In onze drukke maatschappij hebben we niet altijd zin en tijd om ons in alles te verdiepen. Dat geldt ook voor thema’s zoals privacy. Veel mensen willen best wel privacy vriendelijk werken, maar dan mot ‘t wel een beetje makkelijk wezen. Kortom, hapklare brokken is het devies.
Ook ezelsbruggetjes of korte lijstjes helpen in zo’n geval. Hoe zien de hapklare brokken voor Privacy by Design er dan eigenlijk uit. Na wat denkwerk kom ik tot de volgende top 3:
- Zo min mogelijk verzamelen
- Zo min mogelijk kopieën maken
- Zo snel mogelijk verwijderen
Zo min mogelijk verzamelen
Ik begin vaak met de vraag waarom persoonsgegevens worden verwerkt. Alleen al door het woordgebruik hoor je al wat het nut is van het verzamelen en of dat met minder kan. De stelling; ‘We moeten dit hebben’, vind ik de beste. Er is dan vaak een verplichting (op basis van wet- en regelgeving) waarom het verzamelen nodig is. Vaak kan men deze verplichting desgevraagd wel oplepelen. Als je hoort; ‘We vinden dit nodig’, dan is er vaak sprake van een overtuiging. Enige vraag is dan; ‘Vind je organisatie het en is het beleid, of vind je dit zelf nodig?’. In dergelijke situaties zitten soms minimalisatiekansen. Zeker, als de argumentatie voor het ‘nodig’ niet sterk genoeg zijn.
De kansen voor minimalisatie worden groter bij uitdrukkingen als; ‘We willen dit graag’, ‘We vinden dit handig’, ‘Dat doen we al jaren zo’, ‘Dat heb ik zo geleerd’ of ‘Waarom niet?’. Ervaring leert dat dan de onderbouwing ontbreekt en er kan worden geschrapt in persoonsgegevens.
Zo min mogelijk kopieën maken
Ik kom vaak tegen dat organisaties werken met meerdere kopieën van dezelfde gegevens. Maar hoe meer kopieën er zijn, hoe meer er fout kan gaan. Je raakt gegevens kwijt of vergeet gegevens (tijdig) weg te gooien bijvoorbeeld. Eigenlijk zie je dat het overgrote deel van alle datalekken wordt veroorzaakt door kopieën die we maken: verkeerd gestuurde mails (met een mail maak je diverse kopieën), verloren back-ups (kopieën), verkeerd gestuurde bevestigingsbieven (kopieën), fysieke archieven die worden gevonden in plaats van vernietigd (oude kopieën). Kortom: hoe minder kopieën, hoe minder risico’s.
Zo snel mogelijk verwijderen
Wat je niet meer hebt, kan je ook niet lekken. Voorkom ‘data hoarding’ en ‘digitale obesitas’ en voorkom dat je persoonsgegevens bewaart die je niet meer nodig hebt. Hier zie ik in de praktijk verschillende problemen. Allereerst weet men niet exact wat de bewaartermijn is (‘Euh, doe maar 7 jaar ofzo?’). Ten tweede weet men niet wat allemaal moet worden bewaard. Kleine anekdote. Ik kom regelmatig bij organisaties die ook de Cv’s en motivatiebrieven van medewerkers in het HR-dossier opslaan. Maar waarom bewaar je eigenlijk een CV en motivatiebrief van iemand die bij je in dienst is? Om bij het 12,5-jarig jubileum uit te citeren?
En als iemand dan 20 jaar bij een organisatie werkt, valt dat CV dan ook binnen de bewaartermijn? Probleem is daarmee dat er wel een bewaarplicht is voor zoiets als een HR-dossier, maar voor welk gedeelte van dit dossier eigenlijk?
Derde probleem is dat veel oudere systemen niet goed zijn in weggooien. Iets kan wel verwijderd lijken (voor de gebruiker) maar niet verwijderd zijn (voor de techneuten).
De gouden regel voor Privacy by Design
Zo zit er achter iedere gouden regel natuurlijk een heel verhaal. Maar dat hele verhaal komt vanzelf wel, als mensen deze top 3 maar onthouden.