Wat is AVG-by-design?
AVG-by-design — internationaal bekend als Privacy by Design — is de plicht om gegevensbeschermingsprincipes in het ontwerp van systemen op te nemen, niet als een naderhand toegevoegde controlelaag. De plicht is vastgelegd in artikel 25 van de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 rechtstreeks van toepassing is in Nederland. Het artikel heeft twee componenten: privacy by design (ontwerpfase) en privacy by default (standaardinstellingen).
Kernprincipes
Het concept Privacy by Design werd uitgewerkt door Ann Cavoukian (voormalig Information & Privacy Commissioner van Ontario) en bevat zeven kernprincipes: proactief in plaats van reactief, privacy als standaardinstelling, privacy ingebouwd in het ontwerp, volledige functionaliteit zonder afruil, end-to-end-beveiliging, zichtbaarheid en transparantie, en respect voor de gebruiker. De AVG vertaalt deze beginselen naar juridische verplichtingen.
Praktische toepassingen
In de praktijk betekent AVG-by-design: gegevens niet opslaan als ze niet nodig zijn (data-minimalisatie), gegevens pseudonimiseren waar mogelijk, toegang tot gegevens beperken tot wat het doel vereist (need-to-know), en zorgvuldig logbeheer met audit-trails. Voor verwerkingen met hoog risico — zoals vroegsignalering of grootschalige verwerking van bijzondere categorieën — is een Data Protection Impact Assessment (DPIA) verplicht.
Toezicht en sancties
Toezicht op AVG-by-design ligt bij de Autoriteit Persoonsgegevens (AP). Bij overtreding kan een boete worden opgelegd van maximaal 4% van de wereldwijde jaaromzet of €20 miljoen. In de praktijk hanteert de AP een proportionele aanpak met waarschuwingen en aanwijzingen voor kleinere overtredingen, maar bij grove of structurele schending zijn aanzienlijke boetes opgelegd — onder andere aan Belastingdienst en Booking.com.