Het niet oneindig bewaren van persoonsgegevens, het niet standaard verzamelen van gedrag van websitebezoekers of het automatisch versleutelen van datasets die op archiefstand worden gezet. Wat hebben ze gemeen? Het zijn voorbeelden van de toepassing van Privacy by Design en by Default, twee beginselen uit de AVG [1]. Privacy by Design is in een eerdere blog de revue gepasseerd. En omdat de European Data Protection Board (EDPB, de Europese toezichthouder gegevensbescherming) recentelijk nieuwe richtlijnen [2] heeft vrijgegeven om implementatie van Data Protection (Privacy) by Design en by Default (DPbDD) [3] op te helderen, nemen we de beginselen nog eens onder de loep aan de hand van de richtlijnen en een casus.

Begripsbepaling

Het uiteindelijke doel van DPbDD implementatie, is dat u hiermee alle AVG-beginselen voor gegevensbescherming [4] en de rechten van betrokkenen waarborgt. Wanneer past u het toe? Voor  het ontwerp van, tijdens de levenscyclus van en na een verwerkingsproces: het is onderdeel van de cyclus om te beoordelen of een verwerking kan en mag [5]. We kunnen DPbDD als volgt interpreteren:
 
DP by design: het nemen van passende maatregelen en de nodige waarborgen, die zijn gericht op de effectieve implementatie van AVG-beginselen en het beschermen van de rechten en vrijheden van betrokkenen, vanaf de eerste ideeën over en tijdens een persoonsgegevensverwerking.
 
DP by default: het nemen van passende maatregelen om standaard te verwerken wat nodig is voor een specifiek doel. Ook gaat het om het zodanig inrichten van een proces (of systeem) waarbij een verwerking zo privacy vriendelijk wordt uitgevoerd zonder dat u hier keuzes in hoeft te maken [6].

Waar moet ik aan denken bij maatregelen en waarborgen?

Beiden kunnen breed worden opgevat en omvatten zowel technische en organisatorische oplossingen. Denk bij maatregelen aan het geautomatiseerd verwijderen van datasets, het trainen van personeel of door Privacy Enhancing Technologies toe te passen [7].  Voorbeelden van waarborgen zijn o.a. het standaard versleutelen van bestanden die in een archief worden geplaatst of faciliteren dat betrokkenen zelf een kopie van hun persoonsgegevens kunnen downloaden voor het uitoefenen van hun inzagerecht.

Wanneer is een maatregel of waarborg passend of nodig?

Dit vergt een analyse en hangt bijvoorbeeld af van wat binnen een context mogelijk en nodig is om effectief de AVG beginselen te implementeren, om risico’s voor betrokkenen te mitigeren en om de rechten en vrijheden van betrokkenen te bewaken. Ook moet u onder meer rekening houden met:

  • “de stand van de techniek” [8]: wat kennis en onderzoek vergt over o.a. beschikbare oplossingen en hoe deze oplossingen kunnen bijdragen aan de implementatie van AVG beginselen en het waarborgen van rechten en vrijheden van betrokkenen;
  • “uitvoeringskosten”: hiermee worden middelen in algemene zin bedoeld zoals tijd, geld, en de inzet van personeel;
  • “aard, omvang, context en doeleinden van een verwerking”: de omstandigheden van de verwerking. Het kan niet automatisch* zo zijn dat dezelfde beveiligingsmaatregelen worden toegepast voor het beveiligen van een nieuwsbriefmailinglist en een personeelsdossier (*tenzij u dit kunt verantwoorden…);
  • “waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden”: hierin komt de risico-benadering uit de AVG terug: het afstemmen van het “passende” en het “nodige” moet o.a. gekoppeld worden aan de potentiele risico’s voor een betrokkene. Dit vraagt een risicoanalyse, zoals een DPIA[9]. De maatregelen uit de DPIA kunnen vervolgens weer onderdeel worden van de inrichting (het ontwerp) van een verwerking.

Mag ik nu wat praktijkvoorbeelden?

