Zgodnie z tą zasadą privacy by design domyślnie przyjmujemy ochronę danych jako obowiązkowy element planowanego procesu, dokumentu, mechanizmu, czy funkcjonalności. Domyślna ochrona danych to dla nas w praktyce przede wszystkim założenie z automatu, że m.in.: przetwarzamy minimalne dane (tylko niezbędne, w minimalnym zakresie), przetwarzamy dane tylko takich osób, których musimy (czyli ograniczamy do minimum kategorie podmiotów danych), określamy od razu okres ich przechowywania (najkrótszy potrzebny, aby unikać przetwarzania danych w nieskończoność), bierzemy pod uwagę zasadę minimalnego dostępu do danych (wiedzy koniecznej, a więc minimalnego koniecznego kręgu osób, minimalnych uprawnień ustawionych jako domyślne).

Ta zasada jest ściśle powiązana z zasadą privacy by design, czyli ochroną danych w fazie projektowania. W jej duchu w praktyce przede wszystkim projektujemy środki bezpieczeństwa (techniczne i organizacyjne), jak szyfrowanie, ograniczenie miejsc przetwarzania danych, czy wszelkie inne zabezpieczenia, a zwłaszcza funkcjonalności systemu Webankieta, które domyślnie powinny gwarantować prywatność. Zapewnienie takich mechanizmów ma w naszym podejściu mieć formę domyślną, a nie dopiero wtedy, kiedy użytkownik zmieni swoje ustawienia na bardziej "prywatne" (np. zamaskowane hasła, brak automatycznej opcji zapamiętywania haseł, wymuszenie zmiany hasła okresowo).