Privacy by design betekent onder de AVG dat u gegevensbescherming vanaf het eerste ontwerp van een systeem of proces inbouwt, en dat de standaardinstelling de meest privacyvriendelijke is. Dat is de dubbele verplichting van artikel 25 AVG: gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default). In de praktijk: u kiest bij het bouwen van een app, formulier of proces bewust voor minder gegevens, kortere bewaring en strengere toegang — en die keuzes staan standaard aan, zonder dat de gebruiker iets hoeft te doen.
Artikel 25 is een verplichting, geen aanbeveling. Toch is het het beginsel dat organisaties het vaakst overslaan, omdat het vóór de bouw moet gebeuren en niet achteraf is te repareren zonder herontwerp.
Key Takeaways
- Art. 25 AVG verplicht passende technische en organisatorische maatregelen vanaf de ontwerpfase.
- Privacy by default: de standaardinstelling verwerkt alleen de gegevens die voor elk specifiek doel noodzakelijk zijn.
- De maatstaf is risicogebaseerd — u weegt de stand van de techniek, de kosten en de risico’s voor betrokkenen.
- Bij hoog-risicoverwerkingen loopt privacy by design samen met de verplichte DPIA.
- De AP betrok privacy by design in haar TikTok-besluit (€750.000, 2021) over de bescherming van kinderen.
De twee verplichtingen van artikel 25
Artikel 25 lid 1 gaat over privacy by design: bij het bepalen van de verwerkingsmiddelen én tijdens de verwerking zelf treft u maatregelen zoals pseudonimisering om de beginselen van artikel 5 AVG effectief te maken. De maatstaf is niet absoluut: u weegt de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en risico’s van de verwerking.
Artikel 25 lid 2 gaat over privacy by default: standaard verwerkt u alleen de gegevens die voor elk doel nodig zijn. Dit raakt de hoeveelheid gegevens, de omvang van de verwerking, de bewaartermijn en de toegankelijkheid. Een sociaal netwerk dat profielen standaard op “openbaar” zet, schendt lid 2; de privacyvriendelijke stand (“alleen vrienden”) hoort de default te zijn.
De EDPB Guidelines 4/2019 werken beide leden uit en benadrukken dat maatregelen effectief moeten zijn — een symbolisch vinkje volstaat niet.
De maatstaf van artikel 25 is bewust risicogebaseerd en niet absoluut. U hoeft niet elke denkbare maatregel te treffen, ongeacht de kosten; u weegt de stand van de techniek, de uitvoeringskosten en de risico’s tegen elkaar af. Voor een eenvoudig contactformulier volstaan lichte maatregelen; voor een platform dat gezondheidsgegevens van duizenden mensen verwerkt, ligt de lat veel hoger. Die proportionaliteit maakt artikel 25 werkbaar, maar ook lastig: u moet de afweging kunnen onderbouwen. Een organisatie die zegt “dit was te duur” zonder de risico’s te hebben gewogen, voldoet niet — de afweging zelf, en de vastlegging ervan, is onderdeel van de verplichting.
Privacy by design per projectfase
Het beginsel is pas hanteerbaar als u het koppelt aan uw ontwikkelcyclus. Per fase:
| Fase | Privacy-by-design-actie |
|---|---|
| Idee / intake | Bepaal doel en grondslag; is de verwerking überhaupt nodig? |
| Ontwerp | Kies datamodel met minimale velden; standaardinstellingen op privacyvriendelijk |
| Bouw | Pseudonimiseer, versleutel, beperk toegang op rolniveau |
| Test | Gebruik geen echte productiedata; controleer defaults |
| Livegang | DPIA afgerond bij hoog risico; register bijgewerkt |
| Beheer | Periodieke review; verwijder velden die niet meer nodig zijn |
De duurste fout is privacy pas bij livegang bespreken. Dan zijn het datamodel en de standaardinstellingen al vastgelegd, en wordt elke aanpassing een dure verbouwing. Een privacymaatregel die in de ontwerpfase een halve dag kost, kost na livegang vaak weken aan herbouw en migratie — en in de tussentijd loopt u een handhavingsrisico. Vroeg investeren in privacy by design is daarom niet alleen een juridische keuze maar ook de goedkoopste route.
Design-review checklist
Loop bij elke nieuwe verwerking deze punten langs:
- Doel en grondslag vastgelegd vóór de bouw — geen “we bedenken later waarvoor”.
- Dataminimalisatie toegepast: elk veld gemotiveerd (zie dataminimalisatie).
