Afl. 4 Verplichtingen door nieuwe privacy regelgeving

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 4, 4 september 2017

Verplichtingen door nieuwe privacy regelgeving


Privacy by design en Privacy by default

Privacy by design betekent dat een organisatie al tijdens de ontwikkeling van producten (zoals devices voor internet of things) en diensten (zoals software) veiligheid en privacy onderdeel zijn van het product of de dienst. Dit worden privacy enhancing technologies (PET) genoemd.

De Wbp verlangt slechts passende maatregelen om de beveiliging van persoonsgegevens te borgen. De AVG schrijft privacy by design voor, dus dat systemen standaard op de meest privacy-vriendelijke manier worden ingericht, zodat gebruikers niet extra moeite moeten doen om gegevens beter te beschermen.

Het voordeel van privacy by design voor een organisatie is onmiskenbaar een besparing van tijd en (dus) hoge kosten. Als privacy risico’s van het begin af aan worden onderkend, wordt de bescherming van privacy onderdeel van de ontwikkeling en niet pas achteraf.

Een voorbeeld van privacy by design is pseudonimisering: Het  zodanig verwerken van persoonsgegevens dat deze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Die aanvullende gegevens worden apart bewaard en er worden technische en organisatorische maatregelen genomen zodat de persoonsgegevens niet aan een betrokkene worden gekoppeld.    

Privacy by default betekent dataminimalisatie: een organisatie verwerkt zo min mogelijk persoonsgegevens, namelijk alleen die gegevens die noodzakelijk zijn voor het doel van de verwerking. Hiermee bereikt een organisatie een zorgvuldige en passende omgang met persoonsgegevens.

De AVG bepaalt dat systemen zo zijn ontworpen en ingericht dat er zo min mogelijk persoonsgegevens worden verwerkt. De maatregelen die worden genomen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een  onbeperkt aantal personen toegankelijk worden gemaakt.

Kortom, ontwikkelt u producten en diensten die worden toegepast voor verwerking van persoonsgegevens, dan moet u uw organisatie, beleid en ontwerpen hierop aanpassen.

Neemt u producten en diensten af die worden toegepast voor verwerking van persoonsgegevens, dan wilt u contractueel vastgelegd hebben dat de leverancier aan deze dwingende bepaling voldoet.