Data protection by design, meer dan een modewoord

Data protection by design is één van de modewoorden van de GDPR. De verordening laat het echter na om op een duidelijke manier te schetsen wat zij begrijpt onder deze term.

gdpr_dataprotectionbydesign_artikel

Artikel 25 GDPR stelt omtrent “data protection by design” en “data protection by default” het volgende:

“Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”

De GDPR vereist aldus dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft naar het huidig tijdsbeeld en de middelen van de onderneming om gegevensbeschermingsmiddelen zoals een minimum aan persoonsgegevens te verwerken. Voornoemde beschrijving is dan ook erg ruim te interpreteren en geeft weinig handvaten, noch een mijns inziens adequate omschrijving van wat data protection by design effectief inhoudt.

Privacy by design komt erop neer dat de onderneming reeds in een vroeg stadium van een project privacybescherming dient in te passen. Ann Cavoukian, een information en privacy commissioner uit Canada heeft in een paper “Privacy by design, The 7 Foundation Principles”,  Privacy by Design omschreven in zeven principes:

1. Proactief en niet reactief; Preventief en niet schadebeperkend

De onderneming dient proactief databescherming voor te bereiden en maatregelen te nemen. Hierbij dient zij de voor haar hoogst mogelijke standaarden te hanteren en haar zwakke punten te analyseren en weg te werken en daar niet mee wachten tot er zich een veiligheidsincident voordoet.

2. Privacy by default

De standaardinstellingen van zowel de gebruikte middelen in de onderneming als van de producten die ontwikkeld worden dienen standaard op de beste privacy-beveiliging te worden gezet en er dient aandacht te zijn voor dataminimalisatie om onnodige risico’s te voorkomen.

Zo dient two-factor authentication ingeschakeld of encryptie zoveel als mogelijk gebruikt te worden indien beschikbaar, moet de onderneming niet meer gegevens bewaren dan nodig en dient voor ontwikkelde software aan de gebruikers de beste mogelijk ingebouwde privacybescherming geboden te worden en is het aan de gebruiker zelf om eventuele instellingen aan te passen naar een minder strenge instelling.

3. Privacy moet zo veel als mogelijk deel uitmaken van het design

Bij de ontwikkeling van software dient deze ontwikkeld te worden rond het beschermen van privacy in plaats van andersom. Een onderneming dient hier zowel aandacht aan te besteden, zowel bij de ontwikkeling zélf, als bij de keuze van welk product hij voor zijn activiteit gaan gebruiken.

4. Volledig functioneel met een positieve instelling

Een goede privacybescherming mag niet ten koste gaan van functionaliteit of gebruiksgemak. Het integreren van een goed privacy-beleid moet een meerwaarde betekenen voor de onderneming of de toepassingen die zij gebruikt. De privacy-bepalingen moeten op een positieve manier kunnen bijdragen hieraan.

5. End-to-End beveiliging en beveiliging voor de hele levenscyclus

Er moet aandacht zijn voor beveiliging op alle niveaus en deze beveiliging moet gegarandeerd kunnen worden voor de gehele levensduur van de toepassing. Zo dienen methoden van encryptie, veilig toegangs- en logging-beleid, regelmatige beveiligingsupdates en veilig doorzenden of vernietigen van data ingebouwd zijn in de toepassing.

6. Visibiliteit en transparantie

Het transparant verstrekken van informatie omtrent het verwerken van persoonsgegevens is een van de hoekstenen van de GDPR. Daarenboven zorgt verantwoording en openheid, zowel omtrent de verwerking als omtrent de toegepaste beveiliging voor een verhoogd vertrouwen van de gebruiker.

7. Respect voor de privacy van de gebruiker

De gebruiker dient te allen tijde centraal te staan, zowel naar gebruiksgemak als naar bescherming toe. Hierbij dienen zijn rechten enerzijds zo goed mogelijk beschermd te worden en dient hij anderzijds een zo groot mogelijke controle te behouden op zijn persoonsgegevens.

Conclusie

Data protection by design staat voor meer dan een inpassing van de privacy-regels in de huidige toepassingen maar vereist dat de huidige toepassingen rond de privacyregels gebouwd worden. Een degelijke privacybescherming mag geen optie zijn maar een prioriteit, zowel bij de ontwikkeling van nieuwe toepassingen, als bij de organisatie van een onderneming.

 

 

Auteur: Olivier Sustronck

 

 

  644