• Zeger van Ingen

Gegevensbescherming door ontwerp en standaardinstellingen - Een nieuw richtsnoer voor artikel 25 AVG

Bijgewerkt: feb 11

Een nieuw richtsnoer van het Europees Comité voor gegevensbescherming biedt verwerkingsverantwoordelijken meer duidelijkheid over welke maatregelen op het gebied van gegevensbescherming moeten worden genomen op grond van artikel 25 Algemene Verordening Gegevensbescherming (hierna: AVG). Het Comité is een onafhankelijk Europees orgaan dat een bijdrage levert aan de implementatie van gegevensbeschermingsregels in de EU.


Voor bedrijven en organisaties die zich bezighouden met het verwerken van persoonsgegevens is het van belang dat ze goed begrip hebben van hoe de AVG moet worden uitgelegd. Bij gebrek aan rechterlijke uitspraken is het daarom van cruciaal belang dat door het Comité dit soort richtsnoeren wordt gepubliceerd.


Hoewel het richtsnoer in eerste instantie is gericht aan verwerkingsverantwoordelijken, spoort het Comité ook verwerkers en software-aanbieders aan om notie te nemen van het richtsnoer, zodat ze samen kunnen bijdragen aan gegevensbescherming en daarbij een actieve rol kunnen spelen.


De conceptversie van richtsnoer 4/2009, dat op 13 november 2019 is gepubliceerd, geeft nadere invulling aan 'gegevensbescherming door ontwerp en standaardinstellingen', in het Engels afgekort tot DPbDD. Gegevensbescherming door ontwerp en standaardinstellingen is een een gedigitaliseerde wereld een cruciaal onderdeel van gegevensbescherming in de samenleving, aldus Andrea Jelinek, voorzitter van het Comité.


Ondernemingen en organisaties worden aangemoedigd om in het vroegste stadium van het ontwerp van verwerkingsactiviteiten passende technische en organisatorische maatregelen te treffen die nodig zijn om de beginselen inzake privacy en gegevensbescherming vanaf het begin te waarborgen. Dat betekent dat bijvoorbeeld ook bij tenders, outsourcing, ontwikkeling, ondersteuning, onderhoud, testen, opslag en verwijderen van data rekening moet worden gehouden met DPbDD. Daarnaast moeten ondernemingen en organisaties standaard ervoor zorgen dat persoonsgegevens worden verwerkt met het hoogste niveau van privacybescherming. Die standaard moet zichtbaar zijn voor zowel toezichthouders als eindgebruikers. Wanneer een systeem bijvoorbeeld verschillende opties voor gegevensbescherming biedt, moet standaard de optie met de beste gegevensbescherming zijn geselecteerd (zie mijn eerdere blog over cookies).


Een belangrijk punt van het richtsnoer is dat het niet mag gaan om enkel 'generieke maatregelen', de effectiviteit van de technische en organisatorische maatregelen moet aantoonbaar zijn. Effectiviteit van maatregelen kan worden aangetoond door middel van kwantitatieve metrieken, zoals een meetbaar risiconiveau, een verminderd aantal klachten of een verminderde responstijd bij het afhandelen van verzoeken van belanghebbenden, maar ook door middel van kwalitatief onderzoek, zoals expertanalyses.


Ook belangrijk is dat het richtsnoer specificeert dat na het begin van de verwerking een blijvende plicht bestaat bij verwerkingsverantwoordelijken om DPbDD te waarborgen, omdat een aantal belangrijke elementen tijdens de verwerking kan veranderen, namelijk de aard, omvang, context en het doel van de verwerking.


Verwerkingsverantwoordelijken dienen op grond van artikel 25 AVG rekening te houden met de 'state of the art'. Dat wil zeggen dat verwerkingsverantwoordelijken up-to-date moeten blijven wat betreft de standaard op de markt en nieuwe mogelijkheden op het gebied van gegevensbescherming. Het richtsnoer benadrukt dat het hierbij niet alleen om technologische maatregelen gaat. Wat als organisatorische standaard geldt, is minstens net zo belangrijk. Het trainen van mensen wordt daarbij steeds genoemd. Bij het bepalen van de 'state of the art' kunnen bestaande standaarden en certificaten een rol spelen. Ten slotte adviseert het Comité bedrijven en organisaties om compliance met DPbDD te gebruiken als competitief voordeel. Wanneer technologie-aanbieders, verwerkers en verwerkingsverantwoordelijken actief DPbDD proberen te waarborgen, zijn ze aantrekkelijkere partners voor elkaar en voor eindgebruikers.


Tot 16 januari was het mogelijk commentaar te leveren op het voorlopige richtsnoer. Nu is het wachten op een definitieve versie.