De AVG verplicht de verwerkingsverantwoordelijke om te werken volgens de principes van privacy by design en privacy by default. Dat betekent dat er bijvoorbeeld bij het ontwerpen van een informatiesysteem of nieuw product rekening wordt gehouden met privacy (design). Ook moet ervoor gezorgd worden dat er standaard zo min mogelijk persoonsgegevens worden verwerkt (default). Dat betekent dat de standaard instellingen op de meest gunstige privacyvoorwaarden staan voor de betrokkene en de betrokkene vervolgens zelf kan kiezen meer gegevens te delen (of niet). De betrokkene is degene van wie de persoonsgegevens worden verwerkt.
Technische en organisatorische maatregelen
Artikel 25 van de AVG stelt dat er bij het verwerken van persoonsgegevens altijd technische en organisatorische maatregelen genomen worden om aan de verwerkingsbeginselen te voldoen.
Zulke technische en organisatorische maatregelen zijn bijvoorbeeld:
- Het versleutelen van persoonsgegevens;
- Transparantie met betrekking tot de functies en de verwerking van de persoonsgegevens;
- Het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking;
- Het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
AVG-certificaat
Verwerkingsverantwoordelijken en verwerkers kunnen een AVG-certificaat aanvragen bij een certificatie-instelling die beoordeelt of het product, proces of dienst hiervoor in aanmerking komt. Met dit certificaat kunnen verwerkingsverantwoordelijken en verwerkers aantonen dat zij persoonsgegevens in overeenstemming met de AVG verwerken.
Een certificaat dat volgens artikel 42 van de AVG is goedgekeurd, zou gebruikt kunnen worden als element om aan te tonen dat aan de voorschriften voor privacy by design en privacy by default voldaan is. Ondanks het certificaat is het een plicht voor de verwerkingsverantwoordelijke om continue te blijven zorgen voor naleving van de AVG.
