close
Share with your friends

Hoe integreer ik privacy in mijn processen en diensten?

Overal in uw organisatie, tot diep in de werkprocessen, vindt u persoonsgegevens. Wilt u niet voor onverwachte verrassingen komen te staan, zoals een datalek of een compliancerisico, dan is een goed verankerd en geïntegreerd privacybeleid noodzakelijk. Als ook het invoeren van de onder de Algemene verordening gegevensbescherming (AVG) verplichte uitgangspunten van privacy by design en privacy by default.

Privacy by design betekent dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat u technische en organisatorische maatregelen neemt om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Van meet af aan zorgt u ervoor dat uw organisatie vertrouwd is met deze principes en uw medewerkers privacybewuste keuzes maken. Zo voorkomt u dat u achteraf pleisters moet plakken.

Logisch onderdeel van ontwerpfase

Het principe van privacy by design is niet nieuw. Het blijft alleen vaak bij een lijstje basisprincipes voor de projectmanager. Zoals het vragen van toestemming voor het gebruik van persoonsgegevens of het tijdig verwijderen van deze gegevens. Dat maakt het voor veel medewerkers abstract, waardoor het privacybeleid niet goed van de grond komt. Natuurlijk zijn die basisprincipes ook belangrijk (zie kader), maar niet alleen. Met een paar stappen zorgt u ervoor dat privacy by design een logisch onderdeel wordt van élke ontwerp- of ontwikkelingsfase.

 1. Train uw mensen om in actie te komen
  Vrijwel elke dag starten nieuwe projecten, worden systemen geïmplementeerd, producten gelanceerd of vernieuwd. Daar zijn nogal wat medewerkers bij betrokken die onmogelijk allemaal de basisprincipes kunnen kennen. Wel kunt u ze trainen om persoonsgegevens te herkennen, zodat ze alert zijn wánneer in een nieuw project of product persoonsgegevens verwerkt worden. En de door u aangewezen contactpersoon inschakelen om te bepalen of daaraan privacyrisico’s kleven waarvoor maatregelen genomen dienen te worden.
 2. Zorg voor een privacy champion
  Om ervoor te zorgen dat uw medewerkers in actie komen, is het belangrijk de drempel zo laag mogelijk te maken. Wijs daarom een collega aan die fungeert als de sponsor van het privacyprogramma en die privacy verder kan bevorderen als een kernorganisatieconcept. Hij of zij fungeert als contactpersoon, kent de 7 basisprincipes en kan uw medewerkers operationeel adviseren over vervolgstappen.
 3. Maak toepassen van de basisprincipes mogelijk
  Zorg naast een goed bekende privacy champion voor andere randvoorwaarden. Denk aan de juiste technische tools – bijvoorbeeld voor het anonimiseren of pseudonimiseren en versleutelen van persoonsgegevens. En aan de noodzakelijke organisatorische aanpassingen, zoals een autorisatiematrix die aansluit op de toegangseisen tot persoonsgegevens. Inclusief rollen en rechten die voldoende detail hebben om de privacy te blijven waarborgen.

De 7 basisprincipes van privacy by design

 1. Dataminimalisatie. Wees vooraf kritisch over welke data u in uw nieuwe product of dienst gaat verwerken. Hoe minder, hoe veiliger.
 2. Pseudonimiseren en/of anonimiseren. Koppel waar mogelijk persoonsidentificerende data los van andere data, tijdelijk (‘pseudonimiseren’) of voor altijd (‘anonimiseren’).
 3. Versleutelen. Zorg voor goed beschermde data aan de bron en kies de versleuteling die past bij uw product of soort project.
 4. Toegangscontrole. Beperk vooraf wie bij welke data kan en investeer in goede tooling voor autorisatie en toegang.
 5. Privacy by default. Zorg dat applicatie- en systeeminstellingen standaard op het hoogste privacyniveau staan. Bewust afwijken kan altijd nog.
 6. Retentie en verwijderen. Weet welke data hoe lang u mag bewaren, leg dat vast en zorg voor slim geautomatiseerde verwijdering.
 7. Rechten van betrokkenen. Onder de AVG hebben personen van wie u persoonsgegevens verwerkt (betrokkenen) meer en verbeterde privacyrechten. Denk daarbij aan het verzoek tot inzage, correctie, verwijdering of overdracht van de eigen persoonsgegevens. Zorg vooraf dat u zo’n verzoek makkelijk kunt beantwoorden. 

Daarom KPMG

De bescherming van persoonsgegevens is vaak geen kernactiviteit binnen een organisatie. Maar het verantwoord en compliant omgaan met persoonsgegevens is wel essentieel om het vertrouwen van klanten, personeel en andere stakeholders te behouden.

KPMG biedt u een multidisciplinair Cyber Security & Data Privacy team. Een kernteam met kennis van en ervaring met gegevensbescherming, privacy en risicomanagement. Onze experts werken intensief samen met uw organisatie zodat het privacyprogramma goed aansluit op de cultuur, de werkwijze en de waarden van uw organisatie. Met als resultaat dat security en privacy ‘on top of mind’ komt en blijft in de gehele organisatie.

Wilt u meer weten over onze services? Neem dan contact op met Chantel Rademaker de Ridder, partner Cyber Security.