De begrippen privacy by design en privacy by default worden vaak in één adem genoemd, maar toch gaat het om twee verschillende zaken.
De in de AVG opgenomen eis van privacy by design vraagt van organisaties dat zij al vanaf het begin zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens afdwingen. Direct al bij de ontwikkeling van producten en diensten moet er aandacht zijn voor privacy. Denk bij ICT-producten en -diensten aan het implementeren van privacy-verhogende maatregelen (privacy enhancing technologies). Eén van de vragen die gesteld moeten worden, is of het voor het product of de dienst écht nodig is om persoonsgegevens te verwerken. Of kan het ook met volledig geanonimiseerde gegevens? Als dat niet kan, is de beveiliging van de gegevens (encryptie, toegangscontrole, etc.) uiteraard zeer belangrijk, en kan wellicht het pseudonimiseren van de persoonsgegevens een oplossing zijn.
Welke gegevens zijn eigenlijk nodig (dataminimalisatie)? Voor een webshop is bij het bestelformulier het adres nodig, maar waarom zou je ook de geboortedatum moeten vragen? Wil de ondernemer iemand een attentie kunnen sturen voor zijn verjaardag, vermeldt dat doel dan én laat dit invulveld facultatief (niet verplicht in te vullen).
Hoe lang worden gegevens bewaard, oftewel: welke bewaartermijnen zijn van toepassing? Hoe kan een betrokkene zijn rechten uit de AVG uitoefenen? Ook dat zijn vragen die bij aanvang en ontwikkeling meegenomen worden.
Privacy by default ziet op de standaardinstellingen. De standaardinstellingen van een dienst, programma, website, app of apparaat moeten zo privacyvriendelijk mogelijk zijn. Alleen als de gebruiker daar actief voor kiest, worden meer gegevens gedeeld. De aanmelding voor een nieuwsbrief bij het plaatsen van een bestelling op een website moet bijvoorbeeld als opt-in (zelf aanmelden) geregeld worden en niet als opt-out (je ontvangt de nieuwsbrief automatisch, het ‘vinkje’ staat al op ‘ja’, totdat je je afmeldt). Een app mag bijvoorbeeld niet bij het installeren direct je adresboek kopiëren of je locatie doorgeven. Daarvoor moet eerst toestemming gevraagd worden. De standaardinstellingen zijn maximaal privacybeschermend.