Privacy by design & by default

Privacy by design & by default Door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant Jeroen van Puijenbroek In de Algemene verordening gegevensbescherming (AVG) is opgenomen dat bij verwerkingen van persoonsgegevens de beginselen van ‘Data protection by design & by default’ moeten worden toegepast (in het Nederlands: ‘Gegevensbescherming door ontwerp en door standaard instellingen’; in het vervolg hanteren we de algemeen gebruikte termen ‘Privacy by design & by default’). Wat zijn die beginselen, waar komen ze vandaan, hoe kunnen we er invulling aan geven en wie moeten er wat mee? Wat is Privacy by design & by default? Privacy by design & by default is geregeld in artikel 25 van de AVG. De kernverplichting is de effectieve uitvoering van de privacy beginselen/principes en de rechten en vrijheden van betrokkenen door ‘design & default’ (ontwerp en standaard). Je zou kunnen stellen dat de verplichting om Privacy by design & by default toe te passen in artikel 25 AVG eigenlijk overbodig is. In artikel 5 AVG staat namelijk al dat de organisatie die verantwoordelijk is voor de gegevensverwerking (de verwerkingsverantwoordelijke) de privacy beginselen moet naleven en dat kan aantonen en in hoofdstuk ‘III Rechten van de betrokkene’ is beschreven wat de verplichtingen van de organisatie zijn met betrekking tot transparantie en informatieverstrekking en welke rechten de betrokkenen kunnen inroepen (lees: de verplichtingen van de organisatie om hier gehoor aan te geven). Dat je bij het ontwerp (‘design’) al rekening houdt met de privacy beginselen en de rechten en vrijheden zou vanzelfsprekend moeten zijn/is logisch vanuit (bedrijfs)organisatorisch oogpunt. Door vroegtijdig rekening te houden met de privacy beginselen en de eisen uit de AVG worden namelijk kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project voorkomen, en worden juridische kosten en/of negatieve publiciteit gereduceerd. De Europese privacy toezichthouder (European Data Protection Board (EDPB)) geeft aan dat het raadzaam is om bij het plannen van een nieuwe gegevensverwerking al in een vroeg stadium rekening te houden met Privacy by design & by default. Het expliciet verplichten van Privacy by design & by default in de AVG is nieuw maar het concept is niet nieuw. Ontstaan Privacy by Design In de jaren 90 van de vorige eeuw introduceerde Ann Cavoukian, Information & Privacy Commissioner van Ontario (Canada), al het Concept Privacy by Design. Privacy by Design is volgens haar een systeemontwikkelingsfilosofie dat tot doel heeft het verbeteren van de privacy vriendelijkheid van IT-systemen; het is een concept waarbij als uitgangspunt geldt dat privacy een van de ontwerpparameters is van het systeem, waar al rekening mee wordt gehouden in de beginstadia van het systeemontwerp. Zij onderkende onderstaande zeven fundamentele principes. Sommige organisaties nemen in hun privacybeleid op de zich houden deze Privacy by design beginselen: Proactief in plaats van reactief Privacy by design wordt gekarakteriseerd door het nemen van proactieve maatregelen in plaats van reactief. Het anticipeert op, en voorkomt inbreuken op iemands privacy voordat deze feitelijk plaatsvinden. Privacy is de standaard Producten en diensten moeten standaard ingesteld zijn om de hoogste mate van privacy te bieden. In dat geval is privacy als het ware ingebouwd in de systemen (dit principe wordt in de AVG ‘privacy by default’ genoemd). Integreren van gegevensbescherming in het ontwerp Privacy by design zorgt ervoor dat privacy een kerncomponent wordt van je producten of diensten. Tijdens de ontwikkeling wordt privacy een integraal onderdeel van het product of dienst. Het is er niet als los onderdeel aan vastgeplakt (’add-on’), bijvoorbeeld nadat er een privacyschending heeft plaatsgevonden. Volledige functionaliteit Privacy by Design streeft er naar alle legitieme belangen en doelstellingen te faciliteren op een ‘positieve