- Standaardinstellingen privacyvriendelijk: minimale zichtbaarheid, geen voorgevinkte toestemming.
- Toegang beperkt op need-to-know, met logging.
- Bewaartermijn technisch afgedwongen, niet alleen op papier.
- Beveiliging conform artikel 32 AVG: versleuteling, pseudonimisering.
- DPIA uitgevoerd bij hoog-risicokenmerken (grootschalig, bijzondere gegevens, profilering).
Handhaving: kinderen en standaardinstellingen
Privacy by design is niet vrijblijvend. De AP legde TikTok in 2021 een boete van €750.000 op omdat de privacyverklaring niet in het Nederlands beschikbaar was voor Nederlandse kinderen — een ontwerpkeuze die de informatieplicht en de bescherming van minderjarigen raakt. Het onderliggende thema is telkens hetzelfde: standaardinstellingen en ontwerpkeuzes bepalen of gegevensbescherming echt werkt. Bij kinderen legt de AP de lat extra hoog, omdat de standaard juist hén moet beschermen.
Voor organisaties die veel verwerkingen ontwerpen, is het lastig om artikel 25 consequent toe te passen zonder structuur. Een compliance-platform zoals Legiscope verankert doel, grondslag, gegevenscategorieën en bewaartermijn per verwerking, zodat privacy by design een controleerbaar onderdeel van elk ontwerp wordt in plaats van een goede voornemen. Vergeet niet elke ontwerpkeuze vast te leggen in het verwerkingsregister — dat is het bewijs richting de AP.
Privacy by design versus privacy als bijzaak
De kern van artikel 25 is een verschuiving in het moment waarop u over privacy nadenkt. In de traditionele aanpak bouwt een team eerst het product en plakt daarna een privacyverklaring en een cookiebanner erop. Dat is te laat: het datamodel ligt vast, de standaardinstellingen staan op “alles aan”, en gevoelige velden zijn al ingebouwd. Elke correctie wordt dan een dure verbouwing.
Privacy by design draait de volgorde om. De privacyvraag komt vóór de eerste regel code: welk doel dienen we, welke gegevens zijn strikt nodig, en hoe zetten we de standaard op de meest beschermende stand? Drie praktische ontwerpprincipes helpen daarbij:
- Minimale verzameling. Elk veld begint als optioneel en moet zijn bestaan verdienen. Zie dataminimalisatie als de motor achter privacy by default.
- Beperkte toegang. Rollen bepalen wie wat ziet; niemand heeft standaard toegang tot alles. Logging maakt achteraf controleerbaar wie wat deed.
- Ingebouwde vergetelheid. Bewaartermijnen worden technisch afgedwongen, niet handmatig bewaakt. Na afloop verwijdert het systeem de gegevens automatisch.
Deze principes maken privacy by design meetbaar. Een reviewer kan bij elke oplevering vaststellen of de standaardinstelling privacyvriendelijk is, of de toegang beperkt is en of de verwijdering geautomatiseerd is. Zo verandert artikel 25 van een vaag ideaal in een concrete acceptatiecriteria-lijst die elk ontwerp moet halen voordat het live gaat.
FAQ
Wat is het verschil tussen privacy by design en privacy by default?
Privacy by design (art. 25 lid 1) gaat over de maatregelen die u in het hele ontwerp inbouwt om de AVG-beginselen effectief te maken. Privacy by default (art. 25 lid 2) gaat specifiek over de standaardinstellingen: die moeten uit zichzelf alleen de noodzakelijke gegevens verwerken, zonder actie van de gebruiker.
Is privacy by design verplicht of aanbevolen?
Verplicht. Artikel 25 AVG is een harde controllerverplichting. De AP kan handhaven als u geen passende maatregelen vanaf het ontwerp heeft getroffen, ook zonder dat er een datalek is geweest.
Moet ik altijd een DPIA doen bij privacy by design?
Nee. Een DPIA is alleen verplicht bij verwerkingen met een waarschijnlijk hoog risico. Maar waar een DPIA nodig is, vult privacy by design de uitkomsten in: de DPIA identificeert risico’s, artikel 25 verplicht u de maatregelen daadwerkelijk in te bouwen.
Hoe toon ik aan dat ik privacy by design toepas?
Door uw ontwerpkeuzes te documenteren: welke gegevens u standaard verwerkt, welke maatregelen (pseudonimisering, toegangsbeperking, bewaartermijn) u trof en waarom. Leg dit vast in het verwerkingsregister en, bij hoog risico, in de DPIA.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial