De General Data Protection Regulation (GDPR) heeft veel veranderingen teweeggebracht in de manier waarop bedrijven en overheidsinstanties over privacy denken. Een van die manieren is het besluit om het concept van “Privacy by Design” (PbD) in de wet op te nemen via artikel 25.
Gelukkig genoeg is het concept van Privacy by Design, in tegenstelling tot veel van de GDPR, vrij goed ingeburgerd.
Wat is Privacy by Design, waarom vereist de GDPR het, en hoe kunt u PbD in uw eigen bedrijf implementeren? Hieronder vindt u de antwoorden en checklists om u op weg te helpen.
Een privacybeleid nodig? Onze Privacy Policy Generator helpt u bij het opstellen van een aangepast beleid dat u op uw website en mobiele app kunt gebruiken. Volg gewoon deze paar eenvoudige stappen:
- Klik op “Start met het maken van uw privacybeleid” op onze website.
- Selecteer de platforms waarop uw privacybeleid zal worden gebruikt en ga naar de volgende stap.
- Voeg informatie over uw bedrijf toe: uw website en/of app.
- Selecteer het land:
- Beantwoord de vragen van onze wizard met betrekking tot het type informatie dat u van uw gebruikers verzamelt.
-
Voer het e-mailadres in waarnaar u uw privacybeleid wilt verzenden en klik op “Genereren”.
En u bent klaar! Nu kunt u uw gehoste privacybeleid kopiëren of ernaar linken.
- Wat is Privacy by Design?
- De 7 beginselen van ingebouwde privacy
- Privacy by Design: Voor wie is het?
- Wat als de GDPR niet van toepassing is op mijn bedrijf?
- Hoe privacy by design te implementeren: Artikel 25-checklists
- Checklist systemen
- Checklist voor processen
- Checklist risicobeheer
- Privacy by Design is een Best Practice
Wat is Privacy by Design?
De meest eenvoudige uitleg van Privacy by Design is niet veel meer dan “gegevensbescherming door technologisch ontwerp.”
In de kern komt het erop neer dat u gegevensbescherming en privacykenmerken moet integreren in uw systeemtechniek, praktijken en procedures. Het mag geen bijzaak zijn of een aanvulling op uw processen of infrastructuur.
Een manier om het te beschrijven is door te schetsen wat Privacy by Design niet is. Als u bijvoorbeeld als individu op internet surft, maakt het niet uit of u een VPN en firewall gebruikt om uw computer te beschermen als u ook op elk account het wachtwoord: “wachtwoord123” gebruikt. Een VPN kan het gebruik van zwakke wachtwoorden niet goedmaken. Je moet privacy op elk niveau integreren en dan kun je extra beveiligingsfuncties zoals een VPN toevoegen.
Wat betekent dit in de praktijk voor bedrijven? Enkele voorbeelden van Privacy by Design zijn:
- Het uitvoeren van een Data Protection Impact Assessment (DPIA) voordat u persoonlijke informatie op enigerlei wijze gebruikt
- Het verstrekken van de contactgegevens van uw Data Protection Officer (DPO) of andere verantwoordelijke
- Het schrijven van een privacybeleid dat gemakkelijk te lezen is en up-to-date wordt gehouden
En toch gaat Privacy by Design veel verder dan dit en heeft het invloed op bijna elk gebied van uw technologiegebruik en gegevensverwerking. Deze voorbeelden laten slechts enkele manieren zien waarop u privacy in uw processen kunt integreren.
De 7 beginselen van ingebouwde privacy
Er zijn zeven beginselen in het concept van ingebouwde privacy en elk van deze beginselen is even belangrijk als het volgende. Deze beginselen zijn:
- Proactief, niet reactief/preventief, niet corrigerend
- Privacy als standaard
- Privacy Embedded into Design
- Full Functionality
- End-to-End Security
- Visibility and Transparency
- Respect for User Privacy
Laten we beginnen met Principle 1: Proactief niet reactief/Preventief niet remediërend.
Het eerste principe stelt dat gegevensbescherming aan het begin van het planningsproces aan de orde moet komen. Als uw veiligheidspraktijk bestaat uit het blussen van brandjes en het aanpakken van inbreuken, dan bent u reactief bezig. Het vormt het filosofische hart van de rest van de beginselen.
