Privacy by design zorgt ervoor dat maatregelen om de privacy te beschermen rechtstreeks in het ontwerp van een IT-oplossing zijn ingebed. Maar aangezien de behoeften van de klanten veranderen – en dus ook de behoefte aan privacy – vraagt privacy by design meer dan zomaar wat extra code in een formulier, of een stukje technologie in hardware of software. Privacy by design hangt ook in grote mate af van de organisatie zelf.
De General Data Protection Regulation (GDPR) omschrijft databescherming (privacy by design) als een wettelijke verplichting voor databeheerders en dataverwerkers. De GDPR verwijst daarbij uitdrukkelijk naar de nood aan de pseudonimisering, anonimisering en minimalisering van alle persoonlijke data, by default.
Betekent het dat we alle oude code moeten reviseren? Moeten we een extra laag code aanbrengen voor de manipulatie van gevoelige data? Of kan – naar het voorbeeld van de mededeling over het gebruik van cookies – een eenvoudige pop-up volstaan?
Toch niet. Hier komt net iets meer bij kijken. Het hele idee achter de GDPR is gericht op de verantwoordelijkheid over gevoelige data. Een klant kan op ieder moment vragen stellen over de informatie die je als bedrijf over hem bewaart. De klant kan vragen om die data aan te passen of te verwijderen. En de organisatie moet in staat zijn te bewijzen dat ze de wens van de klant heeft ingewilligd.
Het recht op gegevenswissing
Een van de meest opvallende aspecten van de GDPR is het recht op gegevenswissing, ook bekend als ‘het recht om vergeten te worden’. Artikel 17 van de GDPR stelt:
De betrokkene heeft het recht van de databeheerder, zonder onredelijke vertraging, wissing van de hem betreffende persoonsgegevens te verkrijgen wanneer een van de volgende gevallen van toepassing is:
- De beheerder heeft de data niet meer nodig.
- De betrokkene trekt zijn eerder gegeven toestemming tot dataverwerking in.
- De betrokkene maakt bezwaar tegen de dataverwerking.
- De beheerder verwerkt de data illegaal.
- Er is een wettelijke verplichting om de data te wissen.
- De betrokkene was een kind op het moment van het verzamelen van de data.
Wanneer de databeheerder de geviseerde data publiek maakt, is hij verplicht erop toe te zien dat de dataverwerkers de data wissen. Wanneer een website een onjuist verhaal publiceert over iemand, bijvoorbeeld, en later het bevel krijgt dat verhaal te wissen, dan moet de website die vraag ook doorgeven aan andere websites die het verhaal hebben overgenomen. Even goed zijn er enkele uitzondering op Artikel 17, onder meer wanneer de data onderdeel vormen van archieven voor wetenschappelijk of historisch onderzoek, wanneer er een wettelijke grond is die de bewaring van de data bepaalt (bijvoorbeeld in de financiële sector) of wanneer de data onderdeel vormen van een rechtszaak.
Verlies de data nooit uit het oog
Om hun data te beschermen, nemen bedrijven back-ups. Dat kan tot lastige situaties leiden. Stel: een klant vraagt om zijn persoonsgebonden data volledig te wissen en de onderneming willigt die vraag in. Daarna doet er zich een probleem voor met een IT-systeem, waarop de IT-afdeling beslist om een back-up terug te plaatsen. Op dat moment verschijnen de data van de klant opnieuw. Wat nu?
Eerst en vooral moet de organisatie altijd weten waar alle persoonsgebonden data zich bevinden. Daarna moet ze een assessment maken: welke data kan ze wissen, welke data zou ze moeten wissen, welke data kan ze niet wissen en welke data mag ze niet wissen. In dat laatste geval komen de uitzonderingen aan de oppervlakte, zoals de wettelijke verplichting om bepaalde data te bewaren. Als antwoord op de vraag van de klant moet de beheerder de persoonsgebonden data van de operationele systemen van de onderneming verwijderen. De data moeten verhuizen naar een offline archief, waar ze – conform de wettelijke verplichtingen op databewaring – op een veilige manier bewaard blijven, maar tegelijk ook voldoen aan de wens van de persoon die vergeten wil worden.
Niet zwart, niet wit
Elke organisatie, elk bedrijf, elke klant, elk gegevensbestand en elk stuk technologie vraagt om een specifieke beoordeling, geval per geval. Sta je recht in je schoenen tegenover de regulator of in de rechtbank? Ben je er zeker van dat je alles deed wat je kon om op specifieke vraag iemands persoonsgebonden data te verwijderen? Kun je daar positief op antwoorden, dan zit je goed. Focus daarna op het hertekenen van je software, waarbij je de benodigde features inbouwt. Wanneer je een nieuw project opstart, hou dan dit hele verhaal in gedachten. Zo zorg je er vanzelf voor dat privacy by design een plaats krijgt in de kern van de code.
Auteur: Rutger Saelmans, 3 april 2018
