Privacy

Privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst automatisch de meest privacyvriendelijke zijn. Een gebruiker hoeft niets actief in te stellen om zijn gegevens te beschermen — bescherming is de standaard, niet de uitzondering.

Samen met privacy by design vormt dit het fundament onder AVG-conform werken. Beide principes zijn wettelijk verplicht, maar de praktische invulling is iets dat veel organisaties pas later in de gaten krijgen.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Privacy

Privacy by default is verankerd in artikel 25 van de AVG. De wet vraagt expliciet dat er "passende technische en organisatorische maatregelen worden getroffen, zodat standaard alleen de persoonsgegevens worden verwerkt die nodig zijn voor elk specifiek doel". Dat is geen vrijblijvende richtlijn, maar een wettelijke verplichting met handhavingsbevoegdheid voor de Autoriteit Persoonsgegevens.

Een paar concrete situaties waarin privacy by default speelt:

  • een nieuwsbriefformulier waarin het hokje "ja, ik wil ook commerciële aanbiedingen ontvangen" standaard niet aangevinkt is
  • een nieuw social media-profiel waarvan de zichtbaarheid standaard op "alleen vrienden" staat, niet op "openbaar"
  • een app die standaard geen locatiegegevens deelt, totdat de gebruiker hier expliciet toestemming voor geeft
  • een website die standaard geen tracking-cookies plaatst, alleen functionele cookies
  • een loonsysteem waarin alleen direct betrokkenen toegang hebben tot een dossier, niet de hele HR-afdeling

De realiteit: onderzoek laat steeds weer zien dat de meerderheid van gebruikers de standaardinstellingen niet aanpast. Wie de standaard niet privacyvriendelijk maakt, weet dus eigenlijk dat hij meer gegevens verzamelt dan strikt noodzakelijk — en dat is precies wat de AVG wil voorkomen via het principe van dataminimalisatie.

In Normity passen we privacy by default zelf consequent toe. Nieuwe gebruikersaccounts krijgen alleen de minimale rechten die nodig zijn. Support-toegang tot je omgeving is standaard uitgeschakeld — jij geeft expliciet toestemming als je hulp wilt. En logging van handelingen is altijd aan, zodat je achteraf precies kunt zien wie wat heeft gedaan.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen

Veelgestelde vragen over Privacy by default

De vragen die we het vaakst krijgen over Privacy by default, met korte en feitelijke antwoorden.

Privacy by default is de verplichting uit de AVG (artikel 25) om bij een nieuwe dienst of instelling standaard de meest privacy-vriendelijke optie aan te houden. De gebruiker kan actief kiezen voor meer deling, maar moet nooit actief moeten kiezen voor minder. Denk aan vinkjes die standaard uit staan bij nieuwsbrieven of tracking.

Ja. Artikel 25 AVG verplicht verwerkingsverantwoordelijken om standaardinstellingen zo in te regelen dat alleen persoonsgegevens worden verwerkt die strikt noodzakelijk zijn voor het specifieke doel. Afwijkingen vereisen een actieve keuze (opt-in) door de betrokkene. Dit geldt voor zowel digitale diensten als fysieke processen.

Privacy by design gaat over het hele ontwerpproces: privacy zit er vanaf de eerste schets in. Privacy by default gaat specifiek over de standaardinstellingen: bij aanvang mogen alleen de minimaal noodzakelijke gegevens worden verwerkt, totdat de betrokkene zelf meer toestaat.

Bij cookies betekent privacy by default: alleen functionele en strikt noodzakelijke cookies staan vooraf actief. Tracking-, analytics- en marketingcookies staan standaard uit en worden pas geactiveerd na actieve toestemming. Standaard 'accepteer alles'-knoppen zonder gelijkwaardige 'weiger alles'-optie zijn in strijd met de AVG.

Voorbeelden: nieuwsbrief-inschrijving is standaard uit; profielgegevens zijn standaard niet publiek zichtbaar; profielfoto's zijn niet standaard openbaar; automatische location sharing staat uit; opslag van betaalgegevens voor volgende transacties staat uit; delen met derden staat uit. De gebruiker kan actief opt-in kiezen.

Een systeem dat standaard meer gegevens verwerkt dan nodig, moet worden aangepast. Begin met een inventarisatie: welke instellingen leiden tot meer verwerking? Maak van opt-out een opt-in. Voor bestaande gebruikers: laat ze expliciet her-instellen bij eerstvolgende login (of op een ander natuurlijk moment). Documenteer de aanpak in je privacy management.

Toetsen gebeurt via DPIA's, privacy-reviews bij nieuwe features en audits. Concreet: check per formulier of een veld optioneel zou kunnen zijn. Check per vinkje of het standaard uit hoort te staan. Check per cookie of deze pas na toestemming wordt geplaatst. Moderne tools kunnen automatisch scannen op privacy-issues in web- en app-ontwerp.

De Functionaris voor de Gegevensbescherming (FG) of Data Protection Officer (DPO) toetst of privacy by default correct wordt toegepast, adviseert ontwerpers en werkt mee aan DPIA's. De FG heeft geen vetorecht, maar moet worden geraadpleegd bij significante beslissingen. Het advies wordt vastgelegd, ook als de directie ervan afwijkt.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management