In de praktijk merk ik dat er met het begrip Privacy by design nogal wat geworsteld wordt. Privacy by design, hoe doe ik dat nou goed?
Vaak zie ik dat het niet verder komt dan dat ergens in het ontwikkeltraject een belletje gaat rinkelen dat “we ook nog iets met privacy moeten”. Dat kan beter, en vooral efficiënter en met minder kosten. Immers, gaande het traject privacy eisen in brengen zorgt, in leantermen voor veel rework. Functionaliteiten aanpassen nadat ze gebouwd zijn, kost meer geld dan de privacy elementen meteen mee te nemen.
Privacy by design en privacy by default
Privacy by design en privacy by default, gegevensbescherming door ontwerp en door standaardinstelling, worden nogal eens door elkaar gehaald. Niet vreemd, want beiden worden in één adem genoemd in artikel 25 AVG.
Privacy by default houdt in dat de standaardinstellingen van een website, apparaat, dienst of app zo zijn gekozen dat de privacy maximaal wordt gewaarborgd, vandaar gegevensbescherming door standaardinstellingen. Een voorbeeld hoe dat niet moet vind je in de blog over de consumentbond die een rechtszaak start tegen de AP over haar klacht tegen Google. Bij de Android smartphones staat de functie web&app activity standaard geactiveerd. Daarmee worden o.a. locatiegegevens gedeeld zonder dat de gebruiker zich dit realiseert.
Een ander voorbeeld is Instagram, je moet een aantal handelingen uitvoeren om je profiel op “private” te zetten. Volgens de regels van Privacy by default zou het andersom moeten zijn, je profiel staat standaard op “private”, je kan zelf kiezen om het openbaar te maken.
Veel gebruikers laten de instellingen vaak op default staan, daarom zijn privacy vriendelijke standaardinstellingen zo belangrijk.
Privacy by design en de AVG
Bij de ontwikkeling van nieuwe diensten, platforms of apps vraagt de AVG om “Privacy by design”. In Artikel 25 worden Privacy by design en Privacy by default vereist.
De overweging 78 bij artikel 25 zegt: “producenten van diensten en producten die persoonsgegevens moeten verwerken, of die persoonsgegevens verwerken bij hun opdracht, dienen te worden gestimuleerd om bij de ontwikkeling en uitvoering daarvan rekening te houden met privacy”.
Ofwel: de opdrachtgever stimuleert de opdrachtnemer, degene die het platform bouwt, te voldoen aan de privacy eisen.
Privacy by design onderdeel van het project
Privacy by design, hoe doe ik dat nou goed? De crux van privacy by design is dat privacy van scratch af aan betrokken wordt bij de ontwikkeling van een nieuwe app, platform of dienst.
In de praktijk zie ik nogal eens dat vanuit privacy een set met eisen bij het projectteam neergelegd wordt en dat deze bij oplevering van het project geaudit worden. Bij die audit blijken zaken niet goed geregeld te zijn en moeten functionaliteiten alsnog aangepast worden. Dit, in leantermen herstelwerk, brengt onnodige kosten en frustratie met zich mee. Die aanpassingen achteraf kosten ook nog eens meer dan wanneer dit gedurende de ontwikkeling wordt meegenomen.
Dit kan voorkomen worden door vanaf de eerste fase van het project waarin het Plan van Aanpak wordt gemaakt, de privacy discipline meteen te betrekken. In de volgende fase krijgt wanneer het projectteam wordt samengesteld, moet mijns inziens degene die verantwoordelijke is voor privacy ook een plek in het projectteam krijgen. Vanuit zijn discipline werkt hij mee in het project als teamlid. Daarbij worden de privacy eisen hetzelfde gezien en behandeld als alle andere gevraagde functionaliteiten.
Gedurende de fasen van het project veranderen de werkzaamheden van het privacy teamlid ook. Die beweegt mee met het project, als het goed is. Van een eerste quick scan op het gebied van privacy naar het in orde maken van de benodigde documenten tijdens de uitvoeringsfase.
De projectmanager mag op zijn beurt van de privacy discipline verwachten dat deze niet in de “kan niet/ mag niet van de AVG”- modus zit, maar constructief mee denkt en oplossingen aanreikt.
Door privacy integraal onderdeel van de ontwikkeling te maken worden onnodige kosten bespaard en wordt een kwalitatief beter product opgeleverd.