Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Systeembeoodelingsonderzoek

Privacy by design & by default

Een organisatie past verplicht de uitgangspunten van privacy by design en privacy by default toe in de praktijk (zie: lijst aandachtspunten AP). Vanuit het financieel toezicht is deze verplichting er niet. Het is wel praktisch compliance by design en compliance by default in de praktijk toe te passen. Bovendien is de organisatie van de compliance functie én de organisatie van de bedrijfsactiviteiten effectiever en kostenefficiënter als het uitgangspunt compliance/privacy by design en compliance/privacy by default is.

Voor privacy by design (in artikel 25 en overweging 78 Avg, spreken wij over gegevensbescherming door ontwerp en door standaardinstellingen) komt de wetgever niet verder dan:

  • Organisaties aanmoedigen om in vroeg stadium van het ontwerp van de verwerkingsactiviteiten technische en organisatorische maatregelen te vinden die nodig zijn om de principes inzake privacy en gegevensbescherming vanaf het begin te waarborgen (“gegevensbescherming door ontwerp”).
  • Standaard (by default) zorgen organisaties ervoor dat persoonsgegevens worden verwerkt met het hoogste niveau van privacybescherming (bijvoorbeeld alleen de voorgestelde gegevens worden verwerkt, korte opslagperiode, beperkte toegankelijkheid persoonsgegevens); en
  • Standaard (by default) zijn de persoonsgegevens niet toegankelijk voor een onbeperkt aantal personen (“gegevensbescherming door standaardinstellingen”).

Aandachtspunten

Er zijn twee belangrijke aandachtspunten die in de informatie-architectuur terug moeten komen:

  • Participatie van de betrokkene en onder regie deelt de betrokkene persoonsgegevens; en
  • Het toezichtsarrangement gebaseerd op het melden van incidenten en of datalekken heeft een impact op de compliance met de wetgeving: minder risk en meer evidence based.

Ad 1. Duthler Associates stelt – in navolging van de wet – de participatie van de betrokkene bij het verwerken van persoonsgegevens centraal. De gegevensbescherming door ontwerp en door standaardinstellingen moet dan ook aansluiten op de regie op persoonsgegevens door de betrokkene en dat is niet zonder verplichtingen over en weer.

Het Europese wettelijk kader beschermen persoonsgegevens vraagt aan de verwerkingsverantwoordelijke architecturen aan te passen waarbij de regie van eigen (persoons)gegevens ligt bij de persoon en niet bij de verwerkingsverantwoordelijke.

De persoon, de betrokkene, wenst zijn gegevens te delen maar dan stelt de organisatie, waarmee de gegevens gedeeld worden, kwaliteitseisen. Wij zouden kunnen zeggen dat de persoon een rol krijgt bij het borgen van de kwaliteit van (persoons)gegevens.

Ad 2. Het (achteraf) overleggen van bewijs van effectieve werking van getroffen beheers- en beveiligingsmaatregelen gericht op het nakomen van de wet vraagt om een sluitende administratie met dit bewijs. Naast deze structurele beheersmaatregelen gericht op compliance zijn er een reeks van maatregelen op het vlak van compliance/ privacy by design. Run time enforcement & data in rest, end to end pair wise pseudonimiseren en gebruik maken van een trusted network zijn voorbeelden van maatregelen die op verzoek van de Europese commissie zijn uitgeprobeerd.

Een module van de opleiding functionaris voor gegevensbescherming is gericht op gegevensbescherming door ontwerp en door standaardinstellingen.

Systeembeoordelingsonderzoek

Het beoordelen van systemen op compliance by design en compliance by default (inclusief op de eisen die voortvloeien uit wetgeving gericht op het beschermen van persoonsgegevens) kan betrekking hebben op bestaande informatiesystemen/ IT-services, ontwerpen van systemen, programma’s van eisen van systemen of systemen die ontwikkeld of geïmplementeerd worden. De betrokkenheid van de professionals bij het ontwikkelen, selecteren of implementeren van systemen kan beoordelend of adviserend zijn.

De onderzoeken bestaan uit een opdracht & opdrachtbevestiging, het onderzoek en de rapportage van bevindingen en conclusies.

Systeembeoordelingsonderzoeken kunnen gericht zijn op compliance en of het verstrekken van advies. De professionals van Duthler Associates kunnen dergelijke onderzoeken uitvoeren.

Contact

Ingeval van vragen of u wilt een vrijblijvende offerte ontvangen, aarzelt u niet contact met ons op te nemen. Dit kan via +31 (0)70 – 392 22 09 of info@duthler.nl.