De AVG verplicht organisaties om tijdens het ontwikkelproces van producten of diensten al rekening te houden met de privacy van de klant of gebruiker. Is het bijvoorbeeld wel echt nodig voor het goed functioneren van jouw product of dienst om echt persoonsgegevens te verwerken, of kan dit ook geanonimiseerd? Je maakt het product of de dienst daarmee privacy vriendelijker. Dit wordt ook wel privacy by design genoemd.
Wat is privacy by design?
Het idee van privacy by design is dus om bij de ontwikkeling van een dienst of product, in een vroeg stadium al rekening te houden met de verwerking van persoonsgegevens. Zo dwing je namelijk, zowel technisch als organisatorisch een goede omgang met persoonsgegevens af. Het doel van privacy by design is dan ook om de bescherming van persoonsgegevens zo goed mogelijk te optimaliseren.
Bij het ontwikkelen van een product en/of dienst wordt vaak niet gelijk de focus gelegd op privacy. Toch is dit wel degelijk van belang en kan het een voordeel opleveren. Het scheelt je namelijk veel tijd en werk als je hier vanaf het begin al rekening mee houdt. Zo kan je tijdens het gehele ontwikkelproces al privacy-verhogende maatregelen nemen, die het product en/of de dienst uiteindelijk beter zullen maken.
DPIA
Om je product of dienst privacy vriendelijker te maken is het handig om de privacyrisico’s van je product of dienst te kennen. Een handig instrument om privacyrisico’s te ontdekken is het uitvoeren van een den data protection impact assessment, oftewel een DPIA.
Een goed uitgevoerde DPIA geeft namelijk inzicht in de risico’s die de verwerking kan opleveren voor bijvoorbeeld de gebruiker of klant van het product of de dienst. Denk bijvoorbeeld aan verlies aan controle over persoonsgegevens. Daarnaast geeft het ook inzicht in welke maatregelen je moet nemen om de risico’s af te dekken om een en ander privacy vriendelijker te maken.
Met welke privacy aspecten rekening houden?
Tijdens het ontwikkelproces kan je je met verschillende privacy aspecten bezighouden. Denk bijvoorbeeld aan:
- de beveiliging van gegevens;
- anonimiseren en/of pseudonimiseren van gegevens;
- beoordelen privacyrisico’s;
- welke gegevens zijn noodzakelijk om te verwerken en welke juist niet.
Dataminimalisatie
Een belangrijk aspect van privacy by design is dataminimalisatie. Dataminimalisatie houdt in dat je niet meer gegevens verwerkt dan noodzakelijk is voor het doel van de verwerking. Stel je bent een webshop aan het ontwikkelen en bent bezig met de bestelpagina. Voor het verzenden van de producten heb je natuurlijk gegevens van de klant nodig. Vragen om een adres is dan ook noodzakelijk. Maar tegenwoordig zie je ook vaak dat gevraagd wordt om een geboortedatum. Heb je die gegevens wel echt nodig voor de verzending van het product. Het antwoord is natuurlijk nee. Bij dit proces is het dus belangrijk om dataminimalisatie in gedachten te houden en niet klakkeloos allemaal velden aan te maken waarin je van de klant persoonsgegevens vraagt die helemaal niet nodig zijn voor het doel van de verwerking.
Gevolgen?
Wanneer je de privacy tijdens het ontwikkelproces niet in je achterhoofd houdt, loop je bijvoorbeeld het risico dat je persoonsgegevens verwerkt in strijd met de AVG. Dit wil je natuurlijk niet. Daarnaast wil je ook niet achteraf nog een keer naar de tekentafel om te kijken hoe je wel aan de privacywetgeving kan voldoen. Kortom, hou vanaf het begin af aan al rekening met de verwerking van persoonsgegevens.
Wil je bovenstaande graag toepassen in de praktijk, maar weet je nog niet hoe je dit het beste kan aanpakken? Bel dan gerust, ik help je graag bij het proces.
Esmée Piening
Advocaat