Organisaties zien zich tegenwoordig in steeds grotere mate geconfronteerd met verschillende ontwikkelingen op het gebied van data en privacy. Enkele ontwikkelingen zijn de introductie van een meldplicht datalekken begin 2016 en de introductie van de Europese Verordening Gegevensbescherming in mei 2018. Vooral deze laatste ontwikkeling brengt vele veranderingen met zich mee, waar nu al rekening mee moet worden gehouden. In dit artikel wordt meer specifiek stilgestaan bij het beginsel van ‘privacy by design’.

Privacy by design

Privacy by design houdt kort gezegd in al bij de prilste ontwikkeling van producten en diensten aandacht moet worden besteed aan privacy-verhogende maatregelen. De hoeveelheid gegevens die nodig is om een bepaald doel te bereiken dient minimaal te zijn. Enkel die gegevens die noodzakelijk zijn mogen worden verwerkt. Privacy by design laat zich het makkelijkst uitleggen aan de hand van een voorbeeld. Neem een energieleverancier. Om het uitlezen van meterstanden te vergemakkelijken wordt consumenten de mogelijkheid geboden om een zogenaamde slimme meter te gebruiken. De energieleverancier kan hierdoor op afstand meterstanden uitlezen, het verbruik van een consument beter in kaart brengen en het maandelijks te betalen voorschot meer nauwkeurig vaststellen.

Een slimme meter kan echter voor meer doelen gebruikt worden dan alleen het bieden van gemak en een nauwkeuriger administratie. Door het op enige regelmaat uitlezen van meterstanden kan in theorie worden bepaald wanneer iemand thuis is (er wordt stroom verbruikt), wanneer deze zijn was doet (er wordt veel stroom gebruikt), hoe groot diens gezin is (er wordt vaak veel stroom gebruikt), of dat iemand werkloos is (er wordt op weekdagen overdag stroom gebruikt). In potentie kan iemand dus heel veel met enkel het (regelmatig) opvragen van een meterstand. Doelen die het oorspronkelijke doel ver te buiten gaan en mogelijk ook tot verkeerde conclusies leiden, maar die voor bijvoorbeeld het inschatten van een debiteurenrisico erg interessant kunnen zijn. Los van de vraag of verwerking van gegevens voor doelen die niet vooraf zijn bepaald wel is toegestaan, heeft de Europese wetgever zich op het standpunt gesteld dat dergelijke verwerkingen niet mogen kunnen. Het beginsel van Privacy by design maakt dat ook deze energieleverancier al bij de ontwikkeling van de slimme meter, het achterliggende systeem en vaststelling van bevoegdheden binnen de organisatie rekening moet houden met de bescherming van persoonsgegevens.

Wetgever en privacy by design

Privacy by design is niet nieuw. Al in de jaren ’90 stelde de Canadese Privacy Commissioner van Ontario een eerste leidraad op voor de introductie privacy by design. In recente jaren heeft deze leidraad de basis gevormd voor de introductie van privacy by design in wetgeving over de hele wereld. Binnen Europa heeft privacy by design nog geen plek gekregen in de op dit moment geldende wet- en regelgeving. Ten aanzien van beveiliging wordt op dit moment nog volstaan met een algemene verplichting om technische en organisatorische beveiligingsmaatregelen te treffen die een verantwoorde omgang met persoonsgegevens garanderen. Dit verandert pas vanaf mei 2018, wanneer de Europese verordening gegevensbescherming in werking treedt en privacy by design een plek in de wet krijgt. Dit betekent echter niet dat op dit moment nog helemaal geen rekening hoeft te worden gehouden met privacy by design. Integendeel; onder meer de Nederlandse Autoriteit Persoonsgegevens schrijft privacy by design in bijzondere gevallen al actief (en dwingend) voor aan de hand van de huidige beginselen van gegevensbescherming zoals de hiervoor genoemde beveiligingsmaatregelen, doelbinding en dataminimalisatie. Een voorbeeld.

BlueTrace

BlueTrace is een bedrijf dat technologie aan winkels levert om via de wifi-signalen van mobiele telefoons van klanten deze klanten te volgen tijdens hun winkelbezoek. Dit levert in potentie waardevolle informatie op over winkelgedrag. Bijgehouden kan worden hoe lang klanten zich in een winkel bevinden, waar deze zich in de winkel bevinden, hoe vaak zij terugkomen in de winkel en nog veel meer. Deze informatie kan weer worden gebruikt voor bijvoorbeeld klant-specifieke marketing, winkelinrichting en winkelbeveiliging. Wel worden hiermee veel persoonsgegevens verwerkt, te beginnen met de unieke identifiers van de telefoons van klanten. BlueTrace had met een aantal zaken geen rekening gehouden. Eén daarvan was een onderscheid tussen klanten enerzijds en voorbijgangers en bewoners anderzijds. Voor het systeem was iedereen gelijk. Binnen of buiten de winkel; in de winkel of boven de winkel; iedereen werd gevolgd. Daarnaast werd op geen enkele manier kenbaar gemaakt dat klanten werden gevolgd en werden gegevens langer bewaard dan strikt noodzakelijk. Het is dan ook om deze redenen dat de Autoriteit Persoonsgegevens BlueTrace bij besluit van 30 juni 2016 (gepubliceerd op 1 september 2016) een last onder dwangsom heeft opgelegd. Het had op de weg van BlueTrace gelegen om reeds in de ontwerpfase technisch rekening te houden met de privacy van met name ‘bijvangst’ als voorbijgangers en bewoners. Gegevens dienden daarnaast automatisch gewist te worden zodra deze niet meer noodzakelijk waren voor het beoogde doel. Last but not least had BlueTrace klanten dienen te informeren over de verwerking van persoonsgegevens. Door BlueTrace te dwingen het technisch onmogelijk te maken dat gegevens van voorbijgangers en bewoners werden verwerkt en te dwingen om het technisch onmogelijk te maken dat gegevens langer dan nodig werden bewaard, heeft de Autoriteit Persoonsgegevens aan de hand van de nu geldende wet- en regelgeving een eerste voorschot genomen op het beginsel van privacy by design zoals dit wordt opgenomen in de Europese Verordening Gegevensbescherming.

Aanloop naar 2018

Mei 2018 lijkt nog ver weg. Op het moment van schrijven duurt het om precies te zijn nog 18 maanden voordat de Europese Verordening Gegevensbescherming in werking treedt. Veel beginselen die worden opgenomen in de Verordening worden echter aan de hand van huidige wet- en regelgeving al toegepast en gehandhaafd. Het voorbeeld van BlueTrace leert dat de Autoriteit Persoonsgegevens zelfs al overgaat tot toepassing van een last onder dwangsom. Het is mede daarom aan te raden nu al actief te kijken naar een juiste toepassing van de Verordening, onder meer ten aanzien van privacy by design. De privacy-specialisten van Taylor Wessing assisteren u hier graag in.