In mei 2018 is het zover, de komst van de langverwachte Algemene Verordening Gegevensbescherming. Voor wie hem nog niet kent, de AVG zal onze Wet Bescherming Persoonsgegevens (‘Wbp’) gaan vervangen en zal hoogstwaarschijnlijk de komende decennia binnen de EU het juridische kader gaan vormen wat betreft het verwerken van persoonsgegevens. Mocht u twijfelen over de toepasbaarheid van deze wet op uw organisatie, doe dat dan vooral niet. Gezien de directe werking van deze verordening, zal u in 2018 meteen moeten voldoen aan diens nieuwe regels. Zodoende zullen er o.a. strengere eisen gesteld worden aan de organisatorische en technische maatregelen die organisaties moeten treffen om de veiligheid van persoonsgegevens te waarborgen. De AVG introduceert twee ‘nieuwe’ methodes aan de hand waarvan een dergelijk beveiligingsniveau bereikt kan worden; ‘privacy by design’ en privacy by default’.
Beide methodes lijken erg veel op elkaar aangezien ze er allebei toe dienen om privacy al vanaf het moment van ontwikkeling tot aan de eindgebruiker zoveel mogelijk te integreren in diensten en producten. Het verschil zit hem hoofdzakelijk in de toepasbaarheid. Waar ‘privacy by design’ zich voornamelijk richt op de ontwikkeling van (nieuwe) producten of diensten en dus verlangt dat je gedurende dit proces zoveel mogelijk rekening houdt met privacy aspecten, richt ‘privacy by default’ zich meer op producten of diensten waar gebruikers zelf de mogelijkheid hebben om persoonsgegevens te delen. Denk daarbij aan social-media platforms. ‘Privacy by default’, zoals de naam al doet vermoeden, verwacht namelijk van dergelijke organisaties dat ze de instellingen en functies van hun producten of diensten, standaard (by default) op de hoogst mogelijk privacy stand hebben staan. Dit betekent dus dat er, indien mogelijk, altijd om toestemming gevraagd moet worden en dat er zo min mogelijk persoonsgegevens moeten worden verzameld. In essentie dus twee verschillende concepten, maar in de praktijk niet los van elkaar te zien.
Wat betekent dit voor de praktijk?
Mocht u een social-media platform hebben, zoals Facebook, Instagram of dergelijke, dan kan het zijn dat er van u verwacht wordt dat u uw standaard privacy instellingen moet aanpassen. Waar normaal gesproken uw standaard privacy instellingen op ‘openbaar’ staan, zal dit onder de AVG veranderd moeten worden naar ‘privé’. De reden hiervoor is dat veel gebruikers van dergelijke platforms zelden de moeite nemen om zich: 1) te verdiepen in dergelijke instellingen, en 2) deze aan te passen. Op die manier wil de Europese wetgever een laatste stap creëren voor de gebruiker om te bepalen of hij zijn gegevens daadwerkelijk openbaar wil delen.
Niet alleen de Facebook’s van deze wereld zullen aan het werk moeten. Alle diensten en organisaties die gebruik maken van standaard privacy instellingen die betrekking hebben op persoonsgegevens worden door de AVG geraakt. Dergelijke diensten en organisaties zullen dus per applicatie of functionaliteit moeten beoordelen of hun standaardinstellingen wel privacy vriendelijk genoeg zijn. Denk daarbij aan de verkregen toestemming, reeds aangevinkte vakjes of de hoeveelheid en soort gegevens die verzameld worden. Een druk jaar dus voor ‘data driven’ organisaties.
