Privacy by default en privacy by design

Privacy by design en privacy by default kunnen voor struikelblokken zorgen binnen het proces van ontwikkeling van diensten en producten. Desondanks bent u verplicht om beide begrippen toe te passen.

Privacy by default

Privacy by default houdt in dat u uw diensten op een zo privacy vriendelijk mogelijke manier dient aan te bieden. Met andere woorden, er moet voor gezorgd worden dat persoonsgegevens nooit standaard openbaar zichtbaar zijn. Een goed voorbeeld hiervan is een profiel op social media: dit mag wel openbaar zijn, maar slechts als de gebruiker daar eerst zelf actief voor kiest. Facebook bijvoorbeeld zal in de standaardinstellingen de gebruikersprofielen zoveel mogelijk moeten afschermen. De controle over het gebruik van persoonsgegevens ligt dus bij de klant.

Privacy by design

Privacy by design betekent letterlijk: gegevensbescherming door ontwerp. Oftewel, vanaf het begin van de ontwikkeling van een dienst, product of project dient rekening gehouden te worden met verschillende privacyaspecten. U kunt zich bijvoorbeeld afvragen of het voor het product of dienst echt nodig is om persoonsgegevens te verwerken, of dat er bijvoorbeeld ook gewerkt kan worden met volledig geanonimiseerde gegevens. Als er dan toch persoonsgegevens verwerkt gaan worden, is het van belang om na te denken over de beveiliging van deze gegevens. Dit geeft het onderwerp privacy meer gewicht en voorkomt in een later stadium dat men terug moet naar de tekentafel. Daarbij gaat het er in het bijzonder bij ICT-producten en -diensten om dat al in het ontwikkelproces gebruik gemaakt wordt van privacyverhogende maatregelen, ook wel Privacy Enhancing Technologies (PET) genoemd. Ook bewaartermijnen en het faciliteren van de rechten van de betrokkenen zijn van belang om privacy-proof te opereren. Men wordt dus aangespoord om van meet af aan maatregelen te nemen om de privacy van de gebruikers zo goed mogelijk te waarborgen.

Data-minimalisatie

Een belangrijk onderdeel van privacy by design is data-minimalisatie. Dit betekent dat in het ontwerp gewaarborgd moet worden dat er niet méér persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel van de verwerking. Sta bijvoorbeeld stil bij de vraag of het bij het inrichten van een online-proces echt nodig is om een geboortedatum achter te laten. En als u dan toch vraagt naar de geboortedatum, voor bijvoorbeeld marketingdoeleinden, dan mag dat geen verplicht veld zijn en moet duidelijk zijn wat de gevolgen zijn van het wel of niet invullen van het veld.

Privacy bij default kan dus worden gezien als een onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn. Het verschil tussen beide is dat privacy by design invloed heeft op de uitkomst van een product of dienst. Privacy by default is bepalend voor de manier waarop zij in eerste instantie gebruikt worden.