Wat is privacy by design + by default? (AVG Art. 25)

Privacy by design + by default (AVG Art. 25) is geen vrijblijvend "leuk om te doen" — het is een wettelijke verplichting met boetes (Art. 83 lid 4, tot €10m / 2%). Concept dateert uit jaren 90 (Ann Cavoukian) maar werd in 2018 hard recht. Twee onderdelen: (1) Privacy by Design (DPbD): privacy als ontwerpvereiste in elk nieuw product, dienst, proces. Niet "we doen privacy ook" als laatste sprint, maar ingebouwd vanaf user-research + architectuur. Concrete vereisten: dataminimalisatie, pseudonimisering, encryptie at-rest + in-transit, audit-logs, scope-controle. (2) Privacy by Default: de privacy-vriendelijkste instellingen zijn vooraf actief. Geen "alles uit by default" + verwachten dat gebruiker aanvinkt — andersom. Bv. social media profiel = privé by default, niet openbaar. Locatie = uit by default, niet aan. Analytics = uit by default tot consent. Praktische voorbeelden: WhatsApp E2E-encryptie by default (positief), Facebook openbare profielen 2007 (negatief — leidde tot AP-onderzoeken). Voor bedrijven: DPIA + privacy-review verplicht onderdeel van product-development sprints. Voor consumenten: als een dienst je vraagt om privé-instellingen aan te zetten = signaal dat het bedrijf NIET Art. 25 naleeft → klacht AP.