AVG: Privacy by design

Privacy by design betekent in de Algemene verordening gegevensbescherming (AVG), of General Data Protection Regulation (GDPR), het treffen van de nodige beschermingsmaatregelen door webwinkeliers. Dit is nodig omdat zij regelmatig persoonsgegevens en big data verwerken.

Privacy by design houdt in dat privacy al een rol speelt vanaf het moment dat je (nieuwe) producten of diensten gaat ontwikkelen. Je stelt privacy dan dus als een van de ontwerpeisen. Volgens de AVG doe je dat door passende technische en organisatorische beschermingsmaatregelen te nemen. Een Data Protection Officer (DPO) kan hier binnen een bedrijf een belangrijke rol bij spelen.

Wat moeten webwinkeliers doen?

Op basis van de informatie die wij hebben verkregen van PI Lab, een samenwerkingsverband tussen de Radboud Universiteit Nijmegen, Stichting Internet Domeinregistratie Nederland (SIDN) en de Universiteit van Tilburg, zetten we acht ontwerpstrategieën uiteen. Het gaat hierbij om vier technische en vier organisatorische maatregelen waarmee je als bedrijf aan de eis van Privacy by design kunt voldoen.

Vier technische maatregelen

1. Beperk gegevensverwerking (dataminimalisatie)

   Zorg dat je zo weinig mogelijk persoonsgegevens verwerkt. Bedenk altijd óf en welke gegevens je écht nodig hebt om je doel te bereiken. Denk er ook over na of je persoonsgegevens van iedereen moet verwerken of dat je op voorhand bepaalde (groepen) personen kunt uitsluiten. Verder moet je ook gegevens verwijderen wanneer je ze niet meer nodig hebt.

2. Bewaar gegevens gescheiden

   Zorg voor verschillende databases/opslaglocaties wanneer je veel verschillende soorten persoonsgegevens van één persoon verzamelt. Mocht er een keer een inbreuk zijn in je systeem, dan zorg je dat er niet meteen hele profielen op straat liggen, maar losse gegevens die afzonderlijk van elkaar weinig betekenen. Regel ook dat zo veel mogelijk van je diensten waarbij persoonsgegevens worden gebruikt (zoals inlog door gezichtsherkenning) lokaal (en dus op het device van de gebruiker) plaatsvindt. Het is vaak niet nodig om gegevens op te slaan om een dienst uit te voeren.

3. Abstraheer datgene wat je nodig hebt/relevant is voor het doel dat je met de gegevens wil bereiken. Wil je bijvoorbeeld de leeftijd van je klant weten, dan heb je de geboortedatum niet altijd nodig.
4. Bescherm de gegevens die je beheert

Zorg voor passende en actuele technische beschermingsmaatregelen, zoals: virusscanners, pseudonimiseren, anonimiseren etc. om datalekken, of de gevolgen daarvan, te beperken.

Vier organisatorische maatregelen

1. Informeer begrijpelijk

   Informeer je klanten over het feit dat hun persoonsgegevens worden verwerkt en wanneer. Doe dat in heldere bewoordingen en zorg ervoor dat de informatie vindbaar is op je website. 

2. Geef controle aan de betrokkene

   Zorg dat degene van wie je gegevens verwerkt de mogelijkheid heeft om (waar nodig) toestemming te geven. Ook moet hij de verzamelde gegevens kunnen corrigeren of (indien deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld) te laten verwijderen.

3. Maak een privacybeleid en zorg ervoor dat dit intern wordt nageleefd.
4. Toon aan dat je persoonsgegevens op een privacyvriendelijke manier verwerkt.

Uit de wet volgt namelijk dat je als organisatie verantwoordelijk bent voor de naleving van deze beginselen en dat je deze moet kunnen aantonen (de ‘verantwoordingsplicht’).