Beleid inzake privacy by design en privacy by default

Het Beleid inzake privacy by design en privacy by default definieert hoe privacyvereisten moeten worden ingebed in nieuwe en gewijzigde verwerkingsactiviteiten met persoonlijk identificeerbare informatie (PII) binnen het toepassingsgebied van het privacy-informatiemanagementsysteem. Het is van toepassing op projecten, producten, diensten, systemen, toepassingen, integraties, inkoopactiviteiten en wijzigingen in bedrijfsprocessen. Het beleid is opgesteld voor contexten van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken, verwerkers en subverwerkers, met inbegrip van situaties waarin de organisatie verwerking ontwerpt, configureert, wijzigt of uitvoert namens een klant, verwerkingsverantwoordelijke of bovenliggende verwerker op basis van gedocumenteerde instructies. Het kerndoel is te waarborgen dat privacyvereisten worden geïdentificeerd, geïmplementeerd en met bewijsmateriaal worden onderbouwd voordat verwerking van persoonlijk identificeerbare informatie (PII) begint of wezenlijk wijzigt. Het beleid legt bijzondere nadruk op doel, noodzakelijkheid, minimalisatie en privacybeschermende standaardinstellingen. Proceseigenaren en bedrijfseigenaren moeten minimale categorieën persoonlijk identificeerbare informatie (PII), categorieën betrokkenen, bronnen en doelen documenteren in REG02 en REG04 vóór goedkeuring van het ontwerp voor verzameling of import. Systeemeigenaren en applicatie-eigenaren moeten standaardinstellingen voor verwerking configureren op de minimale verzameling en verwerking van persoonlijk identificeerbare informatie (PII) die nodig is voor het gedocumenteerde doel, en moeten vóór livegang bewijsmateriaal vastleggen in REG04. Optionele velden met persoonlijk identificeerbare informatie (PII), optionele verwerkingskeuzes, standaard uitgeschakelde instellingen, blootstellingsinstellingen voor weergaven en rapportages, en de behandeling van tijdelijke bestanden, caches, logboeken of stagingregistraties worden behandeld als privacyverplichtingen in de ontwerpfase, niet als operationele correcties achteraf. De koppeling met privacyrisico en DPIA is ingebouwd in het ontwerpproces zonder de afzonderlijke methodologie uit PII07 te vervangen. De Privacy Lead / PIMS-manager moet bevestigen dat privacyrisicoscreening en DPIA-screening in REG04 zijn vastgelegd vóór ontwerpgoedkeuring voor nieuwe of wezenlijk gewijzigde verwerking van persoonlijk identificeerbare informatie (PII). Behandelingsmaatregelen voor privacyontwerp, eigenaren en vervaldatums moeten worden vastgelegd voordat de beoordeling wordt afgesloten, en implementatiebewijsmateriaal moet vóór livegang worden vastgelegd. Voor verwerking door een verwerkingsverantwoordelijke met een hoog risico of een wezenlijke wijziging vereist het beleid ook een privacyontwerpcontrole na implementatie in REG04 binnen 30 kalenderdagen na livegang. Wanneer ontwerpkwesties ontbreken, niet doeltreffend zijn, achterstallig zijn of worden omzeild, wordt een corrigerende maatregel geopend in REG12. Het beleid breidt privacy by design ook uit naar inkoop en relaties met derde partijen. Leveranciers- en inkoopeigenaren moeten privacy-by-design-vereisten voor leveranciers, verwerkers, subverwerkers, SaaS-diensten, platforms of extern gehoste systemen in REG08 vastleggen vóór inkoopgoedkeuring. Noodzakelijkheid van persoonlijk identificeerbare informatie (PII) bij derde partijen, het doel en minimale categorieën persoonlijk identificeerbare informatie (PII) moeten worden gedocumenteerd vóór externe verwerking, gegevensdeling of inkoopgoedkeuring. Ondersteuning door leveranciers voor privacy-by-default-instellingen, minimalisatie en klantconfiguratiebehoeften moet worden vastgelegd vóór onboarding, terwijl onopgeloste privacyontwerphiaten bij leveranciers binnen vijf werkdagen en vóór contractondertekening naar REG12 worden geëscaleerd. Governance, monitoring, handhaving en onderhoud worden gedefinieerd via terugkerend bewijsmateriaal en beoordelingscycli. De Privacy Lead / PIMS-manager dient per kwartaal statussamenvattingen van privacyontwerp in REG12 in, berekent metrieken voor voltooiing en achterstallige maatregelen, en verifieert dat ontwerpbewijsmateriaal vóór interne audit geconsolideerd blijft in REG02, REG04, REG08 en REG12. Het topmanagement beoordeelt uitzonderingen met hoge impact, geblokkeerde beslissingen over livegang en terugkerende bevindingen tijdens de directiebeoordeling. Handhavingsbepalingen vereisen het voorkomen van livegang wanneer de REG04-beoordeling onvolledig is, het voorkomen van onboarding wanneer REG08-bewijsmateriaal ontbreekt, en de opschorting van nieuwe of gewijzigde verwerking van persoonlijk identificeerbare informatie (PII) totdat de REG04-beoordeling, REG02-updates en vereiste REG12-uitzonderingen zijn voltooid.