ONTWIKKELINGEN


Een standaard voor privacy by design?

Privacy by design is dankzij de AVG wettelijk verplicht sinds 2018, en het concept is zelfs meer dan twintig jaar oud. Desondanks bestaat nog geen concrete en volwassen methodologie om privacy by design te implementeren. Dr. Engin Bozdag, werkzaam als privacy architect bij Uber, is lid van de NEN normcommissie cybersecurity & privacy en neemt actief deel aan ISO/PC 317. Deze commissie werkt aan het creëren van een wereldwijde standaard voor privacy by design. In dit artikel legt hij uit waarom het moeilijk is om een methodologie voor privacy by design te creëren en waarom de standaard hiervoor een oplossing kan bieden.

Consumenten maken gebruik van digitale initiatieven voor zeer uiteenlopende zaken. Ze doen hun aankopen online, verkopen zelf goederen, communiceren met elkaar, maar ook met de overheid of zorgverlener. Bij al deze interacties laat de consument persoonsgegevens achter, zonder zelf voldoende begrip te hebben van de verdere verwerking hiervan. Om het vertrouwen van de consument te behouden, is het belangrijk dat organisaties verantwoording afleggen over hun omgang met persoonsgegevens. Een van de manieren om dit te doen, is het implementeren van privacy by design.

Proactieve maatregelen

Privacy by design gaat uit van proactieve maatregelen in plaats van reactieve, anticiperen op, en voorkomen van inbreuken op iemands privacy voordat deze plaatsvinden. De consument kan er vanuit gaan dat software ontwikkeld wordt volgens het privacy by design principe, niet meer gegevens vraagt dan nodig zijn en dat het ontwikkeld is om zorgvuldig met die gegevens om te gaan. Maar het mes snijdt aan twee kanten: werken volgens de principes van privacy by design verkleint niet alleen de kans op privacyschending voor de consument, maar ook het risico van boetes en schadeclaims voor de organisaties die het toepassen.

'De standaard stelt organisaties in staat om aan te tonen dat ze de privacy van hun consumenten respecteren, niet alleen bij het ontwerp van het product, maar gedurende de hele levenscyclus van het product.'

Ondanks deze voordelen voor consumenten en organisaties, is er geen concrete en volwassen methodologie ontwikkeld om privacy by design te implementeren. Dit komt doordat software engineering een divers vakgebied is en de gebruikte methodologieën enorm verschillen tussen sectoren. Veel strategieën voor privacy by design richten zich op productontwikkeling met een traditionele watervalmethodologie, een onwikkelmethode die duidelijk te onderscheiden ontwerp-, planning-, implementatie- en releasefasen volgt. Veel privacyrisicobeperkende strategieën worden ontwikkeld voor deze methodologie en richten zich op de planningsfase. Zogenaamde agile methoden vereisen echter een herhalende aanpak waarbij ontwerpen dynamisch zijn en hebben geen duidelijke planningsfase waarin privacy by design opgenomen kan worden. Dit vormt een uitdaging voor de implementatie van de privacycontrols.

Wat staat er in de standaard?

De internationale standaard ISO/AWI 31700 is bedoeld om elke organisatie te ondersteunen die privacy by design opneemt in consumentenproducten. Het biedt organisaties handvatten voor een concrete aanpak voor de omgang met privacy bij het ontwerpen van gegevensverwerkingen. De standaard is neutraal ten aanzien van de methodologieën die de organisatie zou kunnen toepassen om privacycontroles in te bedden en kan worden gebruikt voor zowel agile als watervalsoftwareontwikkelingsmethoden. Het document behandelt concepten zoals privacytrainingen, verantwoordingsplicht, levenscyclus van persoonlijke informatie, privacyrisicobeoordelingen (privacy impact assessments), consument gerichte privacycontroles, product privacy plan, privacy-engineering principes, leveranciersbeheer en de planning van datavernietiging.

Voor wie is de standaard?

De primaire doelgroepen zijn privacy-ingenieurs en -architecten, beheerders van privacy product/program managers en interne auditors in organisaties die producten en diensten maken die persoonlijke informatie verwerken. Secundair publiek zijn senior managers, juridische teams en risicobeheerfuncties. De standaard stelt organisaties in staat om aan te tonen dat ze de privacy van hun consumenten respecteren, niet alleen bij het ontwerp van het product, maar gedurende de hele levenscyclus van het product. Sommige organisaties willen het document misschien alleen gebruiken om te bevestigen dat ze voldoen aan elk van de voorwaarden. Andere organisaties willen misschien aantonen dat ze privacy by design inbedden door te certificeren tegen het document, met behulp van een externe certificeringsagent. Dit document is voor elk van deze doeleinden geschreven.

Wanneer is de standaard af?

ISO/PC 317 heeft onlangs de vierde concept-versie van het document uitgebracht. De commissie verwacht dat de eindversie eind 2021 of begin 2022 zal uitkomen.

Meer informatie

Engin is senior privacy architect bij Uber en leidt het technische privacy consulting om ervoor te zorgen dat privacy zo vroeg mogelijk in producten en diensten wordt ingebed. Engin is ook lid van Uber’s AI/ML Fairness Group, een commissie die design requirements, processen en ethische richtlijnen voor de inzet van kunstmatige intelligentie bij Uber creëert. Engin werkte daarvoor bij Philips en leidde hij het technische AVG-implementatieprogramma. Hij heeft een PhD in privacy en AI Ethics en een M.S. in software engineering van de Technische Universiteit Delft.

Meepraten over de inhoud van normen

Wilt u als belanghebbende partij meepraten over de ontwikkeling van normen op dit gebied? Lees meer over de normcommissie Cybersecurity & Privacy.