sum’ (oftewel ‘win-win’) manier en niet door middel van de ‘zero sum’ benadering, waar onnodig compromissen worden gemaakt. Door privacy in de systeemontwikkelingsfase in te bouwen hoef je geen afweging te maken tussen privacy en andere functionaliteiten of tussen privacy en beveiliging End-to-end beveiliging – bescherming gedurende de hele levenscyclus Privacy by design houdt rekening met privacy gedurende de gehele levenscyclus van de persoonsgegevens. Dit betekent dat alle persoonsgegevens veilig opgeslagen worden en ook op een juiste manier worden vernietigd. Zichtbaarheid en transparantie Privacy by design staat voor openheid en transparantie. Deze transparantie creëert vertrouwen bij alle betrokken partijen. Klanten en leveranciers kunnen zien dat je privacy serieus neemt en je geeft openheid over hoe er met persoonsgegevens wordt omgegaan in de organisatie. Respect voor privacy van de betrokkene – de betrokkene staat centraal Wellicht het belangrijkste aspect van privacy by design is dat de gebruiker of klant centraal staat. De belangen van de betrokkenen staan altijd op de eerste plek door het aanbieden van sterke standaard instellingen, transparantie, duidelijke communicatie en gebruiksvriendelijke mogelijkheden. Wat zegt de AVG over Privacy by design? Privacy by design vereist dat de organisatie “zowel bij de bepaling van de verwerkingsmiddelen als de verwerking zelf, passende technische en organisatorische maatregelen treft met als doel de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van betrokkenen” (art. 25 lid 1 AVG). Dit betekent dat op het moment van het bepalen van de verwerkingswijze (ontwerp) de organisatie de maatregelen en waarborgen dient vast te stellen om de privacy beginselen (gegevensbeschermingsbeginselen) en de rechten en vrijheden van betrokkenen effectief te implementeren. Om een effectieve gegevensbescherming op het moment van verwerking te garanderen, moet de organisatie regelmatig de doeltreffendheid van de gekozen maatregelen en waarborgen evalueren (toetsen/auditen). In mijn eerdere blog ‘Moet je als bedrijf een privacybeleid hebben?’ heb ik aangegeven dat in het privacybeleid de organisatie invulling geeft aan de hierboven genoemde gegevensbeschermingsbeginselen (privacy beginselen). Ik ben toen niet nader ingegaan op de privacy beginselen zelf. Hieronder een korte uitleg omdat het een kernonderdeel is van Privacy by design: Rechtmatig, behoorlijk en transparant: Er moet een geldige rechtsgrondslag zijn voor de gegevensverwerking (rechtmatig). De persoonsgegevens mogen niet op een bepaalde manier worden verwerkt dat schadelijk, discriminerend, onverwacht of misleidend is voor de betrokkene, de persoon over wie gegevens worden verwerkt (behoorlijk). Vanaf het begin moet de organisatie duidelijk en open zijn met de betrokkene over hoe zij persoonsgegevens zullen verzamelen, gebruiken en delen (transparant). Doelbinding en verenigbaarheid: de persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en verdere verwerking moet verenigbaar zijn met die doeleinden; Gegevensminimalisatie: Alleen persoonsgegevens die toereikend, relevant en beperkt zijn tot wat nodig is voor het doel mogen worden verwerkt; Juistheid: persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; Opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwerking; Integriteit en vertrouwelijkheid: Passende technische en organisatorische maatregelen moeten worden getroffen ter bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Met Privacy by Design borgt de organisatie dat de privacy beginselen effectief worden geïmplementeerd en nageleefd. In de AVG is opgenomen dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet implementeren om te voldoen aan de principes van Privacy by besign & by default, maar nergens in de AVG wordt aangegeven wat dit precies inhoudt. In artikel 25 AVG wordt alleen een aantal elementen genoemd waarmee rekening moet worden gehouden en worden enkele voorbeelden