Privacy by design: zo werkt een effectieve en efficiënte aanpak

De Algemene verordening gegevensbescherming (AVG) heeft een belangrijke impuls gegeven aan de belangstelling voor privacy by design. Met de huidige digitale transformatie is de urgentie van een effectieve en efficiënte aanpak groter dan ooit. Edo Meinema, security en privacy expert van Durf IT en docent van Outvie, vertelt over de actuele ontwikkelingen, uitdagingen en do’s & dont’s.

Privacy by design

Privacy by design is een belangrijke vereiste van de Algemene verordening gegevensbescherming (AVG) en betekent dat al tijdens het ontwikkelproces van een systeem, proces of product rekening wordt gehouden met de privacy(rechten) van de betrokkenen en de bescherming van persoonsgegevens. Met de groeiende belangstelling voor datagedreven werken nemen de relevantie en urgentie van privacy by design verder toe, signaleert Edo Meinema, expert in data management, privacy en security en mede-eigenaar van Durf IT, een adviesbureau voor IT-risicomanagement. “De personen van wie de (persoons)gegevens zijn opgeslagen in de informatiesystemen zijn steeds meer privacybewust, en verwachten dat dataprotectie goed is geregeld. Tegelijkertijd krijgen de ontwikkelaars van de systemen te maken met een toenemend aantal samenwerkingspartners. Denk aan SaaS-leveranciers, cloud providers en andere externe partijen die bijdragen aan de ontwikkeling van applicaties. Dan moet de privacy al in een vroeg stadium op orde zijn. Als je pas achteraf afspraken en waarborgen regelt dan wordt het nodeloos complex.”

Privacy by design is niet alleen een technische uitdaging, maar brengt ook juridische, procesmatige en organisatorische vraagstukken mee, benadrukt Meinema. Hij heeft ruim twintig jaar ervaring met advies over de beheersing van de IT-risico’s rond dataprotectie, en is hoofddocent van de Outvie-training Privacy by design. “De digitale transformatie maakt intensieve, agile en datagedreven samenwerking steeds meer de norm. Dat betekent dat je de verantwoorde omgang met persoonsgegevens vooraf in technische processen en systemen moet integreren. Daarbij zijn ook contractuele afspraken met dienstverleners nodig. Wat gebeurt er als er nieuwe partijen worden ingeschakeld voor het ontwikkelproces? Hoe houd je privacy by design op de agenda in agile ontwikkelprocessen, waarin plannen in principe na elke sprint ingrijpend kunnen wijzigen?”

Van verplichting naar kans

Net als informatiebeveiliging wordt privacy by design nogal eens gezien als een lastige verplichting. Het interne draagvlak voor een effectieve aanpak is dan ook een belangrijk speerpunt voor professionals die verantwoordelijk zijn voor privacy by design. “Privacy by design moet allereerst tussen de oren komen van de directie, het management en de dagelijkse werkvloer. Het is belangrijk om te verkennen hoe het bestuur over privacy by design denkt, en om met overtuigende argumenten de meerwaarde voor het voetlicht te brengen.”

Voor de implementatie van privacy by design zijn investeringen nodig – in mensen en middelen – die zich op het eerste gezicht niet direct terugbetalen. Hoe overtuig je dan het management? “Privacy by design lijkt misschien op gesleutel onder de motorkap, waar de eindklant niets mee opschiet. Maar vanuit een lange termijn perspectief levert de zorgvuldige omgang met persoonsgegevens natuurlijk heel veel op: compliance aan wetgeving, vertrouwen van klanten en een sterk merk.” Meinema geeft als goed voorbeeld de privacyverklaring van Tikkie, die duidelijk aangeeft voor welke doeleinden de klantgegevens worden gebruikt – met als uitkomst een vertrouwenwekkende dienst en een herkenbaar merk.

Ook binnen technische teams is het enthousiasme voor privacy by design geen vanzelfsprekendheid, waarschuwt Meinema. “Business intelligence is er doorgaans op gericht om zo veel mogelijk data te verzamelen, en vervolgens te selecteren welke gegevens echt noodzakelijk zijn. Dat staat natuurlijk haaks op het uitgangspunt van privacy by design. Er komt ook heel veel op ontwikkelaars af: ze moeten aan allerlei standaarden, frameworks en regels voldoen. Dan wordt privacy by design al snel het zoveelste moetje.” Meinema adviseert om actief mee te denken met de interne klanten, en te laten zien hoe er stapsgewijs kan worden gewerkt aan privacy by design. “Je kunt bijvoorbeeld voorstellen om in een laboratoriumopstelling met testgegevens nog relatief veel informatie te gebruiken om een product te ontwikkelen, waarbij tijdens elke volgende stap (testen, accepteren en produceren) dataminimalisatie wordt toegepast. De crux is om duidelijk te maken dat de aanpak ook gewoon praktisch werkbaar is en blijft.”

Geen confectiepak

De driedaagse training Privacy by design van Outvie geeft de deelnemers alle kennis en vaardigheden om het thema structureel en effectief toe te passen in de praktijk. Op het programma staan vraagstukken zoals de optimale werkwijze, het draagvlak in de organisatie en de monitoring van de resultaten.

