Ga naar de inhoud

Privacy by design en privacy by default

In deze cursus bespreken wij het ontwerpprincipe ‘privacy by design’ en ‘privacy by default’ en plaatsen wij het principe in de risk based ‘compliance by design’. Wat bedoelt de wetgever met “gegevensbescherming door ontwerp en door standaardinstellingen”, artikel 25 AVG? Wat is de scope en reikwijdte van de impact van het principe op de architectuur van de datamodellen en de IT-systemen.

De centrale vraag die wij in de cursus beantwoorden is of de betrokkene voldoende in staat is regie uit te voeren over zijn of haar gegevens. Uiteraard bespreken wij de guidelines van de EDPB. Er is volop ruimte in de cursus bedrijfsspecifieke situaties voor te leggen en te bespreken.

Het formuleren van (non-)functionele eisen voor het selecteren van nieuwe of ontwerpen van IT-systemen is ook een aandachtspunt in de cursus.

Het organiseren van risico gerichte compliance met wettelijke en contractuele verplichtingen is een aandachtspunt van de bedrijfsleiding. Dit vraagstuk van uit het bedrijfs- en persoonsperspectief belichten en vervolgens formuleren van controle-doelstellingen en interne controlemaatregelen vraagt voorstellingsvermogen van de cursist.

Introductie van de docenten:

Gegevensbescherming door ontwerp en door standaardinstellingen, zoals in artikel 25 van de AVG wordt bedoeld, (hierna aangegeven met DPbDD) zet uitdrukkelijk de beginselen van gegevensbescherming en de rechten en vrijheden van individu (de betrokkene) centraal. Voor de bedrijfsleiding en management begint DPbDD met het begrijpen van de gegevensbeschermingsbeginselen die veelal door de Functionaris voor Gegevensbescherming worden uitgelegd.

De te treffen maatregelen zijn passend en borgen de doeltreffendheid van de beginselen van gegevensbescherming en zo de rechten en vrijheden van individuen. Niets staat de leiding in de weg dergelijke maatregelen ook toe te passen voor het beschermen van bedrijfsgegevens.

In het veranderings-, ontwerp-, aankoop- en/of ontwikkelproces voor het organiseren van bedrijfsactiviteiten krijgen de gegevensbeschermingsbeginselen al vroegtijdig aandacht. Als de beginselen fundamenteel in de organisatie en bedrijfsprocessen zijn verankerd dan is het ook mogelijk dat de bedrijfshuishouding kan voldoen aan het verantwoordingsvereiste; de bedrijfsleiding spreekt zich uit over de effectiviteit van de getroffen beheersmaatregelen gericht op wettelijke en contractuele verplichtingen, in het bijzonder gegevensbescherming.

DPbDD heeft betrekking op het gehele verantwoordelijkheids- en aansprakelijkheidsdomein van het bedrijf. Het betreffen de holding en de dochtermaatschappijen plus de verwerkers en verdere verwerkers van persoonsgegevens van de groep. Het is niet verwonderlijk dat de wetgever certificering en gedragscodes aan de verwerkingsverantwoordelijke aanbeveelt om een werkbare en effectieve structuur samen te stellen.