Privacy by design and by default
De AVG verplicht verwerkingsverantwoordelijken om te werken volgens de principes van privacy by design en privacy by default. Dat betekent dat er bijvoorbeeld bij het ontwerpen van een informatiesysteem of nieuw product rekening gehouden wordt met privacy (design). Ook moet ervoor gezorgd worden dat er standaard zo min mogelijk persoonsgegevens worden verwerkt (default).
Maatregelen
Volgens artikel 25 AVG moeten er door het hele proces van het verwerken van persoonsgegevens technische en organisatorische maatregelen genomen worden om aan de beginselen te voldoen.
Zulke technische en organisatorische maatregelen zijn bijvoorbeeld:
- het pseudonimiseren van persoonsgegevens;
- transparantie met betrekking tot de functies en de verwerking van de persoonsgegevens;
- het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en;
- het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.
CERTIFICERINGSMECHANISME
De Autoriteit Persoonsgegevens of een nationale accreditatie-instantie kan een certificeringsorgaan accrediteren, om certificaat te verstrekken waaruit blijkt dat een verwerkingsverantwoordelijke of verwerker in overeenstemming met de AVG werkt.
Een certificeringsmechanisme dat ingevolge artikel 42 AVG is goedgekeurd, zou gebruikt kunnen worden als element om aan te tonen dat aan de voorschriften voor gegevensverwerking door ontwerp en door standaardinstellingen voldaan is.
MEER WETEN OVER privacy by design en by default?
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
Stel direct uw vraag