genoemd. De elementen, die in samenhang moeten worden bezien, zijn: Stand van de techniek (‘state of the art’): Met “state of the art” wordt niet “ultramodern” bedoeld maar het technologieniveau dat op de markt bestaat en het meest effectief is in het bereiken van de geïdentificeerde doelstellingen; Uitvoeringskosten: Met kosten wordt niet alleen geld bedoeld maar ‘middelen’ in zijn algemeen waaronder tijd en mensen. De organisatie moet de kosten voor het effectief implementeren van de privacy beginselen en het waarborgen van de rechten en vrijheden inplannen. Het niet kunnen dragen van de kosten is geen excuus voor het niet naleven van de AVG. Tegelijkertijd mag een effectieve implementatie volgens de EDPB niet noodzakelijkerwijs leiden tot hogere kosten. Aard, de omvang, de context en het doel van de verwerking: Het begrip ‘aard’ kan worden begrepen als de inherente kenmerken van de verwerking. De ‘omvang’ verwijst naar de grootte en het bereik van de verwerking. De ‘context’ heeft betrekking op de omstandigheden van de verwerking, die de verwachtingen van de betrokkene kan beïnvloeden, terwijl het ‘doel’ van toepassing is aan de doelen van de verwerking De qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden: De AVG hanteert een coherente risico gebaseerde benadering in al haar bepalingen. Het risico en de beoordeling criteria zijn in de artikelen 24, 25, 32 en 35 AVG hetzelfde: de te beschermen activa zijn altijd hetzelfde (de individuen, via de bescherming van hun persoonlijke gegevens), tegen dezelfde risico’s (voor de rechten en vrijheden van individuen), rekening houdend met dezelfde voorwaarden (aard, omvang, context en doeleinden van verwerking). Artikel 35 AVG heeft betrekking op de Data Protection Impact Assessment (DPIA). Privacy by design en de DPIA liggen in elkaars verlengde/zijn input voor elkaar. Met een DPIA worden de privacyrisico’s van een gegevensverwerking vastgesteld en worden vervolgens maatregelen bepaald om de mogelijke negatieve impact te voorkomen dan wel te verkleinen tot een aanvaardbaar niveau. Voor meer informatie over de DPIA, zie de blog over ‘Is een DPIA vereist voor een ‘Mijn-omgeving’?’. Een DPIA kan gezien worden als een middel om vorm te geven aan Privacy by design. De resultaten van de DPIA zijn gebaseerd op de beoordeling van de uitkomsten van of juist input voor het Privacy by design-proces. De reikwijdte van de verplichting verschilt wel. De organisatie moet op grond van de AVG Privacy by design and by default toepassen voor elke gegevensverwerking maar de organisatie is daarentegen alleen verplicht een DPIA uitvoeren voor gegevensverwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van de betrokken. Wat zegt de AVG over Privacy by default? Privacy by default betekent dat ‘alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor een specifiek doel van de verwerking’. De standaardinstellingen moeten met het oog op privacy (gegevensbescherming) worden ingericht. Of zoals Ann Cavoukian stelde ‘privacy is de standaard’. De elementen waarmee op grond van artikel 25 lid 2 AVG rekening moet worden gehouden bij het bepalen van de maatregelen ten behoeve van ‘Privacy by default’ zijn: De hoeveelheid verzamelde persoonsgegevens: Overeenkomstig het privacy beginsel van gegevensminimalisatie wordt standaard alleen de hoeveelheid persoonsgegevens verwerkt die nodig is voor het doel van de verwerking. De mate waarin de persoonsgegevens worden verwerkt. De verwerkingen/bewerkingen die op de persoonsgegevens worden uitgevoerd, zijn beperkt tot wat nodig is. Alleen het feit dat persoonsgegevens nodig zijn om een doel te bereiken, wil nog niet zeggen dat alle soorten en frequenties van verwerkingen/bewerkingen op de gegevens kunnen worden uitgevoerd. De periode waarin de persoonsgegevens worden opgeslagen. Als persoonsgegevens na de eerste verwerking niet nodig zijn, worden ze standaard verwijderd of geanonimiseerd. De bewaartermijnen moeten worden