Gegevensbescherming door ontwerp (ook bekend als Privacy by Design) is een wettelijke verplichting onder artikel 25 van de AVG die organisaties verplicht om gegevensbeschermingsmaatregelen te integreren in het ontwerp en de architectuur van systemen, processen en producten vanaf de vroegste ontwikkelingsfasen. Dit omvat maatregelen zoals pseudonimisering, toegangscontroles, standaard dataminimalisatie en versleuteling, in plaats van privacyfuncties achteraf toe te voegen.
Deze aanpak verlaagt de kosten en inspanning voor het bereiken van compliance aanzienlijk, aangezien het achteraf inbouwen van privacymaatregelen in bestaande systemen doorgaans veel duurder en foutgevoeliger is. Het helpt organisaties ook om betrouwbaardere producten te bouwen, handhavingsacties te voorkomen en aan auditors en toezichthouders aan te tonen dat privacy is ingebed in de organisatiecultuur.