24
Feb
2017

‘Privacy by design’ vereist gestructureerd privacy management

In mei 2018 zal de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking treden. De AVG borduurt voort op de huidige EU privacyrichtlijn, die voor Nederland is geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). Een aantal artikelen in de Verordening trekt de aandacht. In sommige bepalingen is een algemeen privacybeginsel verwoord, waarbij onduidelijk blijft wat er nu eigenlijk concreet van de verwerkingsverantwoordelijke wordt verwacht. Ook veel gebruikte begrippen blijken vatbaar voor de nodige discussies.

Wat moeten we bijvoorbeeld verstaan onder het begrip minimale verwerking en wie bepaalt hiervoor eigenlijk de ondergrens ? Wanneer is er sprake van profilering en welke eisen worden er gesteld aan pseudonimisering? Welke verplichtingen leveren de beginselen privacy by design en privacy by default op ?

Zelf aan het werk

De AVG bevat geen lange lijst met verplichtingen en verboden. De Verordening is bedoeld om organisaties zelf aan het werk te zetten. Privacy-vriendelijk ondernemen begint met het formuleren van duidelijk beleid, op basis waarvan vervolgens concrete keuzes kunnen worden gemaakt. Zonder overkoepelend beleid loop je het risico dat de discussie over privacy bij de start van elk project opnieuw moet worden gevoerd. Dat is niet alleen tijdrovend en vermoeiend, maar zal ook een verre van consistente koers opleveren.

Duidelijke beleidskeuzes moeten er toe leiden dat het privacy management wordt geïnstitutionaliseerd. Bij de start en uitvoering van elk project worden de privacyaspecten dan automatisch meegenomen.

Organisaties moeten binnen de context van hun eigen bedrijfsprocessen weloverwogen keuzes gaan maken. Dat is geen vrijblijvende zaak: iedereen is verantwoordelijk én aanspreekbaar op zijn eigen rol in de keten, of je nu verwerkingsverantwoordelijke of verwerker van de persoonsgegevens bent. Dit vraagt dan ook om een gestructureerde aanpak:

  • formuleer beleid op het gebied van privacy management;
  • implementeer de juiste maatregelen en zorg voor een goede borging hiervan;
  • controleer de uitvoering en doe aanpassingen waar nodig;
  • leg gevraagd (of ongevraagd) verantwoording af aan klanten, gebruikers en toezichthouders.

Investeren in een goede basis, met onder meer een grondig privacy impact assessment (PIA), kan in de toekomst veel tijd en energie schelen. Bij de uitvoering van projecten kan dan worden volstaan met herziening en aanvulling van de informatie die al eerder is verzameld.

Als een organisatie een consistent beleid voert en dit ook goed gedocumenteerd, kan bij een audit duidelijk worden aangetoond dat de AVG de aandacht krijgt die het verdient.

Wilt u meer weten over dit onderwerp, neemt u dan gerust contact met ons op.