Persoonsgegevens: de uitdagingen van Privacy by Design

In deze kamp met technologische, economische en maatschappelijke uitdagingen speelt het principe Privacy by Design de rol van scheidsrechter. Het verplicht bedrijven (en overheden) namelijk om rekening te houden met de problematiek rond het beveiligen van persoonsgegevens vanaf het ontwerp van projecten die gepaard gaan met gegevensverwerking.

Het antwoord op eventuele excessen van Big Data

Big Data — gegevens kunnen verzamelen en analyseren op grote schaal — zijn een rijkdom voor bedrijven. Google is daarvan het mooiste voorbeeld: de Californische gigant dankt zijn economische succes volledig aan het verzamelen, analyseren en te gelde maken van onze persoonsgegevens bij adverteerders die hun consumenten beter willen leren ‘kennen’.

Er bestaan evenwel risico’s op grootschalige gegevenslekken, meer bepaald omdat die data automatisch worden vergaard. En net hier komt het principe van Privacy by Design in beeld.

Privacy by Design staat centraal in de Algemene Verordening Gegevensbescherming (AVG) die in 2018 van kracht werd om de nationale wetten inzake de bescherming van de persoonlijke levenssfeer te harmoniseren. Doel is elke burger garanderen dat de informatie die hij of zij op het internet verspreidt, gebruikt zal worden binnen een strikt reglementair kader dat rekening houdt met zijn of haar privéleven.

Wat zijn persoonsgegevens? We spreken van het verzamelen, opslaan of verwerken van persoonsgegevens van Europese burgers wanneer het rechtstreeks of onrechtstreeks mogelijk is om deze burgers aan de hand van die gegevens te identificeren.

Verantwoordelijkheidsbesef van bedrijven

De doelstelling van Privacy by Design is het vertrouwen tussen consumenten en bedrijven als actoren van de digitale economie te herstellen. In elke organisatie wordt de benoeming van een Data Protection Officer (DPO), die garant staat voor het correcte gebruik van die gegevens, sterk aangeraden.

Het is zijn taak om erop toe te zien dat de gegevens van de klanten, prospects en leveranciers, maar ook van de werknemers van het bedrijf worden verwerkt in overeenstemming met de wetgeving van het land waar ze zich bevinden.

Vanaf de ontwerpfase van een project (soms PoC of Proof of Concept genoemd) moet er rekening worden gehouden met het doel van het gebruik van die gegevens, de duur van het gebruik en de manier waarop ze worden verzameld (een klik, een in te vullen tekstveld, een checkbox ...).

Vraagt een juridische instantie of een consumentenvereniging een doorlichting, dan moet hij namens het bedrijf de verantwoordelijkheid nemen om te bewijzen dat het maatregelen neemt om de wetgeving na te leven.

Een voorbeeld van de toepassing vanPrivacy By Design: de klant hoeft een vakje niet meer uit te vinken op een formulier om geen mails meer te ontvangen van het bedrijf (bijvoorbeeld een wekelijkse nieuwsbrief). Het bedrijf kan die gegevens niet meer automatisch benutten zoals het wil.

Voordelen van Privacy by Design

Privacy by Design brengt wettelijke en technische beperkingen mee en vertraagt de implementatie van een project, maar er zijn toch wel heel wat voordelen aan verbonden.

Het terugdringen van de juridische risico's die gepaard gaan met een overtreding van de regelgeving, is de belangrijkste motivatie om de principes van Privacy by Design te volgen.

Te laat rekening houden met gegevensbescherming kan trouwens extra uitgaven meebrengen om zich op het einde van het project in regel te stellen, of kan het hele project zelfs op de helling zetten. Het bedrijf kan dit aspect als een concurrentievoordeel beschouwen tegenover concurrenten die geen rekening houden met de bescherming van persoonsgegevens.

Nog een voordeel van Privacy by Design is de grotere goedkeuring van de consument. Echt transparant zijn bevordert een klimaat van vertrouwen en kan consumenten aanzetten om consequent meer persoonlijke informatie te delen.

Hoe Privacy by Design toepassen?

Kiezen voor een Privacy by Design aanpak is voor een bedrijf een echte uitdaging. Technisch moet het uitgerust zijn om de gegevens te verzamelen en te analyseren, maar het moet ook kunnen aantonen dat het die gegevens correct gebruikt.

Zo weinig mogelijk gegevens

De beste manier om de risico’s op verkeerd gebruik van de gegevens zo klein mogelijk te houden, is er zo weinig mogelijk verzamelen. Een minimalistische opvatting van data is een uitstekende manier bij de start van elk nieuw project. Dankzij de ‘Privacy Enhancing Technologies’ kunnen gebruikers voortaan ook zelf kiezen welke gegevens ze meedelen aan een bedrijf, en ze zelfs anonimiseren als ze dat willen.

Gegevens pseudonimiseren

Deze techniek bestaat erin persoonsgegevens zo te verwerken dat ze niet meer aan een natuurlijke persoon kunnen worden gekoppeld zonder over extra informatie te beschikken. Zo wordt in een klantenbestand het veld ‘Naam, voornaam’ bijvoorbeeld vervangen door een unieke code die uit tien cijfers bestaat.

Anders dan anonimisering (identificatiegegevens definitief wissen) kan je pseudonimisering wel ongedaan maken.

Verantwoordelijkheid op elk echelon

Elke fase van het verwerkingsproces van gegevens moet rekening houden met het principe van Privacy by Design. Naast de rol van de DPO (cf. hierboven) is het cruciaal dat niet alleen de IT-teams, maar ook de teams van de businesslines bewust worden gemaakt van de problemen van dagelijkse gegevensverwerking. Zo voorkom je elke vorm van nalatigheid, die het bedrijf zuur kan opbreken.