Databeskyttelse gennem design (eller ‘privacy by design) er et krav til behandlingen af personoplysninger, som kommer af databeskyttelsesforordningens artikel 25.
Privacy by design omfatter IT-systemer, arbejdsprocesser og fysisk infrastruktur (fx hardware), da behandling af persondata foretages i en sammenhæng af disse elementer.
Hele processen skal designes
Privacy by design indebærer et fokus rettet mod risikostyring.
Privacy by design kræver, at man beskytter persondatasikkerheden i hele livscyklussen for en databehandling. Det er er uanset om det er et system, et hardware- eller softwareprodukt, en tjeneste eller en proces.
Ved en behandlings livscyklus forstås alle dele af behandlingen; fra at behandlingen af persondata indledes ved fx indsamling af persondata, og til at persondata slettes igen. Dette omfatter udvikling, produktion, drift, vedligeholdelse og sletning af persondata.
Desuden indebærer privacy by design, at der skal indføres foranstaltninger til beskyttelse af persondatasikkerheden i projektets tidlige faser, men også til alle de tilknyttede forretningsprocesser, der behandler disse persondata.
Formålet er at sikre, at databeskyttelse er implementeres fra udviklingsstadiet og ikke blot bliver noget, der tilføjes til en process eller et system senere hen. Beskyttelse af persondatasikkerheden skal være en integreret del af behandlingen af persondata.
Privacy by Design’s 7 principper
Privacy by design er et koncept, som oprindeligt er udviklet af Ann Cavoukian, som arbejdede med informationssikkerhed i Canada. Der refereres til konceptet i artikel 25 i GDPR-reglerne, og det er derfor interessant at se nærmere på de 7 principper, som forfatteren til konceptet anvendte i sin definition.
Til principperne er tilføjet forslag til handlinger, som du kan tage for at efterleve hvert enkelt princip.
Proaktivitet
Persondatasikkerhed skal sikres via forebyggelse. Du skal være på forkant med risici – og ikke på bagkant.
Du skal altså designe dine systemer, processer og infrastruktur, så de fra starten indarbejder passende sikkerhedsforanstaltninger for persondatasikkerheden.
I praksis, så kan dette kræve følgende af en virksomhed:
- En klar forpligtelse fra ledelsens side til at fremme en proaktiv tilgang til persondatabeskyttelse ved udviklingen af en behandlingsaktivitet.
- Udvikling af en kultur om løbende forbedringer hos alle medarbejdere, da en politik ikke betyder noget, før og medmindre den omsættes til konkrete handlinger..
- Fastlæggelse og tildeling af konkrete ansvarsområder, således at alle ansatte er bevidste om kravene til behandlingen personoplysninger.
Standardindstilling
Databeskyttelse skal være standard i dine processer og systemer, og skal således designes ind i behandlingen fra starten.
Hvis en medarbejder i din virksomhed ikke ændrer ved privatlivsindstillingerne, så skal databeskyttelsen allerede være i top for den registrerede, som der behandles personoplysninger omkring.
Du må ikke kræve at en person skal ændre indstillinger i et system eller en proces for at kunne beskytte personoplysningerne. Det skal allerede være indbygget i systemet fra starten, at personoplysninger behandles efter best practice.
I praksis, så kan dette kræve følgende af en virksomhed:
- Kriterierne for dataindsamling skal være så begrænsede som muligt.
- Begræns brugen af personoplysninger til de formål, som de blev indsamlet til, og sørg for, at der er et legitimt grundlag for behandlingen.
- Begræns adgangen til personoplysninger til de ansatte, der er involveret i behandlingen og på “need to know” basis, og gør dette i overensstemmelse med den enkeltes arbejdsfunktion.
- Fastsæt opbevaringsfrister, og indfør mekanismer der bidrager til at efterleve sletningen af persondata.
Integreret i designet
Privatlivsbeskyttelsen skal være integreret i systemer og processer. Beskyttelsen skal ikke blot være en tilføjelse efter at systemet er bygget eller processen tilrettelagt.
I praksis, så kan dette kræve følgende af en virksomhed:
- Gør det til et krav ved udformningen af virksomhedens organisatoriske processer, og ved udviklingen af IT-systemers livscyklus.
- Udfør en risikovurdering, som en del af udviklingen af processer og IT-systemer.
- Dokumentér alle beslutninger, der vedtages i virksomheden ud fra perspektivet “privacy by design”.
Fuld funktionalitet
Du bør implementere privacy by design således, at brugeroplevelsen er både sikker og god. Du bør søge at opnå en synergieffekt, således at persondatasikkerhed ikke implementeres på bekostning af andre funktioner.
I praksis, så kan dette kræve følgende af en virksomhed:
- Husk, at forskellige interesser kan eksistere på samme tid i en process eller i en service. Virksomhedens interesse i at behandle data ud fra forretningshensyn kan eksistere sammen med interessen i at beskytte persondata.
- Spørg både brugerne og interne interessenter i forhold til deres meninger, og søg en løsning herfra, som kan imødekomme alle hensyn.
Vugge-til-grav
Databeskyttelsen skal integreres i hele behandlingen; fra vugge til grav. Data skal indsamles sikkert, behandles og opbevares sikkert, samt slettes korrekt. For at kunne gøre dette, så skal det persondatasikkerhed indtænkes fra starten.
I praksis, så kan dette kræve følgende af en virksomhed:
- Anvend pseudonymisering og anonymisering.
- Kryptering af persondata, sådan at standardtilstanden for personda ved kompromittering er, at de ikke kan afkodes.
- Sikker sletning af oplysningerne ved udløb af behandling.
Synlighed og gennemsigtig
Databehandlingen bør være transparent og tydelig for eksterne, hvilket er vigtigt for at påvise efterlevelse af reglerne på området, samt udvise troværdighed overfor brugere.
I praksis, så kan dette kræve følgende af en virksomhed:
- Udarbejdelse af en privatlivspolitk, samt lignende politiker fx ved indhentning samtykke, som kan bruges i praksis i kommunikationen med brugene ved behandlingen af deres personoplysninger.
- Sørg for at have tilgængelige, simple og effektive kommunikationskanaler fx en kontaktformular, således at brugerne kan henvende sig angående behandlingen af deres persondata.
Brugerorienteret
Du bør først og fremmest have brugernes hensyn i fokus ved at sikre passende databeskyttelse, god oplysning, samt en brugervenlig oplevelse.
I praksis, så kan dette kræve følgende af en virksomhed:
- Implementering af privacy by default (standardindstillinger), som beskytter personlige oplysninger.
- Information til brugerne om konsekvenserne for deres privatliv, hvis de ændrer på fx indstillingerne i et system.
- Fuldkomne oplysninger bør stilles til rådighed for brugeren, så de kan afgive et informeret, frit, specifikt og utvetydigt samtykke, og som er eksplicit i de tilfælde, der kræver dette.
- Brugerne har adgang til fx en privatlivspolitik med oplysninger omkring behandlingsaktiviteterne, hvor personoplysningerne behandles.
Opsummering
GDPR-reglerne kræver, at man efterlever princippet om privacy by design.
I praksis skal du ved tilrettelæggelsen af din behandling af persondata indføre dette princip på basis af en risikovurdering.