U bent hier

OR & Medezeggenschap
Privacy en AVG14. Privacy by design en privacy by default14.2 Privacy by default
Voor OR & Medezeggenschap

14.2 Privacy by default

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

niet verwarren

Privacy by design heeft een nauwe verwant: privacy by default. Ook privacy by default is verplicht onder de AVG. Hoewel de termen op elkaar lijken, moet uw organisatie ze niet verwarren.

Zo kan een organisatie denken dat zij door maatregelen te nemen die de verplichtingen voor privacy by design afdekken, ook voldoet aan de regels voor privacy by default, maar dat is niet zo.

Net als bij privacy by design geldt dat u al tijdens het ontwikkelen van een product of dienst rekening moet houden met de AVG om nare verrassingen en extra kosten achteraf te voorkomen.

Verschil

toegankelijkheid

Het verschil wordt duidelijk als u de wettekst over privacy by default erbij pakt. Artikel 25 bepaalt het volgende:

  • de verantwoordelijke organisatie moet passende beveiligingsmaatregelen treffen om ervoor te zorgen dat alleen de persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel van de verwerking;
  • die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan;
  • deze maatregelen zorgen er met name voor dat de persoonsgegevens niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk worden gemaakt.

Verstoppen

Het komt er eigenlijk op neer dat de standaardinstellingen van uw producten of diensten privacyvriendelijk moeten zijn. Verrassingen zijn uit den boze en uw organisatie mag de privacyinstellingen niet verstoppen. Geen opt-out, maar opt-in dus (zie kader).

Uitstappen versus instappen

Privacy by default betekent in de praktijk dat de zogeheten opt-out taboe is. Organisaties zullen voor het verzamelen van persoonsgegevens een opt-in moeten vragen; alleen als een persoon zich vrijwillig ergens voor heeft aangemeld, mag u hem abonneren op een dienst of product.

Bij een opt-out wordt iemand zonder toestemming geabonneerd op een product of dienst en moet hij zelf aangeven aan de afzender dat hij er niet op zit te wachten. Die manier van werken kan organisaties een forse boete opleveren na 25 mei.

Vakjes

aangevinkte vakjes

data verzamelen

Wat betekent privacy by default concreet voor uw organisatie? Privacy by default houdt bijvoorbeeld in dat uw organisatie onder de AVG:

  • niet meer mag werken met vooraf aangevinkte vakjes, waarbij gebruikers automatisch akkoord gaan met het verwerken van persoonsgegevens tenzij ze het vinkje zelf weghalen. Mensen moeten zelf actief het vakje aanvinken als ze zich bijvoorbeeld willen abonneren op uw nieuwsbrief;
  • bij de ontwikkeling van software rekening houdt met het feit dat u geen onnodige data mag verzamelen. Een rekenmachine-app mag dus geen data verzamelen over het belgedrag van een gebruiker, omdat die informatie niet nodig is om de app goed te laten functioneren;
  • niet meer om geboortedatum en telefoonnummer moet vragen als dat niet relevant is voor uw dienstverlening. Denk aan het mailen van een whitepaper, waarvoor u alleen de naam en het e-mailadres van de ontvanger nodig heeft;
  • profielen of accounts op de organisatiewebsite of het intranet niet standaard op ‘delen’ mogen staan. Gebruikers moeten zelf instellen dat zij hun gegevens willen delen met anderen.