Privacy

Privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen. Niet achteraf erop geplakt, maar als uitgangspunt. Klinkt vanzelfsprekend, maar is in de praktijk lang niet altijd het geval — veel privacyellende ontstaat juist door achteraf-denken.

In Normity is privacy by design niet alleen een onderwerp om vast te leggen — we passen het zelf toe. Bijvoorbeeld door support-toegang standaard uit te zetten en bewust toestemming te vragen.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Privacy

Privacy by design (PbD) is een van de twee hoekstenen uit de AVG — samen met privacy by default. Het principe is bedacht door de Canadese privacy-deskundige Ann Cavoukian en bestond al lang voor de AVG. De AVG heeft het wettelijk verplicht gemaakt voor elke organisatie die persoonsgegevens verwerkt.

Wat betekent privacy by design concreet? Het gaat om zeven onderliggende principes:

  • Proactief, niet reactief — voorkomen dat privacy-risico's ontstaan, in plaats van ze achteraf oplossen
  • Privacy als standaard — gebruikers krijgen automatisch maximale privacy
  • Privacy verankerd in het ontwerp — niet als toevoeging, maar als integraal onderdeel
  • Volledige functionaliteit — privacy mag niet ten koste gaan van andere functies (geen valse trade-offs)
  • End-to-end beveiliging — van verzameling tot verwijdering, de hele levenscyclus
  • Zichtbaarheid en transparantie — betrokkenen kunnen zien wat er gebeurt
  • Respect voor de gebruiker — alles draait om de belangen van de betrokkene

In de praktijk betekent dit: bij het inrichten van een nieuw systeem, proces of dienst neem je privacy mee als ontwerpcriterium. Welke gegevens heb je echt nodig? Hoe lang moet je ze bewaren? Wie krijgt toegang en op basis waarvan? Wat gebeurt er met de gegevens als de relatie eindigt? Vragen die je beter aan de voorkant beantwoordt dan na afronding van een implementatie.

Privacy by design is niet alleen een verplichting, maar ook een commercieel argument. Steeds meer klanten en opdrachtgevers waarderen organisaties die privacy serieus nemen. En achteraf-werken aan privacy is bijna altijd duurder dan vooraf-meedenken. Bij twijfel: een DPIA (Data Protection Impact Assessment) is een goed instrument om vroegtijdig zicht te krijgen op privacy-risico's.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen

Veelgestelde vragen over Privacy by design

De vragen die we het vaakst krijgen over Privacy by design, met korte en feitelijke antwoorden.

Privacy by design (ook wel Data Protection by Design) is een ontwerpprincipe uit de AVG (artikel 25) dat privacy al vanaf de eerste schets van een product, dienst of proces meeneemt, in plaats van achteraf toe te voegen. De zeven grondprincipes — onder andere dataminimalisatie, transparantie en end-to-end beveiliging — zijn oorspronkelijk ontwikkeld door Ann Cavoukian in 1995.

Ja. Onder artikel 25 AVG zijn verwerkingsverantwoordelijken verplicht passende technische en organisatorische maatregelen te nemen die privacy borgen vanaf het ontwerp en standaard ('by design and by default'). Dat geldt voor elk nieuw systeem, elke nieuwe dienst en elke nieuwe verwerking. De Autoriteit Persoonsgegevens toetst hierop.

Privacy by design gaat over het hele ontwerpproces: privacy zit er vanaf de eerste schets in. Privacy by default gaat specifiek over de standaardinstellingen: bij aanvang mogen alleen de minimaal noodzakelijke gegevens worden verwerkt, totdat de betrokkene zelf meer toestaat. Beide zijn verplicht onder AVG artikel 25.

De zeven principes van Cavoukian: 1) proactief, niet reactief, 2) privacy als standaardinstelling, 3) privacy ingebed in het ontwerp, 4) volledige functionaliteit (positive-sum, niet zero-sum), 5) end-to-end beveiliging, 6) zichtbaarheid en transparantie, 7) respect voor de privacy van gebruikers. Samen vormen ze een ontwerpfilosofie.

Begin met een DPIA of privacy-scan vóór het ontwerp. Inventariseer welke persoonsgegevens nodig zijn en minimaliseer. Werk standaardinstellingen uit naar de meest privacy-vriendelijke optie. Kies architectuurkeuzes die pseudonimisering en encryptie ondersteunen. Documenteer afwegingen en betrek privacy-experts vanaf het begin, niet als review achteraf.

Een DPIA (Data Protection Impact Assessment) is een voorgeschreven risicoanalyse voor verwerkingen met hoge privacyrisico's. De DPIA is een belangrijke uitvoering van privacy by design: je identificeert risico's voor betrokkenen, weegt maatregelen af en documenteert waarom je ontwerpkeuzes hebt gemaakt. Vaak verplicht bij grootschalige verwerking, monitoring of nieuwe technologie.

Pseudonimisering (gegevens koppelen via ID zonder directe identificatie), encryptie (bij opslag en transport), dataminimalisatie (alleen wat nodig is), access control (wie mag wat), logging en monitoring (misbruik detecteren), automatische verwijdering na bewaartermijn en safe defaults bij cookies en tracking. De AVG noemt deze expliciet als voorbeelden.

ISO 27701 bevat privacy by design als expliciete control. Een ISO 27701-gecertificeerde organisatie kan aantoonbaar maken dat privacy in het ontwerpproces is meegenomen. Dat is ook belangrijk voor AVG-compliance: privacy by design is geen eenmalig project, maar een structurele werkwijze die systematisch moet worden geborgd.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management