From law to practice: privacy by design in health tech | Agoria

From law to practice: privacy by design in health tech

Afbeelding
Gepubliceerd op 29/07/21 door Nele Laus
Gebruikers worden geacht om zelf in te kunnen schatten of een applicatie zoals Facebook of Fitbit wel goed met hun gegevens omgaat. Kun je dit van de gebruiker verwachten, en moeten zulke apps niet zelf zorgen voor voldoende aandacht voor privacy? Eigenlijk wel, dit principe is zelfs in wetgeving verankerd en heet “privacy by design”. 

Het is de vergeten groente van de privacyverplichtingen, privacy by design. Een beetje uit het oog verloren toen iedereen net na mei 2018 vooral bezig was met alle tastbare verplichtingen die de GDPR oplegde: een register, aanpassingen aan privacyverklaringen, contracten met verwerkers, en dies meer. 

Nu het stof wat is gaan liggen en de meeste organisaties de basisverplichtingen begrijpen en (hopelijk) ook ingevuld hebben, verschuift langzaam de aandacht naar de verplichtingen die minder makkelijk af te vinken zijn in een lijstje. Verplichtingen die vragen dat een organisatie processen aanpast, mensen opleidt, en privacy niet als Todo-lijst ziet maar als een integraal onderdeel van de bedrijfsvoering. Dan kom je uit op zaken zoals de data protection impact assessments (DPIAs) en privacy by design. 

Privacy by design, de term die een iets bredere lading dekt maar vooral makkelijker over de tong rolt dan de GDPR-term “data protection by design”, staat voor het geheel aan maatregelen dat een organisatie neemt om er voor te zorgen dat privacy onderdeel uitmaakt van alle processen waar persoonsgegevens in worden verwerkt. Die maatregelen kunnen organisatorisch, technisch of contractueel zijn. 

Praktische toepassing van de basisprincipes van gegevensbescherming

Simpel gezegd komt privacy by design neer op het toepassen van de basisprincipes van persoonsgegevensverwerking zoals transparant zijn over wat je doet met gegevens, niet meer gegevens verwerken dan nodig, gegevens niet langer bijhouden dan nodig, goede beveiliging, etc. Dat zijn echter generieke principes, en de uitdaging is dan ook dat de concrete invulling van privacy by design verschilt per organisatie. Een bedrijf dat mobiele apps ontwikkelt in de health tech context zal immers compleet andere maatregelen moeten nemen dan een KMO die een online webshop heeft. De context, aard, en omvang van de verwerkingen van persoonsgegevens zal bepalen welke en hoeveel maatregelen je moet nemen om privacy by design juist toe te passen. Hoe gevoeliger de gegevens of de hoeveelheid van gegevens, hoe hoger de lat ligt.

Privacy by design als alomvattend concept bij verwerking persoonsgegevens

  • Privacy by design kan terugkomen in praktisch alle facetten van het verwerken van persoonsgegevens:De privacyverklaring van een app gericht op kinderen moet in de juiste en toegankelijke taal geschreven zijn.
  • Op een website moet de “weigeren” knop voor cookies even makkelijk zijn om te selecteren, inclusief die kleurzetting en grootte van de knop, als de “accepteren” knop. 
  • API’s moeten voldoende authenticeren en enkel die informatie beschikbaar maken die strikt noodzakelijk is.
  • Logging moet bijhouden wat welk gebruiker wanneer heeft gedaan met persoonsgegevens.
  • Een app voorziet in een “privacy dashboard” waar de gebruiker precies kan zien welke gegevens verwerkt worden, en waar de gebruiker rechten zoals recht op inzage, recht op kopie of recht op verwijdering kan uitvoeren. 

Dit zijn maar een aantal voorbeelden. Ookal bestaat er geen vaste lijst die je kunt aflopen om privacy by design toe te passen, er zijn wel raamwerken die helpen om in kaart te brengen wat privacy by design betekent voor een organisatie.

Een overzicht van zulke raamwerken en nog veel meer voorbeelden van goede (en slechte) toepassingen van privacy by design mag u verwachten tijdens de sessie van 3 augustus: 'From law to practice: privacy by design in health tech'Bart van Buitenen is trainer bij het Data Protection Institute, DPO bij Sentiance, directeur van het expertisecentrum Privacy en Security bij Cranium, en runt ook de "dasprive" podcast. Hij zal een zeer praktijkgerichte aanpak hanteren, waarbij hij zal kijken naar evoluties in de wetgeving en hoe je daar praktisch mee om kunt gaan in een health-tech omgeving.  Registreer u hier!

#industriepartnerschap #sterkondernemen

Was dit artikel nuttig?

Gerelateerde thema's