Gepubliceerd op: 28/04/2018

Data protection by design of data protection by default?

Data protection by design versus data protection by default.

De nieuwe Europese privacywetgeving (General Data Protection Regulation) verplicht elke verwerkingsverantwoordelijke om de begrippen data protection by design (gegevensbescherming door ontwerp) en data protection by default (gegevensbescherming door standaardinstellingen) na te leven (artikel 25 GDPR).  Maar wat betekenen deze begrippen nu precies?

"Facebook respecteert data protection by design, maar (nog) niet by default!"

Pieter Pauwels
Data Protection by design.

Wanneer u persoonsgegevens verwerkt, moet u bij de ontwikkeling van uw producten, diensten of softwaretoepassingen ervoor zorgen dat de basisbeginselen voor verwerking van persoonsgegevens nageleefd worden.  U moet met andere woorden uw producten, diensten, tools enz.. zodanig ontwikkelen dat de betrokkenen (de gebruikers) de privacysettings naar eigen smaak kunnen aanpassen en configureren.  U moet dus bij de ontwikkeling van uw product of dienst aandacht hebben voor de naleving van de privacyregels én u moet – waar mogelijk – de mogelijkheid bieden aan de gebruikers om de privacysettings zelf aan te passen.

Denken we bijvoorbeeld aan een contactformulier op een website.  Data protection by design betekent dat u het aantal verplichte velden moet beperken tot deze die strict noodzakelijk zijn voor de uitvoering van de transactie.  U kan ook uiteraard optionele velden voorzien, maar de klant moet dan vrij kunnen kiezen om deze in te vullen of niet.

Een ander voorbeeld is pseudonymisering.  Pseudonymisering is het omzetten van gegevens die de betrokkene onmiddellijk identificeren in persoonsgegevens die de betrokkene niet onmiddellijk identificeren.  Bij pseudonymisering kunnen de persoonsgegevens niet meer onmiddellijk aan een specifieke betrokkene worden gekoppeld, zonder het gebruik van aanvullende gegevens .  Opgepast: gepseudonymiseerde gegevens blijven wel degelijk persoonsgegevens vermits de betrokkene nog steeds (onrechtstreeks) identificeerbaar is.

Data protection by default.

Gegevensbescherming door standaardinstellingen wil zeggen dat u steeds moet kiezen voor een zo strict mogelijke configuratie van de privacysettings.  Standaard moeten de privacyinstellingen zo ingesteld zijn dat enkel het hoogst noodzakelijke is aangevinkt.  Zo mag bijvoorbeeld de localisatie van de gebruiker niet standaard ingesteld staan.  Om het verschil tussen gegevensbescherming by design en gegevensbescherming by default goed te begrijpen kan u misschien het voorbeeld van social media voor ogen houden: social media voorzien zeker data protection by design maar vaak helemaal geen gegevensbescherming by default!

Pieter Pauwels

Anderen lazen ook

Moet ik mijn datacenters verhuizen naar Europa?

Mogen ondernemingen hun datacenters in Amerika of andere derde landen nog beh...

Moet ik een Data Protection Officer (DPO) aanstellen?

Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werk...

Mag ik mijn oude mailinglist nog gebruiken na de GDPR?

Kan ik mijn bestaande klanten nog mailen nadat de General Data Protection Reg...
Geïnteresseerd in onze juridische onderwerpen?

Schrijf je in voor onze nieuwsbrief en blijf op de hoogte van wat er leeft bij Pauwels Advocaten.

Loading...

Disclaimer

De informatie over juridische onderwerpen die u in deze bijdrage aantreft, zijn louter informatieve, algemene besprekingen en kunnen in geen geval als juridisch advies worden beschouwd. Pauwels Advocaten aanvaardt geen aansprakelijkheid voor enige schade die iemand zou lijden door voort te gaan op deze informatie. Als u juridisch advies wenst, dient u contact op te nemen met een gekwalificeerde advocaat die u zal adviseren op basis van uw persoonlijke situatie.