Hoe maak je Privacy by Design concreet? En hoe pas je het in de praktijk toe? (gratis Blauw Boekje)

Privacy by Design en Privacy by Default. Twee termen die ondernemers sinds de invoering van de Algemene Verordening Gegevensbescherming  (AVG) geacht worden te kennen.

Weet jij wat Privacy by Design betekent?

‘Privacy by design’ houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG.

Zo staat het tenminste in de privacywet. Maar de beschrijving is zo vaag dat veel mensen nog steeds niet weten wat ze met Privacy by Design aan moeten.

Privacydeskundigen leggen Privacy by Design als volgt uit:

Privacy by Design betekent dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Tsja… Begrijp je het nu?

“Helaas is deze wetgeving complex en vaag”, schrijft Jaap-Henk Hoekman in het voorwoord van het gratis boek Privacyontwerpstrategien (Het Blauwe Boekje).

Hoekman is privacy expert, verbonden aan de vakgroep informatica van de Radboud Universiteit en de rechtenfaculteit van de Rijksuniversiteit Groningen. Hij is ook verbonden aan het Tilburg Institute of Law, Technology, and Society (TILT). Hij is principal scientist van het Privacy & Identity Lab.

Blauwe Boekje is voor bedrijfsleven en overheidsorganisaties interessant

Het Blauwe Boekje is gericht op alle organisaties (bedrijfsleven of overheid) die persoonsgegevens verwerken. Het Blauwe Boekje is met name bedoeld voor ontwerpers en bouwers van systemen die persoonsgegevens verwerken, en de mensen die voor die systemen verantwoordelijk zijn.

“De AVG biedt weinig concrete handvatten voor ontwerpers en systeembouwers”, schrijft Hoekman. “Dat is een probleem als je een systeem privacy vriendelijk wilt ontwerpen. Bijvoorbeeld door de privacy by design ontwerpfilosofie toe te passen, die vereist dat privacy- bescherming vanaf het begin af aan meegenomen wordt bij het ontwerpen en bouwen van nieuwe systemen.”

“Privacy wordt daarmee, net als beveiliging, een softwarekwaliteitsattribuut. Privacy by design is sinds 2018 wettelijk verplicht. Maar je kunt het ook gebruiken om verder te gaan dan de minimale bescherming die de wet vereist, bijvoorbeeld door te innoveren op basis van privacy.”

Hoe maak je privacy by design concreet? En hoe pas je het in de praktijk toe? Daar geeft Het Blauwe Boekje antwoord op.

Het boek beschrijft acht privacyontwerpstrategieën. Iedere strategie wordt kort uitgelegd en geïllustreerd aan de hand van praktische voor- beelden.

Daarnaast worden een aantal concrete technieken genoemd waarmee de strategie in de praktijk geïmplementeerd kan worden.

In het twee na laatste hoofdstuk wordt ingegaan op de vraag hoe je de privacyontwerpstrategieën in de praktijk toepast, en hoe ze ingepast kunnen worden in bestaande ontwikkelmethodes.

Waarom heet dit “Het Kleine Blauwe Boekje”? “Omdat blauw de kleur van vertrouwen is“, schrijft Hoekman.

Het Blauwe Boekje gratis downloaden

Je kunt Het Blauwe Boekje gratis downloaden via de site De Privacycoach van Jaap-Henk Hoekman.

Meer actueel awareness nieuws

Belastingdienst zegt niet in staat te zijn gevoelige persoonsgegevens te beveiligen. Wat gaat de AP nu doen?

De Belastingdienst kan niet garanderen dat gevoelige persoonsgegevens niet zomaar buiten de systemen belanden, schrijft directeur-generaal Jaap Uijlenbroek van de Belastingdienst in een brief aan de Autoriteit Persoonsgegevens (AP).

De toezichthouder heeft de Belastingdienst gevraagd waarom zij zich niet aan de wet houdt als het gaat om databeveiliging.

Autoriteit Persoonsgegevens vroeg in juli fiscus om opheldering

De Autoriteit Persoonsgegevens concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse.

Uijlenbroek schrijft in de brief aan de Autoriteit Persoonsgegevens dat dat ‘technisch niet mogelijk is’.

Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.

Staatssecretaris zegt dat Belastingdienst pas volgend jaar aan AVG kan voldoen

Staatssecretaris Menno Snel van Financiën liet eerder weten dat de fiscus pas volgend jaar aan de Algemene Verordening Gegevensbescherming (AVG) kan voldoen. Daardoor is de fiscus fors in overtreding.

Grote vraag is wat de AP nu gaat doen. De Autoriteit Persoonsgegevens zegt ‘niet te schromen om handhavingsmiddelen in te zetten als de overtredingen niet beëindigd zijn’. Dat varieert van een waarschuwing tot boetes of een last onder dwangsom.

Wat gaat de Autoriteit Persoonsgegevens nu doen?

Aangezien de Belastingdienst al jarenlang op de hoogte is van de problemen – en de overheid net als andere organisaties aan de Europese privacyregels moet voldoen – lijkt het onoverkoombaar dat de Autoriteit Persoonsgegevens gaat optreden.

Onthulling tv-programma Zembla

Begin 2017 onthulde het tv-programma ‘Zembla’ dat bij een speciale afdeling van de Belastingdienst de beveiliging volstrekt onvoldoende was.

 

Hoogleraar computerbeveiliging Bart Jacobs verbaasd over verklaring Belastingdienst

Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit zegt in Trouw verbaast te zijn over de verklaring van Uilenbroek.

“Dit gaat om systemen waarin alle data van de Belastingdienst zijn opgeslagen. Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn.”

Of er sprake is van voldoende beveiliging hangt af van de manier waarop medewerkers daar persoonlijk invulling aan geven, zegt Jacobs.

“Ik mag hopen dat er geen enorme databestanden via de e-mail worden verstuurd. En dat gegevens die wel worden verstuurd binnen de systemen van de Belastingdienst blijven.”

Tweede Kamerlid Pieter Omtzigt gaat debat aanvragen

Tweede Kamerlid Pieter Omtzigt (CDA) noemt het gebrek aan beveiliging ‘heel ernstig’. Hij zegt een debat aan te gaan vragen.

“Een jaar geleden werden al verbeteringen beloofd die nog steeds niet plaatsvinden. De Belastingdienst heeft een van de meest privacy­gevoelige datasets van Nederland. In de omgang daarmee lijken ze privacy totaal niet serieus te nemen.”

Meer actueel awareness nieuws