linkedintwitter

NIEUWE WETTEN, NIEUWE TAAL

In de komende privacy-verordening zijn enkele nieuwe .termen opgenomen. Maar wat betekenen ze?

Privacy by design

Dat slaat op het incorpereren van privacy-noties van bij de start van het ontwerpproject. Wie bijvoorbeeld werkt aan het ontwerp van een nieuwe auto met geo-location moet vanaf het begin rekening houden met privacy-implicaties, en niet wachten tot het moment dat het ontwerp de productiefase nadert. Toepassingsgebieden zijn bewakingscamera’s, biome.trics, ‘smart’ meters, mobiele apparaten en communicatie, RFID (radio frequency identification), IP-geolocation, big data en data-analytics, gezondheidszorg op afstand.

Privacy by default

Er is sprake van ‘privacy by default’ als (standaard-)instellingen in een IT-omgeving (programma, website, app, social network) zodanig zijn dat er een maximale privacy betracht wordt. Een social network als Facebook is eerder het tegenovergestelde van privacy by default. Het is een open systeem en alleen wie er de weg goed weet, kan delen van informatie blokkeren om zo enkel een selecte groep toegang te geven. Privacy by default gaat uit van een gesloten systeem en staat dicht bij het opt-in-principe.

Data minimisation

Eigenlijk is dit een principe dat ook al in de Belgische wet op de bescherming van de persoonlijke levenssfeer uit 1992 beschreven staat. De gegevens die verzameld worden, .moeten noodzakelijk en ter zake doende zijn. Data minimisation impliceert een beperkte periode waarbinnen data bewaard blijven. Data minimisation lijkt op gespannen voet te staan met big data.

Data portability

Data portability - data-overdraagbaarheid - houdt in dat het voor personen gemakkelijk moet zijn om hun gegevens van het ene elektronische platform over te dragen naar het andere. Dat maakt dat die personen minder afhankelijk worden van één provider.

Data breach

Van data breach (data lek) is sprake als beveiligde informatie opzettelijk of onopzettelijk wordt vrijgegeven aan een ‘onvertrouwd’ publiek. De nieuwe Europese verordening bepaalt dat zo’n data breach binnen 72 uur aan de bevoegde autoriteiten gemeld moet worden. Is dat niet het geval, dat moet men uitleggen waarom die termijn overschreden is.