PTI
IN HET
NIEUWS

Privacy by Design

23-05-2017

Er komt een nieuwe Europese wet op het gebied van gegevensbescherming, de Algemene Verordening Gegevensbescherming (AVG), aan. Die wordt in mei 2018 van kracht. Deze wet zorgt onder meer voor een versterking en uitbreiding van privacy rechten van consumenten en burgers en meer verantwoordelijkheid voor de organisatie. Daarover organiseerde PTI in het MindCenter in Vianen het Privacy & Data Event. Deskundigen op het gebied van wetgeving, IT en gedrag gaven een presentatie. Drie belangrijke componenten om succesvol Privacy by Design binnen organisaties toe te passen en te kunnen voldoen aan de eisen die de nieuwe privacy wet stelt.

 

Johan Rambi, Corporate Privacy & Security advisor bij Alliander gaf eerst antwoord op de vraag: “wat is privacy?”. Johan Rambi: ‘Privacy is eerbiediging van de persoonlijke levenssfeer, ook wel “het recht om met rust gelaten te worden.” Privacy valt onder de grondwet. Privacy is het recht van het individu en dataprotectie is de plicht van de verantwoordelijke. De bescherming van persoonsgegevens en de integriteit van de consument heeft hoge prioriteit binnen de EU. Onder de nieuwe Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation - GDPR) heeft elke consument en burger het recht te weten hoe persoonsgegevens worden gebruikt en het recht om zijn of haar gegevens volledig te laten verwijderen.’

 

Privacy by Design

Privacy by Design houdt in dat iedere organisatie bij de ontwikkeling van producten en diensten aandacht besteedt aan privacy verhogende maatregelen en rekening houdt met het verwerken van alleen de persoonsgegevens die noodzakelijk zijn. ‘Belangrijk is dat ‘Privacy & Security’ van bovenaf in de organisatie worden verankerd’, zegt Johan Rambi. ‘Het is een bestuurlijke verantwoordelijkheid. Privacy moet door iedereen in de organisatie gedragen worden en in de genen van de medewerkers gaan zitten. Dat is een voorwaarde om succesvol aan de nieuwe Europese Privacy regels te kunnen voldoen. Want het gaat niet alleen om kennis, maar ook om houding en gedrag.’

 

Privacy vraagt geen “add-on” oplossing

Jan Rochat, Chief Technology Officer bij AET – specialist in toegepaste cryptografie en digitale  beveiligingsoplossingen – zoomde verder in op het onderwerp ‘Privacy’. Hij stelde dat data overal zijn en privacy geen “add-on” oplossing vraagt. Jan Rochat: ‘Welke gegevens worden verzameld en zijn ze daadwerkelijk van belang voor de bedrijfsvoering en worden ze gebruikt met het doel waarvoor ze verzameld zijn? Bewaar gegevens niet onnodig lang, dat geldt ook voor e-mail.’

 

Naast technische aspecten vraagt een goed privacy beleid ook om organisatorische zaken. Denk aan:

  • Beoordelen van de rechtmatigheid (dataminimalisatie, Privacy by Design)
  • Toegangsbevoegdheden van functionarissen of personen
  • Toezicht op uitvoering: Data Privacy Officer
  • Rubricering van gegevens
  • Register van verwerkingsactiviteiten
  • Audits
  • Financiën: regelen reservering of verzekering voor privacy gerelateerde calamiteiten
  • Inkoop: Contracten met derden Privacy-proofmaken en ingekochte diensten
     

Jan Rochat: ‘Privacy is niet even iets wat je erbij kunt doen. Dat vraagt om een serieuze aanpak. Organisaties die nog niet met de nieuwe GDPR bezig zijn, adviseer ik haast te maken. Het is eigenlijk al twee over twaalf in plaats van twee voor twaalf.’

 

Mensen mee krijgen

De presentatie van Kevin de Goede, werkzaam bij D&B, ging over gedragsbeïnvloeding. Een belangrijk onderwerp als het gaat om het creëren van draagvlak binnen organisaties voor de nieuwe GDPR. Kevin de Goede: ‘Het gaat er om, om mensen mee te krijgen. Mensen hebben beperkt inzicht in waarom ze doen wat ze doen. Mensen blijven in het proces de zwakste schakel. Menselijke fouten zijn onvermijdelijk. Veel gedrag gaat automatisch. Ons (bewuste) brein heeft een beperkte capaciteit. Weet welke bezwaren mensen hebben en neem die weg. Pas op met dwingende retoriek en pas op met straffen. Laat mensen zelf denken en betrek medewerkers bij het proces. Zorg ervoor dat de invoering van GDPR beter aansluit bij hoe mensen werken. Dat is de beste manier voor een succesvolle implementatie en het blijvend besef wat Privacy en Security betekenen binnen de eigen organisatie.’

Door: Peter Zwetsloot | PZC

Beeld: Giuseppe Toppers | Danto