Hoe doe je Privacy by Design?

8 Conversation starters over hoe privacy te operationaliseren in je startup

In aflevering 5 van de Insert User podcast ‘Dear Stratup’ praten we met Jaap-Henk Hoepman, wetenschappelijk directeur van Privacy & Identity Lab. Samen met zijn team heeft Jaap-Henk acht principes ontwikkeld waarmee bedrijven en met name startups, privacy in de techniek kunnen regelen. Hieronder legt Jaap-Henk Hoepman kort uit wat de acht principes inhouden. Bron: de Privacy Coach.

Martina Paukova — “Survival Guide”

Waar en hoe moet je beginnen?

De Privacy wetgeving is complex en vaag. Ze biedt weinig concrete handvatten voor techneuten. Dat is een probleem als je een systeem privacy vriendelijk wilt ontwerpen. Er zijn natuurlijk zat privacy beschermende technologieën, maar die zijn pas van toepassing als je een systeem gaat implementeren. Je hebt er weinig aan als je begint na te denken over wat het systeem moet kunnen en hoe je dat zou kunnen realiseren op een privacy vriendelijke manier.

De acht privacy ontwerpstrategieën

Privacy ontwerpstrategieën zijn een oplossing. Ze vertalen vage juridische eisen in concrete ontwerpeisen. Ze formuleren onderwerpen voor de discussie over hoe het te ontwerpen systeem er uit moet zien. Ze sturen de eerste ontwerpschetsen in een privacy vriendelijke richting, door in het begin te dwingen weloverwogen principiële keuzes te maken.

1. Minimaliseer: beperk zo veel mogelijk de verwerking van persoonsgegevens. Sluit op voorhand bepaalde personen of gegevens uit. Selecteer alleen relevante personen of gegevens. Verwijder persoonsgegevens zodra ze niet langer nodig zijn
2. Scheidt: scheidt persoonsgegevens zo veel mogelijk van elkaar. Verzamel persoonsgegevens in verschillende databases. Distribueer de verwerking over verschillende locaties. Doe zoveel mogelijk in de apparatuur (PC, smartphone) van de eindgebruiker, en maak zo weinig mogelijk gebruik van centrale componenten.
3. Abstraheer: beperk zoveel mogelijk het detail waarin persoonsgegevens worden verwerkt. Aggregeer informatie over categorieën personen in plaats van ieder individu. Vat gedetailleerde informatie samen in meer algemene gegevens: verwerk bijvoorbeeld de leeftijd in plaats van de geboortedatum.
4. Maak onzichtbaar: voorkom dat persoonsgegevens openbaar worden. Beperk toegang tot persoonsgegevens. Bescherm persoonsgegevens (zowel op het netwerk als bij opslag). Verbreek de link tussen personen en hun gegevens, bijvoorbeeld door deze te mixen of (voor zover mogelijk) te anonimiseren.
5. Informeer: informeer gebruikers over de verwerking van hun persoons- gegevens. Vertel welke informatie wordt verwerkt, en waarom. Doe dit op een duidelijke en voor leken begrijpbare manier. Waarschuw gebruikers als hun persoonsgegevens gebruikt worden, of als deze gelekt zijn.
6. Geef controle: geef gebruikers controle over de verwerking van hun persoonsgegevens. Vraag om toestemming. Geef de mogelijkheid om persoonsgegevens te corrigeren of te (laten) verwijderen.
7. Dwing af: committeer je aan een privacy vriendelijke verwerking van persoonsgegevens. Stel een privacy beleid op, en dwing deze af met alle noodzakelijke technische en organisatorische maatregelen. Beleg verantwoordelijkheden. Controleer het beleid, en de implementatie daarvan, regelmatig, en pas waar nodig aan.
8. Toon aan: toon aan dat je op een privacy vriendelijke wijze persoonsgegevens verwerkt. Verzamel logs (en kom in actie bij anomalieën). Doe audits. Rap- porteer de resultaten aan de verantwoordelijken. Laat je certificeren.

Meer weten? Luister dan ‘Dear Startup’, aflevering 5 van Insert User.

Verder onderzoeken we met Martijn de Kuijper, oprichter van Revue, de toepasbaarheid van de acht ‘Privacy by Design’ principes. Druisen ze in tegen de praktijk van een snel groeiend bedrijf? We horen graag van jullie! Tweet ons @iu_podcast.

Bronvermelding:

M. Colesky, J.-H. Hoepman, and C. Hillen. “A Critical Analysis of Privacy Design Strategies”. In: 2016 International Workshop on Privacy Engineering — IWPE’16, pages 33–40, San Jose, CA, USA, May 26 2016.

J.-H. Hoepman. “Privacy Design Strategies”. In: IFIP TC11 29th Int. Conf. on Information Security (IFIP SEC 2014), pages 446–459, June 2–4 2014.

J.-H. Hoepman. Privacy Design Strategies. arXiv:1210.6621 [cs.CY], May 2013.