Beginsel 2: Privacy als standaardinstelling is voor bedrijven misschien wel het moeilijkste beginsel om zich in te leven. Het stelt dat privacy voorop moet staan bij wat je doet. Dat betekent dat je het delen van gegevens beperkt, dat je gegevens tot een minimum beperkt, dat je gegevens die je niet meer gebruikt verwijdert en dat je altijd op een wettelijke basis werkt. Het betekent ook het gebruik van opt-in en opt-out functies en waarborgen voor consumentengegevens.
In principe 3 is het idee dat privacy een thuis moet vinden in het ontwerp van zowel je architectuur als je bedrijf. Met andere woorden, privacy is een kernfunctionaliteit van het product. Je moet gebruik maken van encryptie, authenticatie, en regelmatig kwetsbaarheden testen. Het maakt niet uit of je proces werkt zoals het hoort; het heeft een ontwerpfout als er een beveiligingslek is.
Principe 4 stelt dat er geen reden is om bang te zijn voor Privacy by Design. Als je functionaliteit opoffert aan privacy, dan doe je het verkeerd. Het is meer een cultuuromslag die een evenwicht vereist tussen groei en veiligheid.
In het End-to-End Security principe (#5), is er een argument dat privacybescherming gegevens door de levenscyclus volgt, van verzameling tot verwijdering/archivering. Encryptie en authenticatie zijn de norm in elk stadium, maar in andere stadia moet je verder gaan. Zo mag je bijvoorbeeld alleen gegevens verzamelen die je nodig hebt en waarvoor je een rechtsgrondslag hebt. En als je klaar bent met de gegevens, moet je GDPR-conforme verwijderings-/vernietigingsmethoden gebruiken voor end-to-end bescherming.
In het voorlaatste beginsel 6 Zichtbaarheid en transparantie, leer je dat privacy niet alleen omwille van de privacy is. Betrokkenen moeten op de hoogte zijn van uw privacy- (en verwerkings-) praktijken en u moet die in alle openheid delen. Het beginsel pleit voor een goed geschreven privacybeleid, dat hoe dan ook essentieel is als u onder de jurisdictie van de GDPR of een andere wet zoals CalOPPA valt. Het stelt ook dat er een mechanisme moet zijn voor betrokkenen om hun grieven te uiten, vragen te stellen en om wijzigingen te vragen.
Ten slotte stelt Principe 7 dat alles gebruikersgericht moet blijven. Dit betekent dat je erkent dat, ook al heb je de gegevens, ze toebehoren aan de consument bij wie je ze hebt verzameld. De betrokkene kan zijn toestemming voor het gebruik van zijn gegevens geven of intrekken – niet andersom.
Privacy by Design: Voor wie is het?
Privacy by Design is voor iedereen, maar het is vooral belangrijk voor uw bedrijf als u een voor de verwerking verantwoordelijke bent die onder het toepassingsgebied van de GDPR valt.
De GDPR omarmt en benoemt Privacy by Design in artikel 25. De wetgeving noemt echter niet de exacte maatregelen die moeten worden genomen buiten kenmerken als pseudonimisering of encryptie en anonimisering. In plaats daarvan wil de GDPR dat privacykenmerken redelijk zijn en passen bij zowel de processen die u gebruikt als de gegevens die u verzamelt.
Artikel 25, lid 2, zegt expliciet:
“De voor de verwerking verantwoordelijke dient passende technische en organisatorische maatregelen ten uitvoer te leggen om te waarborgen dat standaard alleen persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van de verwerking noodzakelijk zijn.”
Artikel 25 verwijst vervolgens naar artikel 42 en de beschrijft de certificeringsmaatregelen voor verdere duidelijkheid over de naleving.
Bij publicatie bevatte de GDPR geen duidelijkheid over wat de certificeringsmaatregelen zouden zijn en wie de certificeringsinstanties zijn. In februari 2019 publiceerde de Europese Commissie de studie over de artikelen 42 en 43 (certificeringsorganen). U kunt het volledige rapport hier lezen.
