"Regel jij de privacy!" zei de leiding van het programma Toegang Rijk eenvoudig. Dat leek me - ervaren IT'er maar geen jurist - een leuke uitdaging. Want de rechter heeft de ministeries in 2011 verboden het BSN nog langer te gebruiken als identificatiemiddel bij het verlenen van toegang aan medewerkers. En dus is daarvoor iets nieuws bedacht, het Rijks Identificerend Nummer.

Privacy als speciaal aandachtsgebied bij systeemontwerp bestaat nog niet lang. De minister van BZK heeft het 'Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst' laten ontwikkelen, maar dit kun je niet zonder meer toepassen. Omdat je een dergelijk model sowieso op maat moet maken.

En dat maatwerk maakt het leuk. Want het dwingt je goed na te denken over het wat, het hoe en het waarom van een design. Let op waarom-vraag! Die heeft te maken met de 'noodzaak en doelbinding van het verwerken van persoonsgegevens'. "Waarom zijn al die persoonsgegevens nodig voor het zorgvuldig toekennen van een RIN?" Als ik dit voorleg aan de ontwerpers van de RIN-oplossing, blijken ze met een paar persoonsgegevens minder vrijwel hetzelfde resultaat te kunnen halen. Ze passen het design aan. De oplossing kan daardoor de privacytoets doorstaan, maar wordt ook eenvoudiger, beter.
Dankzij privacy by design.

Alles bij de bron; BinnlandsBestuur