Blogserie Europese privacyverordening, aflevering 3: privacy by design, privacy by default, beveiliging en inbreuken hierop

donderdag, 3 november 2016

De Europese privacyverordening (‘AVG’) komt eraan. In onze eerste blog over dit thema hebben we de meest in het oog springende wijzigingen voor u op een rijtje gezet. In onze tweede blog over dit thema hebben we de transparantie, informatievoorzieningen en toestemming besproken. In deze aflevering bespreken we de privacy by design, privacy by default, beveiliging en inbreuken hierop. Wat houdt dat precies in?

Organisaties vernieuwen en digitaliseren hun informatiesystemen. Nieuw ontworpen websites en applicaties verwerken steeds vaker persoonsgegevens. Dit scheelt tijd en kosten voor zowel de organisatie als gebruiker. Een gebruiker kan bijvoorbeeld ziektekosten via een app declareren, een uitkering aanvragen via de gemeentewebsite of een videosollicitatie voeren met een potentiële werkgever. De AVG verplicht uw organisatie bij persoonsgegevensverwerkingen “privacy by design” en “privacy by default” toe te passen. Daarnaast besteedt de AVG veel aandacht aan het thema ”beveiliging”  en het melden van inbreuken daarop (“datalekken”).

Privacy by design

Bij het werken volgens “privacy by design” wordt bij de start van het ontwerpen van een informatiesysteem rekening gehouden met privacy. De aandacht voor privacy blijft tijdens de gehele levensduur van het systeem bestaan. Keuzes bij de ontwikkeling en inrichting van een nieuw informatiesysteem worden hierbij grotendeels bepaald door de gevolgen voor de privacy van betrokkenen.

De AVG verplicht organisaties bij de ontwikkeling van een nieuw informatiesysteem privacyverhogende maatregelen te implementeren. Het toepassen van pseudonimisering en encryptie zijn hier voorbeelden van. Het vervangen van de voor- en achternaam van een student door een aan hem toegewezen studentnummer is een voorbeeld van pseudonimisering. Encryptie is de versleuteling van gegevens die ertoe leidt dat derden, in beginsel geen toegang hebben tot de versleutelde gegevens.

“Dataminimalisatie” is onlosmakelijk verbonden aan “privacy by design”. Organisaties moeten bij de ontwikkeling van een nieuw informatiesysteem zich tijdig afvragen wat de gevolgen voor de privacy van betrokkenen zijn en welke gegevens nu echt nodig zijn. Dit heeft effect op de hoeveelheid te verwerken persoonsgegevens en de lengte van bewaartermijnen.  Scholen dienen zich bijvoorbeeld af te vragen of verwerking van de leeftijd van ouders noodzakelijk is en hoelang de verwerkte gegevens moeten worden bewaard.

Privacy by default

Nauw verwant aan “privacy by design” is “privacy by default”. In beginsel mogen alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het beoogde doel van de verwerking. Een website of applicatie moet als standaardinstelling de minst mogelijke inbreuk op de privacy van de gebruiker bewerkstelligen en daarmee de grootst mogelijke privacy nastreven.

Dataminimalisatie geldt als een belangrijke standaardinstelling. Ook moet de toegankelijkheid van de gegevens structureel worden beperkt. Deze standaardinstellingen mogen naderhand wel door de gebruiker aangepast worden.

“Privacy by design en default” zijn niet beperkt tot de technische kant van de persoonsgegevensverwerking. Organisaties dienen ook  transparantieverplichtingen, informatieverplichtingen en andere privacywaarborgen uit de AVG in de processen in te bakken. Zij moeten bijvoorbeeld afwegen waar de privacyverklaring wordt geplaatst en moeten zichtbaar maken hoe de betrokkene in staat wordt gesteld controle uit te oefenen op de informatieverwerking.

Beveiliging

Net zoals onder de Wbp, moeten persoonsgegevens onder de AVG adequaat zijn beveiligd conform de stand der techniek. De beveiligingsmogelijkheden voor persoonsgegevens worden doorlopend verbeterd en organisaties moeten deze ontwikkeling bijhouden. Als de gebruikte encryptie verouderd is, moet deze vervangen worden. Als er een beveiligingslek in een applicatie zit, moet dat lek worden gedicht. Fysieke maatregelen, zoals toegangsbeveiliging, moeten up-to-date blijven. De AVG expliciteert de verplichting om de effectiviteit van de beveiliging geregeld te evalueren. Ook moet de organisatie aandacht besteden aan calamiteitenplannen (“veerkracht”). De organisatie blijft ook bij uitbesteding verantwoordelijk voor de beveiliging. Het niet naleven van de beveiligingsverplichting kan grote gevolgen hebben. Een schending van de beveiligingsverplichting onder de AVG kan een boete tot 10.000.000 euro, of 2% van de wereldwijde omzet opleveren.

Meldplicht datalekken

De meldplicht datalekken is niet nieuw in Nederland [link: https://www.banning.nl/Banning-NL/assets/File/20151012%20-%20Artikel%20Procedure%20meldplicht%20datalekken.pdf]. Op 1 januari 2016 is een meldplicht ingevoerd. Tot september 2016 zijn 3.400 datalekken bij de AP gemeld. Bijna de helft van alle gemeenten in Nederland heeft inmiddels een datalek gemeld. Met de komst van de AVG zal een meldplicht datalekken voor alle lidstaten gelden. De AVG brengt voor Nederland (afgezien van de hoogte van de boete) geen wezenlijk nieuwe elementen.

Conclusie

Het doorvoeren van “privacy by design & default” en een adequate beveiliging zijn belangrijke aandachtspunten bij de voorbereiding op de AVG. Het doorvoeren ervan zorgt er voor dat er minder snel sprake is van een datalek en dat de gevolgen van een eventueel lek minder groot zijn. De privacy van de betrokkene(n) wordt beter beschermd.  Uw organisatie kan met behulp van beschreven maatregelen eenvoudiger aan haar wettelijke verantwoordingsplicht voldoen.

In de komende aflevering zal het thema: ‘compliance’, nader uitgewerkt worden. Mocht u in de tussentijd nog vragen hebben over deze onderwerpen, dan kunt u terecht bij onze specialisten van de Praktijkgroep Privacy.

Auteur
mr. S.R. (Samuel) Wiegerinck
mr. S.R. (Samuel) Wiegerinck Juridisch medewerker