Het verschil: privacy by design en privacy by default

2 maart 2018 Door redactie

Als de AVG op 25 mei 2018 van kracht wordt, gaan de begrippen ‘privacy by design’ en ‘privacy by default’ een grote rol spelen. Voor het gevoel liggen de twee dicht bij elkaar, maar het zijn toch gescheiden begrippen met een nét iets andere inhoud. Wat is het verschil?

De Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 ingaat, kent de begrippen ‘privacy by design’ en ‘privacy by default’. Op het eerste gezicht lijken deze heel erg op elkaar, maar natuurlijk zijn er verschillen. Eerst privacy by default: dit begrip betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Stel dat een klant informatie bij een website opvraagt, dan mag niet automatisch het vakje aangevinkt zijn dat hij de nieuwsbrief wil ontvangen.

Leeftijd en geslacht niet noodzakelijk

Een webwinkel hoeft bij het invullen van de adresgegevens ook niet niet om een leeftijd of geslacht te vragen, omdat dit niet noodzakelijk is voor het afleveren van de bestelling. Als dit zelfs verplichte velden zijn, wordt de informatie afgedwongen en dit is na 25 mei een overtreding van de AVG (videocollege). Bovendien snijdt de webwinkel dan in de eigen vingers, want de privacybewuste klant zal zijn bestelling elders plaatsen.

Al bij het ontwerp persoonsgegevens beschermen

Privacy by design betekent dat er bij het ontwerp van diensten, software en (soms) producten al rekening gehouden moet worden met het beschermen van persoonsgegevens. Een app kan dan niet meer zo ontworpen worden dat hij standaard inzage heeft in het adresboek van de gebruiker, gewoon ‘omdat het handig is’. Het mag alleen nog als dit noodzakelijk is voor de werking van de app. Ontwerpers van een smart-tv moeten gebruikers de keus geven of zij hun kijkgedrag willen delen met derden en dat dus niet standaard verplicht maken.

'Handig' geen geldige grondslag

Zo moet steeds nagedacht worden over de vraag of het überhaupt nodig is om persoonsgegevens te verzamelen en zo ja, waarom. ‘Handig’ is onder de AVG geen geldig argument (‘grondslag’) meer. Verder moet er in het ontwerp ook al nagedacht worden over de beveiliging van de persoonsgegevens die wél verzameld en opgeslagen worden. Pseudonimisering en anonimisering spelen daar een belangrijke rol in.

PRIVACY BY DESIGN: bij ontwerp bescherming persoonsgegevens al meenemen
PRIVACY BY DEFAULT: standaardinstellingen altijd zo privacyvriendelijk mogelijk

Proefabonnement Marketing Rendement

Gerelateerd aan dit nieuwsartikel

Laatst toegevoegd

Meest gelezen

E-learningcursussen

  • Wet- en regelgeving voor ondernemers
    • Videocollege 29 minuten

    De cursus 'Wet en regelgeving voor ondernemers' bespreekt achtereenvolgens de hoofdzaken van de Arbowet, de Wet bescherming persoonsgegevens, Regelgeving voor bedrijf en omgeving en...

  • Meldplicht datalekken
    • Videocollege 7 minuten

    De meldplicht datalekken geldt sinds 1 januari 2016. Het houdt in dat uw organisatie een melding moet doen bij de Autoriteit Persoonsgegevens zodra er sprake is van een ernstige...

  • AVG: een introductie
    • Videocollege 14 minuten

    De AVG is vanaf 25 mei 2018 van toepassing en iedere organisatie moet hieraan voldoen. Onderschat niet de aanpassingen die uw organisatie hiervoor moet doen, want het zal een grote...

Heeft u een vraag over Algemene Verordening Gegevensbescherming (AVG)?

André Kamps

Partner, IT-jurist

IT-jurist
Adviseur is nu beschikbaar