Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

3.11 Privacy by Default en by Design

 

Zie: AVG.art.25

Deze paragraaf is met name van belang voor organisaties die zelf een ICT applicatie hebben gemaakt en in feite als V opereren voor hun klanten (VV

Maak uw organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. 

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.  

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: 

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

 

In deze paragraaf worden alle maatregelen opgesomd:  

  1. Minimaliseer het aantal gegevenselementen, b.v.:
    1. als een geboortedatum niet nodig neem deze dan ook niet op in het datamodel,
    2. als u altijd nieuwsbrieven stuurt maar nooit gepersonaliseerde (geen naamstelling in de mail), overweeg dan om de naam van een persoon niet meer te vragen omdat u aan het emailadres voldoende heeft,
    3. als op uw website(s),  ingeschreven kan worden voor b.v. de nieuwsbrief of een bestelling gedaan kan worden, zorg ervoor dat  het vakje van doornemen Privacy-statement default leeg is, en dwing af dat men akkoord gaat met het privacy-statement.
  2. zorg dat er een uitgebreid rechtensysteem (autorisatie rollen e.d.) beschikbaar is opdat medewerkers van uw klanten kunnen inregelen dat men alleen die data beschikbaar krijgt die nodig is voor de verwerking.  

Een voorbeeld: van mogelijkheden, stel het gaat om een zorgdossier met ca. 1000 mantelzorgers wonenden in Drachten

    1. medewerker A, een huisarts,  ziet alleen mantelzorgers in Drachten Oost,
    2. medewerker B, reumatoloog ziekenhuis, heeft alleen toegang tot alle mantelzorgers die patiënten met reuma ondersteunen,
    3. medewerker C, afdeling marketing maakt  nieuwsbrieven, ziet van alle mantelzorgers alleen de Naam en Emailadres en niet de medische gegevens van de patiënten.

Een ander voorbeeld betreft de gezondheidsgegevens van de student. Zo is een dyslexieverklaring voor maximaal 3 medewerkers toegankelijk, deze wordt bekeken en samengevat tot 4 of 5 regels (naam instelling die de dyslexie verklaring heeft afgegeven, de datum, etc.) en vervolgens is de beheersmaatregel “vanwege een beperking mag de student 20 minuten langer doen over een examen” voor alle docenten van de afdeling zichtbaar.

  1. Bij het verwijderen van een betrokkene op eigen verzoek:  worden dan ook alle persoonsgegevens verwijderd in de (incrementele) back-up’s?
  2. Betrokken mag eisen om zijn dossier digitaal te ontvangen, data portabiliteit.
  3. Het moet transparant zijn wat er met de persoonsgegevens gedaan wordt, denk hierbij ook aan:
    1. Persoonsgegevens worden gebruikt voor doeleinden waar de betrokkenen niet van op de hoogte zijn.
    2. Het koppelen van systemen kan ertoe leiden dat meer persoonsgegevens worden gebruikt dan noodzakelijk.
  4. Persoonsgegevens worden niet of onjuist gemanaged waardoor er een wildgroei aan bestanden met persoonsgegevens ontstaat; hierdoor stijgen de veiligheidsrisico’s. 

    Vorige pagina      Index      Volgende pagina

 

 

 

Afdrukken