U bent hier

Onderneming & Salaris
Personeelsadministratie6. Veilig gegevens beheren6.2 Privacy by default
Voor Onderneming & Salaris

6.2 Privacy by default

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

nauw verwant

Zoals gezegd moet uw organisatie zich onder de AVG ook houden aan de gegevensbescherming door standaardinstellingen – privacy by default – wat nauw verwant is aan privacy by design.

Grofweg houdt privacy by default in dat de standaardinstellingen van uw producten of diensten privacyvriendelijk moeten zijn. Uw organisatie moet dus net als bij privacy by design al tijdens het ontwikkelen van een product of dienst rekening houden met de AVG om nare verrassingen en extra kosten achteraf te voorkomen.

specifiek doel

Hiervoor moeten passende beveiligingsmaatregelen worden getroffen om te regelen dat uw organisatie alleen de persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen er met name voor dat de persoonsgegevens niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk worden gemaakt, dus niet standaard openbaar zijn.

Hoewel de termen op elkaar lijken, moet uw organisatie ze niet verwarren. Het is namelijk niet zo dat uw organisatie door maatregelen te nemen die de verplichtingen voor privacy by design afdekken ook voldoet aan de regels voor privacy by default!


Instappen

taboe

Privacy by default betekent in de praktijk dat de zogenoemde opt-in de maatstaf is en opt-out taboe is. Het werken volgens opt-out kan organisaties een forse boete opleveren onder de AVG.

vrijwillig

Uw organisatie moet werken volgens het systeem van instappen in plaats van uitstappen. Een persoon moet zich ergens vrijwillig voor aanmelden of toestemming voor geven. U mag dus niet iemand zonder toestemming abonneren op een product of dienst of toestemming aanwezig achten voor het verwerken van persoonsgegevens, waarbij hij zelf moet aangeven dat hij hier niet op zit te wachten.

Uw organisatie mag onder de AVG niet volgens het systeem van opt-out werken, maar zal voor het verzamelen van persoonsgegevens om een opt-in van de betrokkene moeten vragen.

zelf actief aanvinken

informatie niet nodig

niet standaard delen

Concreet betekent privacy by default voor uw organisatie bijvoorbeeld het volgende:

  • Er mag niet meer worden gewerkt met vooraf aangevinkte vakjes, waarbij gebruikers automatisch akkoord gaan met het verwerken van persoonsgegevens tenzij ze het vinkje zelf weghalen. Mensen moeten zelf actief het vakje aanvinken als ze zich bijvoorbeeld willen abonneren op uw nieuwsbrief.
  • Er moet bij de ontwikkeling van software rekening worden gehouden met het feit dat uw organisatie geen onnodige data mag verzamelen. Een rekenmachine-app mag dus geen data verzamelen over het belgedrag van een gebruiker, omdat die informatie niet nodig is om de app goed te laten functioneren.
  • Er mag niet meer om bijvoorbeeld een geboortedatum worden gevraagd als dat niet relevant is voor uw dienstverlening. Denk aan het mailen van een whitepaper, waarvoor uw organisatie alleen de naam en het e-mailadres van de ontvanger nodig heeft.
  • Profielen of accounts op de organisatiewebsite of het intranet mogen niet standaard op ‘delen’ staan. Werknemers moeten zelf instellen dat zij hun gegevens willen delen met anderen.