Privacy by design en privacy by default zijn twee verplichte uitgangspunten uit die “beruchte” Algemene Verordening Gegevensbescherming (AVG) als het gaat om gebruiken van persoonsgegevens. Privacy by design betreft de aandacht voor gegevensbescherming wanneer je nog in de ontwerpfase bent van een product of dienst. Privacy by default houdt vervolgens in dat de standaardinstellingen zo privacy-vriendelijk mogelijk moeten zijn.
De term privacy by design (letterlijke vertaling: gegevensbescherming door ontwerp) houdt aldus in dat er al bij de start van het ontwerpen van een product of dienst rekening wordt gehouden met privacy. Er moet dan al nagedacht worden over persoonsgegevens en deze mogen alleen rechtmatig verwerkt worden. Je mag persoonsgegevens alleen verzamelen met een gerechtvaardigd doel en deze moeten voorafgaand ook transparant zijn richting diegene waarvan je ze verzamelt. Bovendien mogen er enkel noodzakelijke gegevens worden verwerkt. Denk dus na welke gegevens écht nodig zijn en welke niet.
Voor privacy by default geldt dat er moeten maatregelen genomen worden dat, als standaardinstelling, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel.
Stel dus je hebt een webshop en in het bestelproces vraag je om geboortedatum/leeftijd en/of geboorteplaats. Die gegevens zijn totaal niet nodig om het product in je webshop te kunnen bestellen, dus die gaan dat doel ook voorbij. Dit mag dus niet! Hetzelfde geldt bijv. voor een nieuwsbrief die al is aangevinkt, ook dit mag niet. Je klant moet daar apart toestemming voor geven.
Tip: Ga na in je bedrijf of jij persoonsgegevens voor je dienst of product wel rechtmatig gebruikt en of je deze wel echt nodig hebt. Zorg ervoor dat je daarnaast voldoet aan de informatieplicht en degene waarover je persoonsgegevens gebruikt, duidelijk informeert via bijv. een privacyverklaring.
Heb jij juridische vragen over de AVG of een hele andere juridische vraag? Stel hem mij dan gerust, ik denk heel graag met je mee!