Privacy by design (gegevensbescherming door ontwerp) betekent dat persoonsgegevens beschermd worden door het ontwerp van de systemen en processen. Het idee is dat er al in een vroeg stadium nagedacht wordt over wat er technisch en organisatorisch nodig is om zorgvuldige omgang met persoonsgegevens af te dwingen. Hierdoor wordt het voor de gebruiker zo makkelijk mogelijk gemaakt om het juiste te doen. Data waar je geen toegang tot hebt, kan je ook niet kwijtraken.
Privacy by design houdt in dat bij het ontwerpen en inrichten van een nieuw systeem rekening gehouden wordt met de basisprincipes van de AVG. Dat er bijvoorbeeld niet meer gegevens verwerkt worden dan noodzakelijk (dataminimalisatie), dat de gegevens na een bepaalde tijd verwijderd of geanonimiseerd kunnen worden (opslagbeperking) en dat de standaardinstellingen privacy vriendelijk zijn (privacy by default).
Privacy by design betekent bovendien niet alleen het inbouwen van privacy in systemen zelf, maar ook in de werkprocessen en managementstructuur.