Zeker, en dat doen we aan de hand van enkele “DPbDD elementen” die de EDPB heeft meegegeven. Deze elementen zijn op hun beurt gekoppeld aan de AVG beginselen uit art. 5 AVG, zoals rechtmatigheid, transparantie en doelbinding. Deze nemen we via een casus door.
 
Casus: Betrokkenen kunnen via een webwinkel bestellingen plaatsen bij zgn. externe partners. Voor het afhandelen van de transactie levert de webwinkel een beperkt aantal persoonsgegevens aan de externe partner via een beveiligde omgeving, die de gegevens nodig heeft om het juiste product naar het correcte afleveradres te verzenden. Het gaat hierbij om o.a. een voor- en achternaam, gekocht product en een afleveradres.

Welke DPbDD elementen zien we hierin terug?

Aanwezige elementenDoelbinding, noodzaak, standaardinstellingen (rechtmatigheidsbeginsel): alleen delen van benodigde gegevens voor het afhandelen van de transactie en dit technisch inregelen;
 Verwachtingen (behoorlijkheidsbeginsel): de gegevens die worden doorgegeven voor het afhandelen van de transactie ligt in de lijn der verwachting van een koper;

Vooraf bepaald, specifiek, noodzakelijkheid (doelbinding): alleen delen van gegevens die nodig zijn voor enkel en alleen het afhandelen van de transactie; Relevantie en noodzaak (dataminimalisatie): zie (doelbinding); Beveiligde doorgiftes (integriteits- en vertrouwelijkheidsbeginsel): het delen van gegevens vindt plaats via een beveiligde omgeving.
Relevante elementenHelderheid, beschikbaarheid, context, relevantie (transparantiebeginsel): is de betrokkene helder en duidelijk geïnformeerd over wie de externe partner is die de persoonsgegevens verwerkt voor het afhandelen van de transactie? Wanneer en hoe is deze informatie aangeboden? Is deze informatie ineens of in meerdere fases aangeboden? (Geautomatiseerde) verwijdering/criteria voor verwijdering (opslagbeperking): hoe lang bewaart de webwinkel de data nadat de gegevens zijn doorgegeven aan de externe partner? En verwijdert de webwinkel de doorgestuurde data op gezette tijdstippen? Waarom wel/niet? En zo ja, hoe wordt erop toegezien dat deze data tijdig worden verwijderd?

Slot

In deze blog is slechts een deel van de EDPB richtlijnen aan bod gekomen. Neem gerust contact met ons op als u vragen heeft over deze blog, of werp een blik op onze training.  

Referenties

[1] Artikel 25, eerste en tweede lid, AVG.
[2] Ter consultatie. Deze kunt u hier nalezen: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf
[3] In de AVG gaat het over “Gegevensbescherming door ontwerp en Gegevensbescherming door standaardinstellingen”, wat neer komt op Data Protection by design and by default (DPbDD). Gemakshalve hanteren we de Engelstalige terminologie aan in deze blog.
[4] Met de kanttekening dat data protection by design sterk gelinkt is met de AVG beginselen doelbinding en data minimalisatie.
[5] Een DP by design maatregel kan zijn het (uiteindelijk) niet uitvoeren van een verwerking.
[6] DP by default heeft met name invloed op de hoeveelheid data (kwantiteit, soort, detailniveau, enz.), de mate van de verwerking, bewaartermijnen en toegangs- en andere gebruikersrechten. 
[7] Er is geen uniforme uitleg voor de term Privacy Enhancing Technologies. Het kan opgevat worden als “een breed scala aan technologieën die privacy en gegevensbescherming ondersteunen”. Lees bijvoorbeeld ook https://www.enisa.europa.eu/topics/data-protection/privacy-enhancing-technologies en https://iapp.org/news/a/2008-05-introduction-to-privacy-enhancing-technologies/
[8] Lees ook: https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security
[9] Artikel 35 AVG.

Door: Wendy Tran


Terug naar het overzicht