In het kader van de AVG wordt vaak gesproken over privacy by design en privacy by default. Deze begrippen zijn zeer relevant voor onderwijsorganisaties en de gecontracteerde ICT-leveranciers.

Privacy by design: De wet spreekt van gegevensbescherming door ontwerp. Hierbij dient er al rekening gehouden te worden met de beginselen van gegevensbescherming voordat een systeem of proces in gebruik wordt genomen.

Privacy by default: De wet spreekt van gegevensbescherming door standaardinstellingen. Hiermee wordt bedoeld dat de standaardinstelling van software en systemen altijd zo privacy-vriendelijk mogelijk worden ingesteld.

Het grote verschil tussen de twee is dus dat privacy by design plaatsvindt tijdens de ontwerpfase, dus voordat de software of systemen worden gebruikt, terwijl privacy by default gaat om de standaardinstellingen. In het laatste geval zijn de software of systemen dus al geproduceerd.