Wat als de GDPR niet van toepassing is op mijn bedrijf?
Ook als u niet aan de GDPR zult of hoeft te voldoen, is Privacy by Design nog steeds een goed idee voor uw bedrijf.
Het implementeren van Privacy by Design weerspiegelt een begrip van de waarde van persoonlijke informatie, zowel voor uw bedrijf als voor uw klanten. Het erkent dat privacy en persoonlijke controle over gegevens een belangrijke vrijheid is, en het is er een die de wet niet alleen in toenemende mate weerspiegelt, maar ook die u op uw eigen moet handhaven binnen de markt.
Als je denkt dat mensen zich niet zo druk maken over de privacy van consumenten, denk dan opnieuw. Uit een enquête uitgevoerd door ExpressVPN bleek dat 71 procent van de mensen zich zorgen maakt over de manier waarop marketeers hun gegevens verzamelen en gebruiken.
En 68 procent van de Amerikaanse internetgebruikers zei dat ze een GDPR-achtige regelgeving in de Verenigde Staten zouden steunen.
Aanpak van privacy vanuit een design-thinking perspectief zorgt ervoor dat het een integraal onderdeel is van uw activiteiten, van planning tot en met uitvoering. Het stelt u in staat uw bedrijf toekomstbestendig te maken, zowel vanuit het oogpunt van de klant als vanuit de regelgeving.
Hoe privacy by design te implementeren: Artikel 25-checklists
Artikel 25 is berucht om zijn vaagheid, maar grondigheid is nog steeds belangrijk, zowel voor bescherming tegen bedreigingen als tegen GDPR-boetes. Of je nu een website, app of SaaS-product runt, Privacy by Design moet voorkomen:
- In de ontwerpfase
- Door de levenscyclus
- Tussen end-to-end engagement
- Na engagement
- Nadat uw site/app komt te vervallen
De GDPR vraagt om “technische en organisatorische maatregelen” zoals versleuteling en pseudonimisering, maar dat is niet het begin en het einde van Privacy by Design. Helaas biedt de GDPR zelf geen checklist. U moet uw eigen vragen stellen en uw eigen antwoorden geven, zonder veel aanwijzingen van de wet of de overwegingen.
Een handige manier om Privacy by Design te implementeren, is door het in drie stukken op te splitsen: systemen, processen en risicobeheer.
Checklist systemen
Privacy by Design begint met de systemen die er zijn. Omdat het bovenaan begint, is dat waar uw lijst begint.
Om privacy in uw systemen op te nemen, moet u (ten minste) met de volgende punten beginnen:
- Het hebben van een gedocumenteerde organisatorische inzet voor gegevensbeschermingsnormen (inclusief in bedrijfscultuur, bedrijfspraktijken en zakelijke diensten)
- Het benoemen van een functionaris voor gegevensbescherming (DPO), indien van toepassing, of een beroep doen op een gegevensbeschermingsadviseur (niet-GDPR-gevallen)
- Een gegevensbeschermingskader vaststellen (met inbegrip van encryptie en anonimisering)
- Een registratiesysteem voor verwerkingsactiviteiten opzetten en documenteren
- Een risicobeheersysteem vaststellen (met inbegrip van nalevingsbeheer)
- De privacyopleiding bijwerken voor werknemers die met persoonsgegevens omgaan (zowel voor klanten als andere werknemers)
- Een zelfevaluatie toepassen om de uitvoeringbeoordeling om de implementatie van de hierboven gedocumenteerde systemen te controleren en te bewaken
- Het vaststellen van beveiligingsmaatregelen die worden gebruikt om incidenten en inbreuken te voorkomen
Door deze checklist te volgen, zult u beter voorbereid zijn om vervolgens uw data processen te ontwerpen.
Checklist voor processen
Het zwaartepunt van uw werkzaamheden op het gebied van Privacy by Design en GDPR-naleving ligt bij de processen, maar dit werkt niet zonder eerst in uw systemen te beginnen.
Punten op uw lijst zijn onder meer:
- Het toewijzen van poortwachterverantwoordelijkheden (IT, juridisch, inkoop, enz.))
