Privacy by Default: wat houdt het in en welke impact kan het hebben op een organisatie?

Onder de aankomende Algemene Verordening Gegevensbescherming (AVG) zijn Privacy by Design en Privacy by Default verplicht gesteld voor organisaties en aanbieders van producten en diensten die persoonsgegevens willen verwerken. Vorige maand is het door Privacy Company ontwikkelde Privacy by Design Framework gepresenteerd en zijn er meerdere blogposts over het onderwerp geschreven. In deze post zal ik dieper in gaan op Privacy by Default en je meer informatie geven over wat voor impact dit kan hebben op jouw organisatie.

Het verschil tussen Privacy by Default en Privacy by Design

Hoewel beiden concepten aan elkaar verwant zijn, zijn ze niet hetzelfde. Wel zijn beiden te vinden in de AVG en dienen ze er allebei toe om privacy al vanaf het moment van ontwikkeling tot aan het laatste gebruik zoveel mogelijk te integreren in een diensten en producten. Waar Privacy by Design echter voornamelijk van toepassing is op de ontwikkeling van (nieuwe) producten of diensten, is Privacy by Default in de AVG opgenomen voor die producten of diensten waarbij gebruikers zelf de mogelijkheid wordt geboden om persoonsgegevens te delen of af te staan. Het concept van Privacy by Default verplicht organisaties om in dit soort situaties de privacy van hun gebruikers te beschermen door de instellingen en functies van de producten of diensten standaard (by default) op de meest privacyvriendelijke stand te zetten. Dit betekent dat er, indien mogelijk, om toestemming wordt gevraagd voordat persoonsgegevens gedeeld worden en dat er zo min mogelijk persoonsgegevens worden gevraagd en verwerkt. Daarom is Privacy by Default dan ook een onderdeel van Privacy by Design.

Hoe uit dit zich in de praktijk?

Prominente diensten die met Privacy by Default te maken zullen krijgen zijn onder andere sociale netwerken zoals Facebook. Op Facebook delen miljoenen mensen dagelijks hun persoonsgegevens. De zichtbaarheid en toegankelijkheid van deze gegevens - denk hierbij aan woonplaats, leeftijd en e-mailadres, maar ook foto’s, filmpjes of pagina’s die geliket zijn - kan door de gebruiker zelf worden bepaald. De gebruiker kan ervoor kiezen om data openbaar te maken, waardoor deze voor andere gebruikers en zoekmachines kan worden gevonden, of juist om data in een meer besloten omgeving te delen zodat deze alleen voor vrienden zichtbaar en vindbaar is.

Veel gebruikers zijn zich er echter niet van bewust dat deze functies bestaan en wat voor verschil het aanpassen van instellingen kan maken, waardoor onbedoeld heel veel informatie openbaar is. Daarnaast kost het tijd om privacyinstellingen te veranderen, tijd die de gemiddelde gebruiker hier liever niet aan besteedt. Dit is waar Privacy by Default om de hoek komt kijken. Waar op dit moment een foto voor iedereen zichtbaar is op het moment dat deze wordt geüpload, zal deze onder de AVG standaard op de meest besloten stand worden gezet. Hierdoor moet de gebruiker bewust de keuze maken om een foto of ander persoonsgegeven met anderen te delen. De AVG stelt hierover zelfs expliciet dat persoonsgegevens niet zonder menselijke tussenkomst voor een onbeperkt aantal mensen toegankelijk mogen worden gemaakt. En dit is maar één voorbeeld van een instelling die by default privacyvriendelijk moet worden. Bij elke functie die Facebook aanbiedt zal overwogen moeten worden of de standaardinstelling wel privacyvriendelijk is en zo niet dan zal dit moeten worden aangepast.

Privacy by Default: gewoon doen.

Privacy by Default is niet alleen bedoeld voor sociale netwerken. Alle diensten die gebruik maken van standaardinstellingen die betrekking hebben op persoonsgegevens worden door dit vereiste geraakt. Het kan dan bijvoorbeeld gaan om de hoeveelheid toestemmingen die gevraagd worden door apps, vooraf aangevinkte opties in (online) contact formulieren zoals "ik wil op de hoogte gehouden worden" of het automatisch inloggen bij en koppelen met andere websites. Overal waar persoonsgegevens worden verwerkt moet worden nagedacht over Privacy by Default. En juist omdat het een harde verplichting uit de AVG betreft kan ik dan ook maar één advies geven: Privacy by Default? Gewoon doen.

Author image
Diederik The
Adviseur bij Privacy Company.