Inleiding
Privacy by Design en Privacy by Default houden in dat ontwikkelaars bij de ontwikkeling van producten en diensten meteen al rekening houden met het waarborgen van privacy; ze moeten de passende technische en organisatorische maatregelen en ook dataminimalisatie toepassen. Aan de ene kant dus door ontwerp, zowel technisch als procedureel. Aan de andere kant door middel van standaardinstellingen.
De verzekeringsbranche werkt veel met softwarepakketten. Daarom is het belangrijk dat deze partijen dit voldoende voortvarend adresseren. Binnen de keten als geheel speelt dit vraagstuk ook bij de uitwisseling van gegevens tussen ketenpartijen.
Pseudonimisering
Privacy by Design is mogelijk door het toepassen van technieken als pseudonimisering. Pseudonimisering is een vorm van encryptie. Het is bijvoorbeeld mogelijk om namen weg te halen door deze te vervangen door numerieke codes. De sleutel waarmee de nummers weer omgezet kunnen worden in namen wordt veilig in een ander systeem bewaard, dat zeer beperkt toegankelijk is.
Dataminimalisatie
Een andere toegepaste techniek is die uitsluitend noodzakelijke persoonsgegevens uitwisselt en verwerkt (dataminimalisatie). De optimale situatie verzamelt alleen de strikt noodzakelijke gegevens.
Binnen de context van regie op gegevens zijn hierbij globaal drie strategieën te onderkennen:
- Alleen die gegevens die strikt noodzakelijk zijn voor het beantwoorden van de vraag (dataminimalisatie door filteren).
- Conclusie als gegeven en niet de gegevens die leiden tot de conclusie (dataminimalisatie door delen conclusies).
- Cryptografisch bewijs over gegevens zonder de gegevens zelf te delen (dataminimalisatie door wiskundig bewijs).
Privacy enhancing technologies (PET)
Privacyverhogende maatregelen noemen we ook wel privacy enhancing technologies (PET). Een centraal principe van PET is het verminderen van de herleidbaarheid van persoonsgegevens naar de betrokkene, met anonimisering van gegevens als zwaarste vorm: na anonimisering zijn de gegevens niet meer te herleiden tot de oorspronkelijke gegevens en daarmee ook niet langer een onderwerp voor de AVG. Het CBP publiceerde in 2013 richtsnoeren.