- Het identificeren van privacyrisico’s in uw processen
- Het documenteren van uw gegevensverwerking (met behulp van het registratiesysteem dat is ontworpen in de systeemchecklist)
- Het toepassen van DPIA’s, risico- en nalevingsbeoordelingen voordat u gegevens verzamelt voor gebruik of opslag
- Het toevoegen van privacycontroles, zoals een Privacy Center, die betrokkenen op hun voorwaarden toegang geven tot hun persoonsgegevens
- Implementeren van de maatregelen van de bovenstaande checklist voor systemen
Checklist risicobeheer
Zelfs als u privacy in uw procesontwerp inbouwt, moet u nog steeds risico’s beheren gedurende de gehele gegevenslevenscyclus. Risicobeheer begint op het niveau van de systemen en loopt door tot in de verwerking.
Je zou in staat moeten zijn om:
- Het doel van de verwerking te beschrijven (wettelijke basis)
- Maatregelen te identificeren die voorkomen dat gegevens worden verwerkt voor andere doeleinden dan hierboven
- Maatregelen voor gegevensminimalisatie te bewaken en passende controles uit te voeren (verdere minimalisatie, anonimisering, en pseudonimisering)
- Maatregelen identificeren die worden gebruikt om de nauwkeurigheid van de gegevens te waarborgen
- De personen en teams met toegang tot de gegevens benoemen en documenteren
- Op hoofdlijnen controleren op toegang tot gegevens
- Overeenkomsten voor gegevensverwerking (DPA’s) opstellen en deze met elke derdeverwerker
- Geïmplementeerde beveiligingspraktijken controleren
- Bron van informatie en kennisgeving aan betrokkenen over gegevensverwerking vaststellen
- Het proces schetsen dat wordt gevolgd in het geval van beveiliging en gegevensinbreuken (volgens GDPR-kennisgevingsregels)
- De maatregelen van zowel de bovengenoemde checklists voor systemen als processen implementeren
Houd bij de toepassing van de checklists de beginselen van artikel 25 van de GDPR voor ogen.
Artikel 25, lid 1, bevat de volgende verplichtingen en beperkingen om rekening mee te houden:
- State of the art (vergeet niet dat dit verandert)
- Kosten van implementatie
- Natuur, reikwijdte, context en doeleinden van de verwerking
- Risico’s van uiteenlopende waarschijnlijkheid en ernst voor rechten en vrijheden van natuurlijke personen
- Adequate technische en organisatorische maatregelen
Al deze maatregelen dragen bij tot beste praktijken voor Privacy by Design zonder deze onbereikbaar te maken voor kmo’s en voor degenen die geen verwerkingsactiviteiten uitvoeren die aanzienlijke risico’s inhouden.
Met andere woorden, je hoeft geen miljoenen uit te geven aan een beveiligingssysteem om alleen e-mailadressen te verzamelen en een nieuwsbrief te versturen. Uw werkwijze moet zijn afgestemd op de aard, omvang, context, doeleinden en risico’s van het versturen van een nieuwsbrief. Als je Deutschebank bent, is het een ander verhaal.
Privacy by Design is een Best Practice
Of je nu wel of niet aan de GDPR moet voldoen, Privacy by Design wordt nu beschouwd als een best practice voor alle organisaties die zich bezighouden met gegevensverwerking, hoe groot of klein ook.
Privacy by Design betekent dat je vanaf het begin van een project rekening houdt met privacy en dat je het in je systemen en activiteiten integreert. Het is geen beveiligingspraktijk of -instrument dat later wordt toegevoegd. Het juiste doen betekent het aanmoedigen van een organisatiecultuur gewijd aan het erkennen en respecteren van de waarde van persoonsgegevens voor zowel uw bedrijf als uw klanten.
De bovenstaande checklists zullen u helpen Privacy by Design in uw bedrijf te implementeren. Maar vergeet niet dat de GDPR ook wil dat u rekening houdt met zaken als de kosten van implementatie, de aard en reikwijdte van de verwerking, en de risico’s voor uw klanten als er een inbreuk plaatsvindt.
Onder de GDPR is Privacy by Design haalbaar voor alle bedrijven, dus er is geen excuus om niet te beginnen.