Privacy begint bij het ontwerp
In het ontwerp en de standaardinstellingen van een programma moeten gemeenten maatregelen nemen met als doel: de optimale bescherming van persoonsgegevens.
In het ontwerp en de standaardinstellingen van een programma moeten gemeenten maatregelen nemen met als doel: de optimale bescherming van persoonsgegevens. Het is de kern van artikel 25 uit de AVG-wetgeving. Maar wat betekent het precies? De Informatiebeveiligingsdienst (IBD) probeert uit te leggen wat ‘privacy by design’ inhoudt en hoe het bereikt kan worden.
Een van de criteria is bijvoorbeeld: ‘De verwerkingsverantwoordelijke stelt beleid en verantwoordelijkheden rond privacy vast en houdt het beleid en maatregelen rond privacy actueel.’ Specificaties van de IBD zijn hierbij bijvoorbeeld: committeer je aan privacy, specificeer de verantwoordelijkheden, zorg dat het privacybeleid leesbaar is voor de buitenwereld en evalueer vaak de governancestructuur en de effectiviteit daarvan.
Een ander criterium: ‘De verwerkingsverantwoordelijke documenteert maatregelen en beslissingen rond privacy.’ Hierover schrijft de IBD onder meer: leg vast waar de persoonsgegevens verzameld worden, documenteer alle genomen stappen en documenteer klachten van betrokkenen.
Enkele uitgangspunten voor het opstellen van privacy by design-instrumenten zijn dat alles naar de situatie aangepast moet kunnen worden (geen one-size-fits-all), dat alles wat wordt ontwikkeld in samenhang is met bestaande instrumenten en dat de instrumenten niet op zichzelf staan, maar zijn gebaseerd op de beginselen uit de AVG. Het is niet alleen technisch, benadrukt de IBD, en daarbij geven ze als tip voor privacybewustzijn binnen de organisatie: ‘Laat niet iedereen met je meelopen het gebouw in.’
Misschien in het kader van ontzuiling toch maar gezamenlijk een designstrategie ontwerpen en invoeren?