Dit Framework is mede mogelijk gemaakt door het SIDN Fonds. Gepubliceerd onder creative commons 4.0 Attribution-NoDerivs, CC BY-ND licentie.

Bekijk het hier het Privacy by Design Framework in pdf of ga verder en bekijk de online versie hieronder.

Praktisch hulpmiddel

Dit raamwerk biedt een praktisch hulpmiddel waarmee organisaties Privacy by Design kunnen vormgeven in nieuwe processen en diensten, en waarmee tevens de basisinformatie verkregen kan worden om te laten zien op welke wijze een organisatie compliant is.


Techniek Anonomiseren en aggregeren (bijvoorbeeld door differential privacy)

Documentatie Geen extra maatregelen nodig, want geen persoonsgegevens

Alternatief Als je niet anonimiseert: het schema volgen
Techniek Alleen strikt noodzakelijke gegevens verzamelen of overbodig direct verwijderen, (web)invulformulieren aanpassen

Documentatie Doelomschrijving met opsomming noodzakelijke gegevens

Alternatief Waar mogelijk deel gegevensset anonimiseren/aggregeren, data fading
Techniek Ontdoen van direct identificerende kenmerken, hashing, polymorfe pseudo-id

Documentatie Beleid voor gescheiden houden van identificerende gegevens en overige gegevens, contracten

Alternatief Andere beveiligings-maatregelen
Techniek Bijvoorbeeld public key encryptie, disk encryptie

Documentatie Informatie-beveiligingstandaarden (art. 32 lid 1)

Alternatief Andere beveiligings-maatregelen (bijv. stand-alone server)
Techniek Digitale gegevenskluis, fysieke toegangscontrole, logische toegangscontrole, authenticatie en autorisatie

Documentatie Bijhouden autorisatiematrix en logging, op basis van need to know en need to access

Alternatief Access logs met controle achteraf
Techniek Privacyvriendelijke settings als uitgangspunt, transparante user-interface, permission management

Documentatie Registraties opt-in en opt-out en van permissies

Alternatief Geen alternatief, gewoon doen, is verplicht
Techniek Automatisch vernietigen, ‘flaggen’ data na verstrijken bewaartermijn, sticky policies, data fading

Documentatie Beleid en overzicht bewaartermijnen, omgang met e-waste (oude documenten en devices)

Alternatief Anonimiseren en aggregeren, (archiveren indien wettelijk toegestaan)
Techniek Privacy dashboard, communicatie/support (art. 5 lid 1 sub a)

Documentatie Privacy statement, beleid bij verzoeken tot inzage/correctie/verwijderen gegevens

Alternatief Geen alternatief, wettelijke plicht

Waarom dit framework?

In de Algemene Verordening Gegevensbescherming wordt Privacy by Design expliciet vereist bij het verwerken van persoonsgegevens. Privacy by Design betekent dat organisaties bij de ontwikkeling van (nieuwe) producten en diensten zo vroeg mogelijk aandacht besteden aan het beschermen van persoonsgegevens. Door privacybeschermende maatregelen aan het begin mee te nemen in de ontwikkeling is men eerder compliant met privacyregelgeving en worden kosten bespaard doordat deze maatregelen niet later alsnog moeten worden genomen. Het is onduidelijk wanneer is voldaan aan het vereiste van Privacy by Design.

Hoe gebruik je dit framework?

Dit framework geeft invulling aan Privacy by Design op basis van vereisten die door de Algemene Verordening Gegevensbescherming verspreid zijn opgenomen. Indien mogelijk kun je werken met anonieme gegevens. Als dat niet mogelijk is doorloop je de overige kolommen. Steeds is er een technische component met ondersteunende documentatie of organisatorische maatregelen. Door het schema te doorlopen en te registreren welke aspecten zijn meegenomen ontstaat een overzicht van de manier waarop jouw organisatie aan Privacy by Design voldoet. Omdat mogelijk niet altijd alle aspecten technisch ingevuld kunnen worden is ook gekeken naar alternatieve waarborgen.Laat Captain Privacy je leiden!

Maak het onderdeel van je organisatie

Het framework kan binnen een organisatie gebruikt worden als onderdeel van de algehele privacy governance. Om te borgen dat de organisatie compliant blijft bevelen wij je aan regelmatig een privacy audit uit te voeren aan de hand van het framework. Daarnaast kan een privacy impact assessment helpen inzichtelijk maken welke maatregelen vereist zijn bij het ontwerpen van een nieuwe dienst of gegevensverwerking.



Hulp nodig?

Neem contact met ons op via info@privacycompany.eu



Terug naar de privacy kennisbank