Privacy by default is het principe, vastgelegd in artikel 25 lid 2 van de AVG, dat organisaties moeten waarborgen dat het hoogste niveau van privacybescherming automatisch wordt toegepast zonder dat enige actie van het individu vereist is. Dit betekent dat wanneer een systeem of dienst meerdere privacy-instellingen biedt, de meest beperkende optie de standaard moet zijn, en alleen de persoonsgegevens die strikt noodzakelijk zijn voor het specifieke doel mogen worden verwerkt.
In de praktijk beïnvloedt privacy by default productontwerpbeslissingen zoals opt-in in plaats van opt-out toestemmingsmechanismen, minimale gegevensverzamelingsformulieren, beperkt standaard delen van gegevens met derden, en beperkte toegang tot persoonsgegevens binnen de organisatie. Het werkt samen met privacy by design en vereist samenwerking tussen juridische, product- en engineeringteams om privacybeschermende standaarden in te bedden gedurende de gehele verwerkingslevenscyclus.