Hoe ga jij om met privacy?

Persoonlijke gegevens zijn goud waard. Hoe zorg je ervoor dat privacy vanaf het begin goed geregeld is? Privacy by default en privacy by design spelen hierin een cruciale rol. Wat houden deze principes in en hoe pas je ze toe? 

Privacy by Default

Privacy by default houdt in dat de standaardinstellingen van een CMS of dienst zo zijn ingericht dat ze de privacy van de gebruiker maximaal beschermen. Dit betekent dat de gebruiker niet zelf actie hoeft te ondernemen om hun privacy te waarborgen; je gaat hierbij uit van een opt-in en enkel essentiële data bij het verwerken van persoonsgegevens. Denk hierbij aan een portaal waarbij profielinstellingen, zoals je woonplaats of e-mailadres, standaard privé zijn en niet direct zichtbaar voor anderen. Dit principe is gebaseerd op de overtuiging dat privacy geen opt-in zou moeten zijn, maar een vanzelfsprekend recht.

Een concreet voorbeeld binnen websites is een contactformulier. Als je een formulier aanbiedt om gebruikers contact op te laten nemen of zich in te schrijven voor een nieuwsbrief, pas je privacy by default toe door:

• Geen onnodige velden te vragen, zoals telefoonnummer als dat niet nodig is.
• Opt-in voor e-mailmarketing standaard uitgeschakeld te laten, zodat gebruikers actief toestemming moeten geven.
• Een duidelijke privacyverklaring te vermelden voordat gebruikers hun gegevens verzenden.

Privacy by Design

Privacy by design gaat een stap verder door privacybescherming vanaf het allereerste begin van het ontwerp- en ontwikkelingsproces van een systeem of dienst te integreren. Dit betekent dat privacy in elke fase van productontwikkeling een kernoverweging is, van de eerste conceptuele schets tot de uiteindelijke implementatie en onderhoud. Privacy by design vereist een proactieve benadering, waarbij potentiële privacyrisico's worden geïdentificeerd en geminimaliseerd voordat ze zich voordoen. Dit omvat bijvoorbeeld naast het minimaliseren van gegevensverzameling, het toepassen van sterke versleutelingstechnieken en het zorgen voor transparantie over hoe gegevens worden gebruikt.

Een concreet voorbeeld hiervan binnen een website is een klantportaal waarbij privacy vanaf het begin is meegenomen in het ontwerp:

• Versleutelde communicatie: Alle gegevensuitwisseling via de website verloopt via HTTPS en gevoelige gegevens worden end-to-end versleuteld opgeslagen.
• Gegevenstoegang beperken: Alleen bevoegde medewerkers kunnen gebruikersgegevens inzien op basis van hun rol en autorisaties.
• Anonimisering en pseudonimisering: Persoonlijke gegevens worden automatisch geanonimiseerd zodra ze niet meer nodig zijn, bijvoorbeeld door ordergegevens na een bepaalde periode los te koppelen van klantidentiteiten, maar ook een contactformulier waarbij de gegevens binnen het CMS na x-tijd wordt geanonimiseerd.
• Duidelijke instellingen voor gebruikers: Een klant kan zelf eenvoudig aangeven welke gegevens hij wil delen en voor welke doeleinden.

Het verschil tussen beide

Hoewel privacy by default en privacy by design elkaar aanvullen, verschillen ze fundamenteel in aanpak:

• Privacy by Default = Reactief: Het zorgt ervoor dat gebruikers automatisch de meest privacyvriendelijke instellingen hebben zonder dat ze iets hoeven aan te passen. De focus ligt op het beschermen van de gebruiker door standaardinstellingen zo in te richten dat minimale gegevensverwerking plaatsvindt.
• Privacy by Design = Proactief: Dit gaat een stap verder en integreert privacy als een essentieel onderdeel van de hele ontwikkeling van een systeem. Privacyrisico’s worden vooraf geïdentificeerd en aangepakt in het systeem in plaats van achteraf te worden gecorrigeerd.