Het PI.Lab is een samenwerkingsverband tussen de Radboud Universiteit, Tilburg University en TNO op het gebied van digitale privacy en identiteit. Het PI.Lab kijkt met een brede blik naar privacy, namelijk vanuit het politiek/sociaalwetenschappelijk, technisch en juridisch perspectief. De aankomende AVG en de aandacht in de samenleving voor privacy zorgen voor een groeiende druk om privacy-by-design toe te passen in bedrijfsprocessen. Alhoewel privacy-by-design een veel genoemd concept is om te kunnen voldoen aan regelgeving, is de implementatie hiervan vaak nog onduidelijk. Wat is privacy-by-design precies en hoe richt je dit in?
Het doel van de bijeenkomst op 1 november was het uitwisselen van kennis, het onderzoeken of er behoefte is aan een netwerk rondom privacy-by-design alsook het ophalen van knelpunten omtrent het onderwerp. Na een korte introductie in het PI.Lab en het thema van de dag door Marc van Lieshout (zakelijk directeur PI.Lab) trapt Jaap Henk Hoepman (wetenschappelijk directeur PI.Lab) af met een eerste presentatie over privacy-by-design strategieën. Hij illustreert acht strategieën om van vage normen naar concrete ontwerpen te komen (zie presentatie voor de strategieën). Belangrijk is dat enerzijds de strategieën data georiënteerd zijn en anderzijds proces georiënteerd. Beide aspecten moeten worden meegenomen om tot een volledige privacy-by-design strategie te komen. Wat dit precies in de praktijk betekent, illustreren Carlos Montes Portela (Enexis) en Rob van de Veer (SIG) in opvolgende presentaties. Privacy-by-design is van toenemend belang voor organisaties. In het huidige systeem worden nog relatief weinig persoonsgegevens verzameld, maar de toenemende interactie tussen de consument, netbeheerder en de markt zorgt voor een flinke groei van deze data nu en in de toekomst. Privacy wordt belangrijker en met innovatie met data moet dit thema en haar bijbehorende knelpunten meegenomen worden. Één systeem of strategie voor alle verschillende bedrijfsprocessen bestaat niet, er moet naar de specifieke processen gekeken worden voor de implementatie van een strategie. Het is voor velen een proces van vallen en opstaan. Dat toont zich door de voorbeelden die worden aangehaald waar enerzijds niet wordt gekeken naar genoeg beveiliging en anderzijds geen rekening wordt gehouden met bijvoorbeeld bewaartermijnen of rechten van gebruikers. Privacy-bydesign houdt meer in dan alleen cyber security; het gaat om een goede zorg voor data. Dit betekent de beveiliging, maar ook beheer en communicatie naar eindgebruikers. Beide sprekers tonen voorbeelden van hoe het niet en hoe het wél zou moeten. Hieruit volgen nuttige aanbevelingen voor het inrichten van een strategie en waar men op moet letten (zie sheets).
Jeroen van Puijenbroek (Radboud University Nijmegen) heeft het laatste woord als spreker. Hier gaat hij dieper in op de praktijk van de privacy impact assessments (PIA) en PbD. Uit zijn onderzoek blijkt dat er een ongelofelijke opkomst is van PIA’s in het vakgebied. De observatie uit analyse van verschillende methodes is dat PIA’s hoofdzakelijk compliance-driven zijn. Dit betekent dat het erop lijkt dat de grootste drijfveer voor bedrijven om een PIA uit te voeren bijvoorbeeld kans op een boete is. Dit is vanuit een controllerperspectief bekeken in plaats van een gebruikersperspectief, waarbij de laatste voor privacy-by-design het uitgangspunt zou moeten zijn. Daarbij worden er bij enkele PIA’s slechts één questionnaire gebruikt, terwijl er op verschillende momenten in het proces verschillende toetsingen plaats zouden moeten vinden. Vanuit de deelnemers volgen al snel vragen, hoe weet je 2 überhaupt dat er een PIA gedaan moet worden? Daarom wordt er gesproken van mogelijkheden tot een pre-PIA, een assessment waarmee je afweegt of er überhaupt een privacy impact is waarvoor een assessment zou moeten worden gedaan.
Vanuit de zaal kwamen meerdere vragen. Het is een onderwerp wat leeft onder de deelnemers. Verschillende partijen zijn bezig met het ontwikkelen van of PIA’s of strategieën en voelen de behoefte om generieke vragen in een netwerk op te pakken. Een van de doelstellingen wordt bevestigd; er is behoefte aan een community rondom het thema privacy-by-design. PI.Lab en ECP trekken samen op om in 2017 een verdiepingsslag te maken op het thema middels een community en bijbehorende bijeenkomsten. Wilt u participeren in deze community? Meldt u nu aan via privacy@ecp.nl. Aanmelding betekent dat u op de hoogte zal worden gehouden van aankomende events en input kan leveren op het thema.