Het verschil: privacy by design en privacy by default

Als de AVG op 25 mei 2018 van kracht wordt, gaan de begrippen ‘privacy by design’ en ‘privacy by default’ een grote rol spelen. Voor het gevoel liggen de twee dicht bij elkaar, maar het zijn toch gescheiden begrippen met een nét iets andere inhoud. Wat is het verschil?

De Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 ingaat, kent de begrippen ‘privacy by design’ en ‘privacy by default’. Op het eerste gezicht lijken deze heel erg op elkaar, maar natuurlijk zijn er verschillen. Eerst privacy by default: dit begrip betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Stel dat een klant informatie bij een website opvraagt, dan mag niet automatisch het vakje aangevinkt zijn dat hij de nieuwsbrief wil ontvangen.

Leeftijd en geslacht niet noodzakelijk

Een webwinkel hoeft bij het invullen van de adresgegevens ook niet niet om een leeftijd of geslacht te vragen, omdat dit niet noodzakelijk is voor het afleveren van de bestelling. Als dit zelfs verplichte velden zijn, wordt de informatie afgedwongen en dit is na 25 mei een overtreding van de AVG (videocollege). Bovendien snijdt de webwinkel dan in de eigen vingers, want de privacybewuste klant zal zijn bestelling elders plaatsen.

Al bij het ontwerp persoonsgegevens beschermen

Privacy by design betekent dat er bij het ontwerp van diensten, software en (soms) producten al rekening gehouden moet worden met het beschermen van persoonsgegevens. Een app kan dan niet meer zo ontworpen worden dat hij standaard inzage heeft in het adresboek van de gebruiker, gewoon ‘omdat het handig is’. Het mag alleen nog als dit noodzakelijk is voor de werking van de app. Ontwerpers van een smart-tv moeten gebruikers de keus geven of zij hun kijkgedrag willen delen met derden en dat dus niet standaard verplicht maken.

‘Handig’ geen geldige grondslag

Zo moet steeds nagedacht worden over de vraag of het überhaupt nodig is om persoonsgegevens te verzamelen en zo ja, waarom. ‘Handig’ is onder de AVG geen geldig argument (‘grondslag’) meer. Verder moet er in het ontwerp ook al nagedacht worden over de beveiliging van de persoonsgegevens die wél verzameld en opgeslagen worden. Pseudonimisering en anonimiseringspelen daar een belangrijke rol in.

 

bron: www.rendement.nl

De CijferWijzer

Ontvang onze wekelijkse nieuwsbrief met het laatste nieuws
op het gebied van ondernemen, financiële zaken en administratie.

Something went wrong. Please check your entries and try again.