Databeskyttelse gennem design (eller ‘privacy by design) er et krav til behandlingen af personoplysninger, som kommer af databeskyttelsesforordningens artikel 25.
Privacy by design omfatter IT-systemer, arbejdsprocesser og fysisk infrastruktur (fx hardware), da behandling af persondata foretages i en sammenhæng af disse elementer.
Hele processen skal designes
Privacy by design indebærer et fokus rettet mod risikostyring.
Privacy by design kræver, at man beskytter persondatasikkerheden i hele livscyklussen for en databehandling. Det er er uanset om det er et system, et hardware- eller softwareprodukt, en tjeneste eller en proces.
Ved en behandlings livscyklus forstås alle dele af behandlingen; fra at behandlingen af persondata indledes ved fx indsamling af persondata, og til at persondata slettes igen. Dette omfatter udvikling, produktion, drift, vedligeholdelse og sletning af persondata.
Desuden indebærer privacy by design, at der skal indføres foranstaltninger til beskyttelse af persondatasikkerheden i projektets tidlige faser, men også til alle de tilknyttede forretningsprocesser, der behandler disse persondata.
Formålet er at sikre, at databeskyttelse er implementeres fra udviklingsstadiet og ikke blot bliver noget, der tilføjes til en process eller et system senere hen. Beskyttelse af persondatasikkerheden skal være en integreret del af behandlingen af persondata.