Privacy by Design en Privacy by Default
De begrippen 'privacy by design' en 'privacy by default' hebben binnen de AVG een belangrijke rol. Wil je met je onderzoek voldoen aan de AVG, zorg dan dat je je onderzoek inricht op basis van deze deze principes.
Privacy by Design
De beschrijving van Privacy by Design vind je terug in de AVG in Artikel 25, lid 1.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
Met Privacy by Design wordt dus bedoeld dat je zorgvuldig rekening houdt met privacy eisen, voorafgaand aan de verwerking van persoonsgegevens, maar ook tijdens de verwerking. In het geval van de onderzoekspraktijk denk je al bij het 'ontwerpen' van je onderzoek na over te nemen maatregelen voor het beschermen van de privacy van je deelnemers. Denk bijvoorbeeld aan de volgende zaken:
- je kijkt kritisch naar je onderzoeksvraag en zorgt dat je alleen persoonsgegevens verzamelt die je daadwerkelijk nodig hebt (dataminimalisatie)
- je zorgt dat persoonsgegevens die je verzamelt direct veilig worden opgeslagen en alleen toegankelijk zijn voor bevoegden
- je zorgt dat je kennis hebt over de goedgekeurde en ondersteunde methodes om persoonsgegevens te delen of versturen en je gebruikt ook alleen die methodes
- je weet van tevoren welke bewaartermijnen er gelden, zodat gegevens niet onnodig worden bewaard
- je kijkt welke technische en/of organisatorische maatregelen je moet treffen om Privacy by Default te implementeren
Privacy by Default
De beschrijving van Privacy by Design vind je terug in de AVG in Artikel 25, lid 2.
De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Privacy by Default houdt in dat privacy de standaard is. Het betekent dat persoonsgegevens automatisch worden beschermd zonder dat mensen daar iets voor hoeven te doen. Ook is bijvoorbeeld geautomatiseerd dat alleen die typen en hoeveelheid persoonsgegevens worden verzameld die nodig zijn voor het doel van de verwerking, en dat deze gegevens niet langer toegankelijk zijn en worden bewaard dan nodig.