AVG Uitgediept #6: Privacy by design & privacy by default

Artikel 25 van de Algemene Verordening Gegevensbescherming verplicht iedere partij die verantwoordelijk is voor de verwerking van persoonsgegevens tot ‘privacy by design’ en ‘privacy by default’ of in het Nederlands: ‘gegevensbescherming door ontwerp en door standaardinstellingen’. De begrippen ‘privacy by design’ en ‘privacy by default’ worden vaak in één adem genoemd en door elkaar gebruikt. Dat is niet terecht nu tussen ‘privacy by design’ en ‘privacy by default’ een wezenlijk verschil bestaat.

‘Privacy by design’ houdt in dat de verwerkingsverantwoordelijke al bij de ontwikkeling van nieuwe producten en diensten (zoals informatiesystemen) aandacht dient te besteden aan privacy. De AVG verplicht de verwerkingsverantwoordelijke om al in het ontwerp van een dienst of product waarborgen in te bouwen voor een optimale bescherming van de privacy van betrokkenen en technische en andere privacyverhogende maatregelen te implementeren. Daarbij is een belangrijke rol weggelegd voor dataminimalisatie: de verwerkingsverantwoordelijke dient zich af te vragen of het voor de dienst of het product noodzakelijk is om bepaalde persoonsgegevens te verwerken. Is dit het geval, dan dient de verwerkingsverantwoordelijke de nodige privacybeschermende maatregelen te nemen, waarbij kan worden gedacht aan bijvoorbeeld toegangsbeveiliging, pseudonimisering, versleuteling en het beperken van bewaartermijnen en de kring van personen die toegang hebben tot het systeem. Dergelijke privacyverhogende maatregelen worden ook wel ‘Privacy Enhancing Technologies’ genoemd.

Van ‘privacy by design’ moet worden onderscheiden ‘privacy by default’. Privacy by default houdt in dat de verwerkingsverantwoordelijke een product of dienst standaard op zodanige wijze dient aan te bieden dat de inbreuk op de privacy van de gebruiker zoveel mogelijk wordt beperkt. Aan de verplichting tot ‘privacy by default’ wordt dan ook voldaan indien de standaardinstellingen van (bijvoorbeeld) een website of applicatie zodanig zijn dat de inbreuk op de privacy van de gebruikers van die website of applicatie zo gering mogelijk is. De gebruiker kan vervolgens zelf besluiten deze standaardinstellingen door het zelf ‘aanvinken’ van één of meer lege hokjes aan te passen en verwerking van meer hem of haar betreffende persoonsgegevens mogelijk maken (‘opt-in’). Er is geen sprake van ‘privacy by default’ indien hokjes op een website of applicatie al op voorhand door de verantwoordelijke zijn aangevinkt of ingevuld en de gebruiker deze juist moet ‘uitzetten’ om bepaalde verwerkingen van persoonsgegevens te voorkomen (‘opt-out’). In dat geval is immers een handeling van de gebruiker vereist om een nòg hoger beschermingsniveau te bereiken, terwijl ‘privacy by default’ nu juist vereist dat een minimale verwerking van persoonsgegevens de standaard is. De achterliggende reden hiervoor is dat de praktijk leert dat gebruikers van een website of applicatie de door de verantwoordelijke gekozen standaardinstellingen door haast, gemakzucht of blind vertrouwen eenvoudig accepteren zonder deze ook maar te hebben gelezen. ‘Privacy by default’ beperkt zich overigens niet tot het aan- en uitvinken van hokjes op websites, maar houdt eveneens in dat geen clausules met  nadelige gevolgen voor de privacy van de gebruikers van een dienst of product mogen worden verstopt in algemene voorwaarden. Tevens dient software zodanig te worden ontwikkeld dat gebruikers worden geïnformeerd over de verwerking van persoonsgegevens en op hun rechten worden geattendeerd. Er kan worden gedacht aan een systeem waarbij de gebruiker door hokjes ‘aan’ te vinken moet aangeven kennis te hebben genomen van dergelijke informatie, voordat van de dienst gebruik kan worden gemaakt.

Met een bestuurlijke boete die kan oplopen tot EUR 10.000.000 of 2% van de wereldwijde jaaromzet liegen de consequenties van een schending van de verplichtingen tot ‘privacy by design’ en ‘privacy by default’ er niet om. Organisaties doen er dan ook goed aan om bij de ontwikkeling van nieuwe diensten, producten en informatiesystemen nadrukkelijk stil te staan bij de wijze waarop de inbreuk op de privacy van de gebruikers daarvan zoveel mogelijk kan worden beperkt en eventueel juridisch en technisch advies in te winnen over privacy enhancing technologies en andere privacyverhogende maatregelen. Door het tijdig onderkennen van de privacyrisico’s van een dienst, product of informatiesysteem kan een organisatie die persoonsgegevens verwerkt ook op andere wijze kosten besparen. Indien de privacyrisico’s van een dienst of product pas worden onderkend als de ontwikkeling ervan al vergevorderd is of als de dienst of het product zelfs al op de markt is, zullen aanpassingen immers veel complexer, tijdrovender en kostbaarder zijn. Voorkomen is dus beter dan genezen. De verplichting tot ‘privacy by default’ noodzaakt iedere organisatie die persoonsgegevens verwerkt maar met name organisaties die dat doen met behulp van een website of andere applicatie – ik noem een webshop – ertoe om na te gaan of met de standaardinstellingen een optimale bescherming van persoonsgegevens wordt bereikt. Deze organisaties hebben nog tot 25 mei 2018 de tijd om in kaart te brengen of niet méér persoonsgegevens worden verwerkt dan voor de dienstverlening noodzakelijk is en op voorhand aangevinkte hokjes ‘uit’ te zetten.

In deel 7 van deze blogreeks zal Emiel de Joode u bijpraten over de eisen die onder de AVG worden gesteld aan een verwerkersovereenkomst.