U bent hier

Onderneming & Salaris
Personeelsadministratie6. Veilig gegevens beheren6.1 Privacy by design
Voor Onderneming & Salaris

6.1 Privacy by design

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

maatstaf

Onder de AVG is gegevensbescherming door ontwerp – privacy by design – de maatstaf. Hierbij geldt dat ieder nieuw stukje software onder de loep moet worden genomen, zodat met het gebruik ervan wordt voldaan aan de privacyregels.

risico’s

Dit houdt in dat uw organisatie rekening moet houden met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de verwerking. Ook moet uw organisatie rekening houden met de waarschijnlijkheid en de ernst van risico’s voor de rechten en vrijheden van de personen bij wie de persoonsgegevens horen, in dit geval de werknemers.

op doeltreffende manier

Verder behoort uw organisatie zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf passende beveiligingsmaatregelen te treffen en zodanig te werk te gaan dat de AVG-beginselen – zoals het zo min mogelijk gegevens verwerken – op een doeltreffende manier worden uitgevoerd. Bouw als organisatie de nodige waarborgen in, zodat u de AVG naleeft en de rechten van de betrokkenen goed beschermt.

Privacy by design zal voor veel organisaties een behoorlijke uitdaging zijn, niet alleen op technisch gebied, maar ook organisatorisch. Het kan daarom verstandig zijn om een gespecialiseerde (sparring)partij in te schakelen.

Maatregelen

In de AVG is opgenomen dat organisaties al tijdens het ontwikkelen van producten en diensten privacyverhogende maatregelen moeten treffen en dataminimalisatie horen toe te passen. Dataminimalisatie houdt in dat uw organisatie niet méér gegevens verzamelt dan nodig is voor het betreffende doel, en dus alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het doel van de verwerking.

Een voorbeeld van privacyverhogende maatregelen is het gebruiken van privacy enhancing technologies (PET). Dit zijn tools die kunnen helpen bij borgen van privacy en beveiliging in informatiesystemen.

Voorbeeld

technologie

De Autoriteit Persoonsgegevens (AP) geeft op haar website een voorbeeld van een project waarbij privacy by design verplicht is: radio frequency identification (RFID). RFID is een technologie die het mogelijk maakt om van een afstand informatie op te slaan op en uit te lezen van zogenoemde RFID-tags. Deze tags kunnen zich bevinden op of in objecten (bijvoorbeeld retailproducten), dieren (denk aan de agrarische sector), maar ook bij mensen (denk aan chipkaarten, autosleutels of polsbandjes in de medische sector).

structureel mensen volgen

Doordat het met deze RFID-technologie mogelijk is om structureel mensen te volgen, is het wenselijk om privacy by design toe te passen, bijvoorbeeld door alle verzamelde persoonsgegevens te pseudonimiseren.

Het pseudonimiseren van gegevens

voorwaarde

Met pseudonimisering wordt in de AVG bedoeld: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Voorwaarde is dat deze aanvullende gegevens apart worden bewaard en er passende beveiligingsmaatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een persoon kunnen worden gekoppeld.

Een voorbeeld van pseudonimisering is het vervangen van burgerservicenummers door een code, waarbij de sleutel van die code apart moet worden opgeslagen.