek nieuw product of dienst, maar ook als hulpmiddel kan dienen om de algemene maatregelen en procedures van een organisatie te beoordelen. Door de verschillende onderdelen langs te lopen voor bestaande processen kan ook een goede risicobeoordeling en rechtmatigheidstoets worden uitgevoerd. En het is een bewezen hulpmiddel bij de uitvoering van een gegevensbeschermingseffectbeoordeling, ook wel Privacy Impact Assessment genoemd.