#

De nieuwe DPO: Innovatie en privacy (Privacy by design)

Pix &| Evi is jouw partner in privacy en helpt nieuwe privacy professionals (FG’s / DPO’s) bij het opzetten van hun nieuwe functie. Zo leveren we bijvoorbeeld een privacy management softwarepakket met slim verwerkingsregister, incidentenregister en DPIA module. In onze wekelijkse blog besteden we aandacht aan een specifiek onderwerp om de nieuwe DPO of FG op weg te helpen in het volwassen worden van de organisatie op het gebied van privacy. Deze week besteden we aandacht aan innovatie en privacy (privacy by design).

Innovatie

Stel dat jouw organisatie een nieuw product, een nieuwe feature, nieuwe applicatie ontwikkelt of persoonsgegevens met behulp van een tool op een nieuwe innovatieve manier gaat gebruiken. Misschien willen jullie daar bepaalde databases bij gaan koppelen, of voorspellingen over bijvoorbeeld koopgedrag maken. Innovatie is belangrijk voor iedere organisatie en het gebruik van persoonsgegevens kunnen daarbij noodzakelijk zijn. Maar waar moet je rekening mee houden als je persoonsgegevens gaat gebruiken voor innovatie? De nieuwe privacywetgeving staat innovatie zeker niet in de weg, maar geeft wel de nodige spelregels waar je rekening mee moet houden als je gebruik maakt van persoonsgegevens bij innovatie.

Privacy by design

De Algemene Verordening Gegevensverwerking (AVG) stelt dat je bij het ontwikkelen van nieuwe producten, diensten et cetera het privacy by design principe moet hanteren. Privacy by desgin komt eigenlijk neer op dat je bij het begin van de ontwikkeling van een innovatief initiatief rekening houdt met de privacy van de betrokkenen en de privacywetgeving.

Dat klinkt natuurlijk leuk en inmiddels misschien ook wel vanzelfsprekend, maar welke vragen zou je in ieder geval moeten stellen voor je aan een nieuw project begint? We gaan er gemakshalve vanuit dat er een privacy statement en grondslag is voor het verwerken van de beoogde persoonsgegevens.

Persoonsgegevens nodig?

Allereerst moet er gekeken worden of het gebruik van persoonsgegevens nodig is en met welke minimale dataset dat kan. Misschien kan hetzelfde doel bereikt worden met geanonimiseerde gegevens. Omdat de gegevens dan niet meer te herleiden zijn naar een natuurlijk persoon zijn het geen persoonsgegevens en hoef je geen rekening te houden met de privacywetgeving. Als dat niet mogelijk is, dan mogen er niet meer gegevens gebruikt worden dan noodzakelijk is. Het kan leuk zijn om de dataset die je gaat gebruiken uit te breiden, maar het uitgangspunt van dataminimalisatie schrijft voor dat je niet meer gegevens gaat gebruiken dan nodig is.

Privacy statement – doelbinding en profiling

Vervolgens doe je voor je begint met het project een check op het privacy statement. Controleer of de gegevens die je wilt gebruiken ook voor dat doel gebruikt mogen worden (doelbinding). Gegevens die verzameld zijn voor doel A mogen niet voor een ander doel dan doel A gebruikt worden, tenzij het nieuwe doel verenigbaar is met doel A. Ook is het belangrijk om te controleren of het privacy statement toereikend is voor het nieuwe initiatief van verwerkingen. Misschien moet het privacy statement aangepast worden (met als nadeel dat de betrokkenen opnieuw geïnformeerd moeten worden). Dit is bijvoorbeeld het geval als de nieuwe verwerking gebruik maakt van een voorspellingsmodel (bijvoorbeeld met behulp van big data). Geautomatiseerde besluitvorming of profiling moet apart in een privacy statement behandeld worden. Als dat er dus nog niet in staat, dan moet het privacy statement aangevuld worden. Daarnaast zijn er voor het gebruik van persoonsgegevens bij geautomatiseerde besluitvorming of profiling aanvullende vereisten om bij stil te staan.

Impact voor betrokkenen

Voordat je begint met het verwerken van persoonsgegevens is het belangrijk om stil te staan bij de impact voor de betrokkenen. Betrokkenen zijn de mensen van wie je persoonsgegevens verwerkt. De impact en risico’s kan je bijvoorbeeld beperken door minder gegevens per persoon te verwerken, de toegang tot de gegevens te beperken binnen je organisatie, goede beveiligingsmaatregelen te nemen en de opslagtermijn te beperken. Maar daarnaast moet je stil staan bij wat de gevolgen voor de betrokkenen zijn bij de verwerking. Krijgt iemand minder kans op het sluiten van een overeenkomst (bijvoorbeeld een verzekering) als zijn gedrag gemonitord wordt? Is de kans op fraude groter door de gegevens te koppelen? Wat zijn de gevolgen van bijvoorbeeld profiling of een geautomatiseerde beslissing? Een DPIA (Data Protection Impact Assessment) van onze DPIA module kan bijvoorbeeld helpen om de risico’s in kaart te brengen en maatregelen te treffen om de risico’s te beperken. Innovatie kan leiden tot een verhoogd risico voor de betrokkenen. Dat is niet erg, als je de factoren die de kans en omvang van de risico’s in kaart brengt en maatregelen neemt die de kans en omvang op zo’n risico beperkt.

 Leg je afweging vast

Innovatie en privacy moeten en kunnen hand in hand gaan. Leg in ieder geval vast op welke manier je voldoet aan privacy by design, wat je afwegingen zijn geweest en zorg ervoor dat je regelmatig controleert of de verwerking conform jullie afweging plaatsvindt en of de afweging opnieuw gemaakt moet worden. Kortom, hou je vinger aan de pols bij innovatie op privacy gebied en blijf scherp.

 

Gerelateerde berichten