of 58952 LinkedIn

Privacy begint bij het ontwerp

In het ontwerp en de standaardinstellingen van een programma moeten gemeenten maatregelen nemen met als doel: de optimale bescherming van persoonsgegevens.

In het ontwerp en de standaardinstellingen van een programma moeten gemeenten maatregelen nemen met als doel: de optimale bescherming van persoonsgegevens. Het is de kern van artikel 25 uit de AVG-wetgeving. Maar wat betekent het precies? De Informatiebeveiligingsdienst (IBD) probeert uit te leggen wat ‘privacy by design’ inhoudt en hoe het bereikt kan worden.

Een van de criteria is bijvoorbeeld: ‘De verwerkingsverantwoordelijke stelt beleid en verantwoordelijkheden rond privacy vast en houdt het beleid en maatregelen rond privacy actueel.’ Specificaties van de IBD zijn hierbij bijvoorbeeld: committeer je aan privacy, specificeer de verantwoordelijkheden, zorg dat het privacybeleid leesbaar is voor de buitenwereld en evalueer vaak de governancestructuur en de effectiviteit daarvan.

Een ander criterium: ‘De verwerkingsverantwoordelijke documenteert maatregelen en beslissingen rond privacy.’ Hierover schrijft de IBD onder meer: leg vast waar de persoonsgegevens verzameld worden, documenteer alle genomen stappen en documenteer klachten van betrokkenen.

Enkele uitgangspunten voor het opstellen van privacy by design-instrumenten zijn dat alles naar de situatie aangepast moet kunnen worden (geen one-size-fits-all), dat alles wat wordt ontwikkeld in samenhang is met bestaande instrumenten en dat de instrumenten niet op zichzelf staan, maar zijn gebaseerd op de beginselen uit de AVG. Het is niet alleen technisch, benadrukt de IBD, en daarbij geven ze als tip voor privacybewustzijn binnen de organisatie: ‘Laat niet iedereen met je meelopen het gebouw in.’ 

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door P.J. Westerhof LL.M MIM op
Art. 25 AVG gaat over zowel Data Protection by Design (lid 1) als Data Protection by Default (lid 2).
De IBD-stukken gooien beiden alvast op één hoop.
Daarnaast verzuimt de handleiding o.a. aanbestedingen te noemen, iets dat de AVG uitdrukkelijk wél doet. Gezien de uitbestedingsproblematiek in gemeenteland bepaald opvallend.

Even goed behoort deze materie al jaren tussen de gemeentelijke oren te zitten. De AVG is immers al bijna 4 jaar van toepassing, en wordt al 2 jaar gehandhaafd.
Maar ook daarvóór - ten tijde van WBP en voorgangers - waren Data Protection by Design en Data Protection by Default al onderdeel van het privacy-gedachtengoed. Er is dan ook een enorme hoeveelheid informatie beschikbaar over dit onderwerp.

Dat neemt niet weg dat met de IBD-set wél veel werk verzet is om de AVG-eisen tástbaar te maken.
Het zou mooi zijn om deze ook tèstbaar te maken, door de requirements uit de set aan te vullen met overeenkomstige testrequirements.
Een verdere inbedding in de system life cycle, en aanvulling met referentiepunten naar AVG en andere wet- en regelgeving (artikelsgewijs) en naar 'Best Practices' (BiSL, ASL, ITIL, MoR) zou een volgend ambitieniveau moeten zijn. De AVG-verantwoordingsplicht zou daarmee verder worden verduidelijkt.

Nóg mooier zou zijn als deze IBD-set nog voor de zomer gemeentebreed tot 'Pas-Toe-of-Leg-Uit' wordt verklaard en daarmee op gemeentelijk niveau een ondergrens stelt aan bescherming van persoonsgegevens.
Net zoals de AVG dat Europees, en de U-AVG dat nationaal doet.

Daarmee komt dan mogelijk wel veel werk op gemeenten - en dús Regionale IT-beheerders - af.
Maar alle tijd en geld die momenteel in voortdurende discussies en 'bewustwording' worden gestopt kunnen dan beter worden besteed aan de gemeentelijke verankering en uitbreiding van de IBD-set.
Want pas dán komt de governance en compliance op gemeentelijk niveau enigermate op orde.
Door Rienk Jonker op
Er is nog wel meer dat bij het ontwerp begint, bijvoorbeeld openbaarheid (openbaarheid by design) en (langdurige) bewaring, vernietiging en beschikbaarstelling (archiving by design).

Misschien in het kader van ontzuiling toch maar gezamenlijk een designstrategie ontwerpen en invoeren?