Skip to main content

Privacy-by-Design; 8 concrete en toepasbare strategieën

| IB&P | ,

In februari nam ik deel aan een ISACA Round Table in Assen. Hier werd een verhelderende presentatie gegeven over ‘Privacy-by-Design’ door Jaap-Henk Hoepman, onder meer hoofddocent privacy preventie protocollen en Privacy-by-Design aan de Radboud Universiteit Nijmegen. Jaap-Henk maakte hier concreet wat Privacy-by-Design nu precies is en hoe je het kunt toepassen in de praktijk. Hij doet dit aan de hand van acht concrete en toepasbare strategieën die ik in deze blog graag met je doorneem.

Wat is Privacy-by-Design ?

In de nieuwe privacywet AVG die vanaf 25 mei van kracht gaat, staat de bescherming van persoonsgegevens centraal. Eén van de vereisten vanuit de AVG is Privacy-by-Design . Privacy-by-Design is de naam van het proces waarbij je vaststelt welke gegevens je wilt en mag verzamelen en verwerken. Dat doe je dus zo vroeg mogelijk. Vervolgens ontwerp je de systemen volgens die vereisten.

Privacy-by-Design vraagt organisaties na te denken over hun databehoefte: welke gegevens heb je echt nodig voor het doel van de verwerking? En hoe kun je dit verstandig vormgeven? Bescherm privacy gedurende het hele (technologische) ontwikkelproces, van concept tot en met realisatie. Dit kan door privacy-verhogende maatregelen en dataminimalisatie toe te passen. Een voorbeeld van een privacy-verhogende maatregel is het gebruik van privacy enhancing technologies (PET). Dit zijn tools die helpen bij het borgen van privacy en security in informatiesystemen. Dataminimalisatie houdt simpelweg in dat je als organisatie zo min mogelijk persoonsgegevens verwerkt. Dus alleen datgene wat je daadwerkelijk nodig hebt voor het doel wat je nastreeft.

Waarom Privacy-by-Design ?

De media berichten meer dan wekelijks over incidenten op informatieveiligheids- en privacyvlak. Dit kan naast vervelende gevolgen voor de personen in kwestie, ook behoorlijke schade toebrengen aan de verantwoordelijke organisaties. Ook voor gemeenten. Reputatie en imagoschade zijn de meest voorkomende vormen van schade. Denk daarnaast aan financiële schade en herstelkosten die hoog op kunnen lopen. Los van het feit dat Privacy-by-Design een vereiste is vanuit de AVG, beperkt het dus de privacy-risico’s.

Vanuit Privacy-by-Design geldt één stelregel: verzamel alleen datgene wat je écht nodig hebt. Immers, wat je niet (nodig) hebt, kun je ook niet verliezen. Daarnaast maakt het de ontwikkeling van nieuwe producten en dienstverlening mogelijk. Denk bijvoorbeeld aan het feit dat Security by Design ervoor zorgde dat internetbankieren mogelijk werd.

Acht strategieën

Jaap-Henk Hoekman maakte in zijn presentatie Privacy-by-Design concreet aan de hand van de volgende acht strategieën. Strategieën die Privacy-by-Design van een vage juridische norm omzet in concrete privacy-vriendelijke ontwerpeisen. Deze acht strategieën zijn onder te verdelen in vier data-georiënteerde en vier proces-georiënteerde strategieën.

Data-georiënteerd

1. Minimaliseer – Beperk zo veel mogelijk de verwerking van persoonsgegevens, verzamel dus alleen dat wat je nodig hebt voor het einddoel. Ja, een open deur, maar we houden ons er zelden aan.

2. Scheid – Scheid persoonsgegevens zo veel mogelijk van elkaar, om correlatie te beperken. Maak bijvoorbeeld gebruik van verschillende databases. De impact van een datalek kan je er ook mee beperken.

3. Abstraheer – Beperk zoveel mogelijk het detailniveau waarop persoonsgegevens worden verwerkt. Maak van gedetailleerde gegevens, bijvoorbeeld van individuen, meer algemene gegevens, zoals bijvoorbeeld categorieën personen.

4. Bescherm, maak onherleidbaar – Tref passende technische en organisatorische beveiligingsmaatregelen (BIG). Vertel mensen blijvend wat de kaders zijn voor het gebruik van gegevens. Je kunt data daarnaast onherleidbaar maken door ze bijvoorbeeld te mixen of te anonimiseren.

Proces-georiënteerd:

5. Informeer – Informeer gebruikers over de verwerking van hun persoonsgegevens. Vertel welke informatie er wordt verwerkt en voor welk doel. Informeer gebruikers ook altijd wanneer hun persoonsgegevens gelekt zijn.

6. Geef controle – Geef gebruikers controle over de verwerking van hun persoonsgegevens. Bied ze de mogelijkheid om hun privacyrechten uit te oefenen. Hiervoor is het belangrijk dat je in kaart hebt waar welke gegevens staan (verwerkingsregister).

7. Dwing af – Committeer je aan een privacy-vriendelijke verwerking van
persoonsgegevens, en dwing dit af d.m.v. een verantwoordingsproces over het privacy-beleid. Beleg verantwoordelijkheden en richt het zowel technisch als organisatorisch goed in.

8. Toon aan – Toon aan dat je op een privacy-vriendelijke wijze persoonsgegevens verwerkt. Dit kan door middel van het structureel en systematisch uitvoeren van zelfevaluaties, assessments en audits.

Hopelijk heb ik je met deze blog over de acht strategieën zoals toegelicht door Jaap-Henk Hoepman (waarvoor nogmaals dank), meer duidelijkheid kunnen verschaffen over Privacy-by-Design en hoe dit toe te passen binnen je eigen organisatie.

Meer informatie?

Wil je meer informatie over Privacy-by-Design ? Privacy-by-Design Lees dan verder op deze pagina.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…