De vele gezichten van Privacy by Design

Het concept Privacy by Design betekent kort gezegd dat de bescherming van privacy meegenomen wordt in het ontwikkelen van nieuwe diensten of toepassingen. In de voorgestelde Algemene Verordening Gegevensbescherming, die de huidige Richtlijn Gegevensbescherming uit 1995 zal gaan vervangen, is Privacy by Design een vaste vereiste. Omdat het over gegevensbescherming gaat wordt er specifiek gesproken over data protection by design en data protection by default. Nu de wettelijke vastlegging van het concept op handen is voelen veel aanbieders van diensten de noodzaak om hier al serieus naar te kijken. En terecht. Maar wanneer voldoe je nu aan het vereiste? Het is immers een vrij generiek begrip, waarvan de invulling per toepassing kan verschillen.

Hoe verschillend de opvatting kan zijn heb ik recent ervaren toen ik in opdracht van ECP een overzicht heb opgesteld van eID initiatieven in Nederland. Ik heb daarbij ook de partijen die ik heb gesproken gevraagd naar de wijze waarop zij waarborgen voor privacy hebben ingericht. Er zijn in principe twee startpunten: juridisch of technisch. Bij een juridische insteek worden afspraken en bevoegdheden vastgesteld om te zorgen dat er geen ongeautoriseerde toegang wordt verkregen en dat de gegevens alleen conform de regels worden verwerkt. Bij een technische insteek worden die afspraken door de technologie afgedwongen. Beide varianten kwamen langs, maar ook met heel verschillende invullingen. Het gaat me hier niet om een discussie over welke partij nu welk uitgangspunt neemt. Maar ik wil wel aankaarten dat wellicht een nadere invulling van wat Privacy by Design betekent op zijn plaats zou zijn.

Wanneer waarborgen primair juridisch zijn ingebouwd is er soms sprake van een eigen reglement en contractuele afspraken tussen partijen die samenwerken. Maar in andere gevallen wordt verwezen naar bestaande of in ontwikkeling zijnde afsprakenstelsels (zoals het eID stelsel). Dat stelsel geeft dan regels en voorwaarden. Partijen zeggen dan dat ze zich aansluiten bij dat stelsel en dat privacy dus gewaarborgd is. Bij de technische insteken varieert het geheel van uitgebreide access control systemen, gecombineerd met logging, anonimisering van gegevens, en het scheiden van identiteiten van transacties, tot de stelling dat gegevens versleuteld worden en dat daarmee voldaan wordt aan Privacy by Design.

In de huidige wetgeving wordt al vereist dat gegevens beschermd dienen te worden door het implementeren van adequate technische en organisatorische maatregelen. De juridische afspraken zijn typisch organisatorische maatregelen, terwijl de acces control systemen en dergelijke technische maatregelen zijn. Privacy by Design komt in die zin op hetzelfde neer en vereist dus een combinatie. Het ‘by Design’ aspect vereist echter dat al bij het ontwerp van een toepassing privacy wordt meegenomen als requirement. Dus er moet gekeken worden naar de algemene privacybeginselen en waar mogelijk moeten deze technisch afgedwongen worden en organisatorisch ondersteund op punten waar dat niet volledig mogelijk is. Hoe een implementatie van Privacy by Design er in de praktijk uit ziet zal per geval verschillen. Maar er zijn veel technologieën voorhanden die kunnen helpen. Naast adequate beveiliging moet er ook aandacht zijn voor transparantie richting data subjecten, het faciliteren van inzage, en natuurlijk een algeheel adequaat awareness level binnen organisaties. Als dat bestaat is privacy ook minder een horde die genomen moet worden, maar meer een stukje van de dagelijkse gang van zaken (en soms zelfs een kans voor innovatie zoals ik hier eerder al eens schreef).

Er is dus nog veel winst te behalen in de implementatie van Privacy by Design, maar eerst ook bij een heldere uitleg van het begrip en welke eisen concreet worden gesteld aan bepaalde toepassingen. Belangrijk is in ieder geval om Privacy by Design niet te verwarren met security by design of simpelweg security maatregelen, zoals encryptie. Die security maatregelen kunnen een stukje van het Privacy by Design principe invullen, maar niet het geheel. Want privacy en security zijn niet hetzelfde. Het gaat immers niet over ‘iets te verbergen hebben’, maar over controle over en inzicht in je eigen gegevens en de mogelijkheid tot je eigen identiteitsontwikkeling. Privacy by Design moet dan ook niet uitgelegd worden vanuit het afschermen van gegevens, maar vanuit het bredere privacybegrip.