De Outvie-training is speciaal ontwikkeld voor professionals die te maken krijgen met privacy by design, zoals Data Protection Officers, Security Officers, functioneel beheerders, product ontwikkelaars, proces architecten en Compliance Officers. Als hoofddocent maakt Edo Meinema de vereisten, principes, strategie en uitvoering van privacy by design concreet en praktisch, en geeft hij handreikingen om de juiste frameworks en standaards te kiezen. Experts van Uber, Liander, Volksbank en Erasmus Universiteit Rotterdam delen ervaringen, adviezen en tips.

“Privacy by design is geen confectiepak: voor elke organisatie is de aanvliegroute anders”, zegt Meinema over een belangrijke boodschap van de training. “De aanpak moet goed aansluiten op de organisatie, om het effectief en efficiënt te houden. Bijvoorbeeld: in een agile omgeving is de toepassing anders dan in een organisatie waar projecten via de watervalmethode worden ontwikkeld. Een ander voorbeeld: pseudonimiseren is een veelgebruikte maatregel voor privacy by design. Maar als een organisatie niet is voorbereid op pseudonimiseren dan ligt het meer voor de hand om andere maatregelen te nemen.”

Risicogebaseerde aanpak

De aandacht voor privacy by design wordt deels gedreven door compliance, maar idealiter is de aanpak risicogebaseerd, benadrukt Meinema. “Het is aan te raden om privacy by design in te bedden in de succesvolle kwaliteitsframeworks die er al zijn in een organisatie. Maar let erop dat de scope van het initiatief breed genoeg is: houd rekening met het hele landschap van je organisatie, en ga met verschillende disciplines om tafel om in kaart te brengen op welke plekken er mogelijk privacy by design nodig is. Op die manier kan je alle relevante facetten en processen in beeld brengen, en voorkom je dat er risico’s en issues over het hoofd worden gezien.”

Een veelgehoorde vraag over privacy by design gaat over de inzet van standaards en frameworks. Er zijn allerlei stappenplannen in omloop. Wat kan je ermee? “Het is verstandig om verschillende expertises binnen de organisatie samen te brengen en gezamenlijk te verkennen welke strategie het beste past bij jouw situatie. Er zijn voor een aantal branches al best practices, die je kunnen inspireren. Verder gaat het erom dat de verschillende betrokkenen – van de technici en business developers tot de privacy professionals en compliance officers – dezelfde taal spreken. Haak daarbij ook specialismen zoals juridische zaken, vendor relations en softwareontwikkeling aan. Zo kom je tot een aanpak die daadwerkelijk raakt ingebed in de organisatie.”

Voer voor discussie

Awareness op alle niveaus van de organisatie is een voorwaarde voor de succesvolle implementatie van privacy by design. Dat is een uitdagend vraagstuk dat niet van de ene op de andere dag is gefikst, zegt Meinema. “Houd rekening met een langdurig proces en zorg dat je mensen al in de vroegste fase meeneemt in de plannen. Het werkt niet om met een projectgroep vanuit een torenkamer een aanpak te lanceren. Je hebt al tijdens de beleidsontwikkeling de input, de feedback en het commitment van verschillende betrokkenen nodig. Geef daarom regelmatig een update over de ontwikkelingen en voorzie besluiten van een uitgebreide toelichting.”

Sommige keuzes rond privacy by design zijn misschien geen leuk nieuws voor de organisatie, geeft Meinema toe. “Dataminimalisatie maakt het werk van je collega’s niet altijd makkelijker. Maar als je de voors en tegens van dataprotectie toelicht, en aangeeft waarom een bepaalde keuze noodzakelijk is, dan leg je de basis voor de acceptatie ervan.” Het helpt ook als privacy by design wordt gepresenteerd als onderdeel van alledaagse bedrijfsprocessen en de business intelligence. “Laat zien waar je mee begint, wat er allemaal op stapel staat en wanneer aan de minimale vereisten is voldaan. De normen van de AVG zijn nogal eens voer voor discussie. Maak het thema overzichtelijk en behapbaar.”

Lego

Doorgrond de situatie van je organisatie, verken op welke manier er dan het beste met privacy by design kan worden omgegaan, en leid het ontwikkel- en implementatieproces in goede banen. Zo vat Meinema de actuele opgave samen. “Privacy by design is eigenlijk net zoals lego: je krijgt allemaal dezelfde bouwstenen, maar iedereen maakt er iets anders van. Natuurlijk moeten een aantal basisbeginselen, zoals de rechten van betrokkenen, op orde zijn. Maar de wet- en regelgeving schrijft niet voor hoe je dat precies doet. Als de uitkomst maar een verantwoorde omgang met persoonsgegevens is. Dat maakt het speelveld van privacy by design ingewikkeld, maar ook een spannende uitdaging waarmee je echt het verschil kunt maken.”

Tijdens de driedaagse Outvie-training Privacy by design komt u alles te weten over de strategische en praktische aanpak van Privacy by Design, zodat uw organisatie voldoet aan de wettelijke vereisten en de dataprotectie van betrokkenen waarborgt.