Carmen Graauwmans / 19 maart 2018

Privacy by design [blog 5/10]

Wanneer de GDPR intreedt mag je alleen nog persoonsgegevens verwerken die een doel dienen. Dit heet dataminimalisatie. Om succesvol om te gaan met de nieuwe wet zal je privacy strategisch moeten opnemen in je processen en systemen: privacy by design.

Ga even terug naar de laatste nieuwsbrief die je verstuurde. Gebruikte je de naam van de ontvanger in de aanhef? Waarschijnlijk wel – dat komt de relevantie van de nieuwsbrief immers ten goede. Met de komst van de GDPR zijn een nieuwsbrief versturen en iemands naam gebruiken twee verschillende dingen. Dat wil zeggen: de wet ziet het verwerken van een e-mailadres en een naam als twee afzonderlijke verwerkingen van persoonsgegevens. Als je iemand bij de naam wilt noemen in je nieuwsbrief zal je ook daar van te voren toestemming voor moeten hebben.

Privacy by design

Je wilt natuurlijk voldoen aan de wet, maar ook graag relevant blijven communiceren met je klanten. Om dit te realiseren, moeten bedrijven privacy gaan betrekken bij het strategisch ontwerp van nieuwe producten, diensten en processen waar persoonsgegevens worden verwerkt. Privacy moet een ingrediënt worden van je ontwerpproces in plaats van een sausje dat je aan het eind toevoegt. Dit lijkt misschien complex, maar het is eenvoudiger dan je ontwerp aanpassen nadat het is ontwikkeld. Als je van tevoren nadenkt hoe je processen en systemen voldoen aan de GDPR is de kans klein dat je op een later moment ontdekt dat het veel tijd en geld kost om aanpassingen door te voeren. Als het überhaupt nog mogelijk is.

Dataminimalisatie

In een eerder blog schreven we dat een ‘baat het niet dan schaadt het niet’ tactiek niet langer houdbaar is bij het verwerken van persoonsgegevens. De GDPR vereist van bedrijven dataminimalisatie: er mogen niet meer persoonsgegevens worden verwerkt dan nodig is om het doel waarvoor ze worden gebruikt te bereiken. Dit kan ook betekenen dat je gegevens moet verwijderen nadat het doel is behaald, zoals bij tweestapsverificatie met een telefoonnummer. Om de verificatie te doen, heb je het telefoonnummer nodig. Na de verificatie is het doel bereikt en heb je het telefoonnummer niet langer nodig. Dataminimalisatie vraagt om geen gegevens op te slaan die geen doel dienen, dus kun je het telefoonnummer het best verwijderen.

Twijfel je of je voldoet aan de GDPR?

Het opnieuw inrichten van je processen vraagt tijd, geld en energie. Het geeft een prettig gevoel om te weten dat je vernieuwde processen voldoen aan de GDPR. De manier om dit te onderzoeken is een DPIA. In ons vorige blog schreven we wat een DPIA inhoudt en hoe je dit onderzoek uitvoert voor alle verwerkingen van persoonsgegevens bij jouw bedrijf.

Heb je vragen over privacy by design?

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

De volgende blog, Functionaris voor de gegevensbescherming, verschijnt maandag 26 maart op onze site.

Carmen Graauwmans
Wil je meer weten over privacy by design, stuur mij een bericht en ik neem contact met je op.

Contact

Contact

Meld je gratis aan voor Outsource IT 2019