9 november 2016

Leer meer over Privacy by Design

Veiligheidsbutton op toetsenbord

In het vorige artikel praatten we je al bij over hoe je persoonsgegevens rechtmatig verwerkt. Naast het principe van doelbinding en maximale bewaartermijnen, is het belangrijk dat je de nodige beschermingsmaatregelen treft. De Privacyverordening noemt dit ook wel Privacy by Design. Maar wat betekent dat nu concreet voor jouw webshop? Wij leggen het uit.

Privacy als ontwerpeis

Privacy by Design houdt in dat privacy al een rol speelt vanaf het moment dat je (nieuwe) producten of diensten gaat ontwikkelen. Je stelt privacy dan dus als één van de ontwerpeisen. Volgens de Privacyverordening doe je dat door passende technische en organisatorische beschermingsmaatregelen te nemen. Maar wat zijn die passende maatregelen dan?

8 ontwerpstrategieën

Tijdens een deelnemersbijeenkomst, georganiseerd door ECP, hebben we ons op dit gebied laten bijpraten door PI Lab - een samenwerkingsverband tussen de Radboud Universiteit Nijmegen, Stichting Internet Domeinregistratie Nederland (SIDN) en de Universiteit van Tilburg. Zij zetten 8 ontwerpstrategieën uiteen, waarmee je als bedrijf aan deze Privacy by Design eis kan voldoen. Het gaat hierbij om precies 4 technische en 4 organisatorische maatregelen. We zetten ze hier op een rijtje:

4 technische maatregelen

  1. Beperk gegevensverwerking (dataminimalisatie)

    Zorg dat je zo weinig mogelijk persoonsgegevens verwerkt. Bedenk altijd óf en welke gegevens je écht nodig hebt om je doel te bereiken. Denk er ook over na of je persoonsgegevens van iedereen moet verwerken of dat je op voorhand bepaalde (groepen) personen kunt uitsluiten. Verder moet je ook gegevens verwijderen wanneer je ze niet meer nodig hebt.

  2. Bewaar gegevens gescheiden

    Zorg voor verschillende databases/opslaglocaties wanneer je veel verschillende soorten persoonsgegevens van één persoon verzamelt. Mocht er een keer een inbreuk zijn in je systeem, dan zorg je dat er niet meteen hele profielen op straat liggen, maar losse gegevens die afzonderlijk van elkaar weinig betekenen. Regel ook dat zo veel mogelijk van je diensten waarbij persoonsgegevens worden gebruikt (zoals inlog door gezichtsherkenning) lokaal (en dus op het device van de gebruiker) plaatsvindt. Het is vaak niet nodig om gegevens op te slaan om een dienst uit te voeren.

  3. Abstraheer datgene wat je nodig hebt/relevant is voor het doel dat je met de gegevens wil bereiken. Wil je bijvoorbeeld de leeftijd van je klant weten, dan heb je de geboortedatum niet altijd nodig.
  4. Bescherm de gegevens die je beheert. Zorg voor passende en actuele technische beschermingsmaatregelen, zoals: virusscanners, pseudonimiseren, anonimiseren etc. om datalekken, of de gevolgen daarvan, te beperken.

4 organisatorische maatregelen

  1. Informeer begrijpelijk

    Informeer je klanten over het feit dat hun persoonsgegevens worden verwerkt en wanneer. Doe dat in heldere bewoordingen en zorg ervoor dat de informatie vindbaar is op je website.

  2. Geef controle aan de betrokkene. Zorg dat degene van wie je gegevens verwerkt de mogelijkheid heeft om (waar nodig) toestemming te geven. Ook moet hij de verzamelde gegevens kunnen corrigeren of (indien deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld) te laten verwijderen.  
  3. Maak een privacybeleid en zorg ervoor dat dit intern wordt nageleefd.
  4. Toon aan dat je persoonsgegevens op een privacyvriendelijke manier verwerkt. Uit de wet volgt namelijk dat je als organisatie verantwoordelijk bent voor de naleving van deze beginselen en dat je deze moet kunnen aantonen (de ‘verantwoordingsplicht’).

Meer weten over privacy en gegevensbescherming?

Wil jij meer weten over privacy, gegevensbescherming en de nieuwe regels, volg dan op 1 december de Thuiswinkel Webinar waarin je antwoorden krijgt op praktische vragen. Zet hem alvast in je agenda en meld direct aan!
 Aanmelden voor de webinar
Geef uw mening