vastgelegd en aantoonbaar worden nageleefd. Anonimisering (de-identificeren) van persoonsgegevens is een alternatief voor verwijdering, maar hieraan worden strenge eisen gesteld (risico van her-identificeren). De toegankelijkheid van de persoonsgegevens. Personen mogen alleen toegang hebben tot de persoonsgegevens als dit noodzakelijk is voor het uitvoeren van hun functie (‘need to know’-principe). Hoe privacy by design & by default nader in te vullen? De Europese privacy toezichthouders) heeft in november 2019 een concept Richtlijn vastgesteld voor “Data Protection by Design and Default” voor het operationaliseren van/om invulling te geven aan Privacy by design & by default. Per privacy beginsel is een overzicht van de belangrijkste Privacy by design & by default-elementen en een voorbeeld opgenomen. Zie hieronder de voorbeelden voor de uitzendbranche. Tips privacy by design voor de uitzendbranche: Verzamel alleen wat je nodig hebt Sla bankrekeningnummer pas op als je zeker weet dat iemand gaat werken. Gebruik gegevens alleen waarvoor je ze verkregen hebt BSN alleen gebruiken als dat wettelijk mag, niet voor koppelingen. Kies bij configuratie standaard de privacy-vriendelijke variant Maak géén gebruik van vooringevulde hokjes….bijvoorbeeld toestemming toezenden nieuwsbrieven of trackingcookies Let op kwaliteit van de data Stuur kandidaten periodiek een mail/notificatie met vraag of gegevens nog actueel zijn. Maak geen onnodige kopieën Beperk mailen van documenten en maak bijvoorbeeld gebruik van portals. Denk aan CV’s die door te mailen op heel veel plekken in organisatie komt te liggen. Beter in de portal te plaatsen en beschikbaar te houden. Gooi weg wat je niet nodig hebt Inventariseer bewaartermijnen en zorg dat deze gehanteerd worden. Sla gescheiden op Op attribuut niveau; Combineer loonheffingsverklaring niet met arbeidsovereenkomst. Want voor beide gelden andere bewaartermijnen. Beperk de toegang Roll based; need to know Pas zoveel mogelijk versleuteling, pseudonomisering toe; zowel bij verzending als bij opslag. Faciliteer rechten betrokkenen Bouw functionaliteit om betrokkenen makkelijk zijn/haar gegevens te laten inzien. Wie moet wat met de beginselen van Privacy by design & by default? De AVG legt de verplichting voor privacy by design& by default bij de verwerkingsverantwoordelijke (bijvoorbeeld het uitzendbureau of de intermediair), en niet bij het bedrijf die namens hen gegevens verwerkt/ aan welke de gegevensverwerking is uitbesteed (de verwerker). Verwerkers en (software)leveranciers spelen daarentegen wel een grote rol bij het toepassen van de Privacy by design & by default-principes. Zij zijn in staat om de potentiële risico’s te identificeren die het gebruik van een systeem of dienst met zich mee kan brengen, hebben de expertise en zijn eerder op de hoogte van technologische ontwikkelingen. Verwerkers en (software)leveranciers moeten zich er ook van bewust zijn dat verwerkingsverantwoordelijken alleen persoonsgegevens mogen verwerken met systemen en technologieën die ingebouwde gegevensbescherming hebben (‘AVG-proof’ zijn). Verwerkingsverantwoordelijken mogen geen aanbieders kiezen die systemen voorstellen waarmee de verwerkingsverantwoordelijke niet aan artikel 25 AVG kan voldoen, omdat de verwerkingsverantwoordelijken verantwoordelijk zullen worden gehouden voor het gebrek aan uitvoering daarvan. Dit betekent: een uitzendbureau/intermediair moet bij uitbesteding, ontwikkeling/aanschaf van een nieuw systeem het naleven van de Privacy by design & by default beginselen als criterium opnemen en zo nodig opnemen als contractuele clausule om ervoor te zorgen dat de maatregelen actueel worden gehouden. Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven in de flexbranche extern getoetst kunnen worden. Info@avggarant.nl. Lees ook Autoriteit Persoonsgegevens start beoordeling AVG certificeringschema AVG Garant AVG en het verstrekken van persoonsgegevens
flexnieuws
30-11-2020 08:05