De GDPR legt verwerkingsverantwoordelijken de verantwoordelijkheid en de verplichting op om hun (computer) systemen en procedures zodanig te ontwikkelen dat zij rekening houden met de bescherming van persoonsgegevens.
Deze verplichting geldt voor alle verwerkingsverantwoordelijken ongeacht de complexiteit van hun verwerkingen en hun omvang.
Het maakt dus niet uit of men een grote multinational is of een KMO, de basisprincipes inzake het verwerken van persoonsgegevens dienen te worden nageleefd.
Aangezien deze maatregel ook van toepassing is op verwerkers en sub-verwerkers, moeten verwerkingsverantwoordelijken bij het aanstellen van verwerkers en sub-verwerkers ook van hen de nodige garanties krijgen dat zij hieraan voldoen.
Data Protection by Design en by Default kadert in de verplichting die op verwerkingsverantwoordelijken rust om passende technische en organisatorische maatregelen te nemen met als doel persoonsgegevens te beschermen.
De maatregelen die hier bedoeld worden zijn uiteraard maatregelen die geschikt zijn om een hoge mate van bescherming van de verwerkte persoonsgegevens te garanderen.
Dit kan gaan van technische maatregelen, zoals geavanceerde toegangscontrole, tot het systematisch opleiden en bijscholen van het personeel.
1. Data Protection by Design
Rekening houdende met de aard, de omvang, de context en het doel van de verwerking van persoonsgegevens moet het design niet alleen “State of the Art” maatregelen bevatten, maar vooral doeltreffend zijn.
Het argument dat Data Protection by Design te veel kost is daarbij irrelevant.
De kostenfactor mag geen belemmering vormen om doeltreffende maatregelen te nemen bij het ontwerp van een software applicatie.
Verwerkingsverantwoordelijken mogen wel rekening houden met de kosten, maar de kostenfactor mag geen excuus zijn om helemaal niets te doen.
1.1. Wat zijn doeltreffende maatregelen?
Doeltreffende maatregelen zijn maatregelen die het beoogde doel bereiken.
Bijvoorbeeld wanneer men de toegang via het internet tot een software applicatie met medische gegevens enkel mogelijk wilt maken voor daartoe bevoegde personen, dan kan, rekening houdende met de huidige stand van de technologie, de implementatie van gebruikersnaam en wachtwoord combinatie niet meer voldoen; omdat het louter gebruik maken van gebruikersnaam en wachtwoord relatief snel is te kraken.
Een doeltreffende maatregel, waar bij het ontwerp van de software applicatie rekening kan mee worden gehouden, zou een combinatie kunnen zijn van gebruikersnaam / wachtwoord plus een bijkomende authenticatie via een authenticatie app op de smartphone, zoals bijvoorbeeld Google Authenticator.
De doeltreffendheid van een maatregel is dus niet iets dat los van een context kan worden beoordeeld. Er dient rekening te worden gehouden met alle elementen van de verwerking.
1.2. De aard, de omvang, de context en het doel van de verwerking
Bij het bepalen welke maatregelen doeltreffend zijn moet ook rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking.
Het is vrij duidelijk dat een software applicatie waarin medische gegevens in zijn opgenomen zwaardere toegangscriteria moet hebben dan een software applicatie dat enkel de “standaard” persoonsgegevens, zoals naam en voornaam, bevat.
In het geval van een applicatie dat enkel naam en voornaam van een persoon bevat zou het gebruik van gebruikersnaam / wachtwoord kunnen volstaan. Dit is echter niet het geval wanneer de applicatie medische of financiële gegevens van een persoon bevat.
1.3. Risico en de kans dat het risico zich voordoet
Of een voorgenomen maatregel al dan niet doeltreffend is moet men eerst weten met welke risico’s men zal worden geconfronteerd en weten wat de kans zal zijn dat het risico zich zal voordoen.
Een voorgenomen maatregel kan doeltreffend zijn voor een bepaald risico, maar helemaal niet voor een ander soort risico.
Bijvoorbeeld het gebruik van de combinatie gebruikersnaam / wachtwoord kan voldoende doeltreffend zijn voor de consultatie van een software applicatie binnen een LAN-omgeving, maar helemaal niet doeltreffend wanneer diezelfde software applicatie toegankelijk wordt gemaakt via een publiek netwerk zoals het internet.
Het risico en de kans dat het risico zich materialiseert is binnen een LAN-omgeving immers kleiner dan op het internet.
Het is daarom belangrijk dat verwerkingsverantwoordelijken voor iedere verwerking van persoonsgegevens een risico-matrix opstellen, zodat men een globaal overzicht heeft van de risico’s, de impact en de kans dat het risico zich kan voordoen.
Een dergelijke matrix wordt bij voorkeur opgesteld op basis van objectieve elementen en/of waarnemingen. Het risico bestaat immers dat men een risico-matrix opstelt louter op basis van subjectieve elementen, waardoor men een vertekend beeld krijgt van de risico’s, de impact en de kans dat het risico zich zal voordoen; hetgeen een weerslag zal hebben op de maatregelen die men kiest of zal kiezen.
2. Data Protection by Default
Met Data Protection by Default wordt bedoeld de standaard instellingen van een verwerkingssysteem of verwerkingsprocedure.
Met standaard instellingen wordt o.a. bedoeld dat bijvoorbeeld een input scherm slechts mag toelaten die gegevens te registreren die strict noodzakelijk zijn voor het doel van de verwerking. M.a.w. de schermen en formulieren waar (persoons)gegevens worden ingegeven moeten zodanig zijn ontworpen dat niet meer (persoons)gegevens kunnen worden ingevoerd dan strict noodzakelijk is, en gegevens die niet strict noodzakelijk zijn mogen niet worden gevraagd door het invoerscherm of -formulier.
3. Life cycle van Data Protection by Design en by Default
Data protection by Design en by Default is geen eenmalige oefening.
Het dient te gebeuren vòòr dat de verwerking start, en dient continue te worden geëvalueerd tijdens de ganse levenscyclus van de verwerkingssystemen.
M.a.w. wanneer de verwerkingsverantwoordelijke een voorgenomen verwerking van persoonsgegevens voor ogen heeft moet zij reeds beginnen rekening houden met hoe zij die persoonsgegevens zal beschermen bij het ontwerp van de software applicatie, en nadien de doeltreffendheid van de bescherming voorzien in het ontwerp continue monitoren en evalueren.
Deze bepaling geldt niet enkel voor nieuw te ontwikkelen systemen, maar is ook van toepassing op reeds bestaande systemen; zelfs systemen die reeds vòòr de GDPR bestonden.
Bloep, 12 september 2025.