Privacy-by-design/default

Med Persondataforordningen stilles der krav til Privacy-by-design/default

Privacy-by-design/default handler om, hvordan databeskyttelse bliver tænkt ind i en virksomheds produkter, services og forretningsprocesser allerede fra start.

Privacy-by-design er en tilgang, der sikrer, at virksomheden indarbejder databeskyttelse som en integreret del af virksomhedens forretningsprocesser, værdikæde og produktlivscyklus. Lige fra produktionsfasen til at produktet havner hos slutbrugeren.

Privacy-by-default betyder, at produkter allerede fra start er indstillet til at sikre den højeste persondatabeskyttelse. Samtidigt er det nødvendigt at sikre sig, at personlig information om en bruger kun bliver opbevaret, så længe som det er nødvendigt for at levere et produkt eller en service.

Begge principper har til formål at reducere mængden af data, der automatisk deles, og sørge for at forbrugerne som udgangspunkt selv har ret til at bestemme, hvor meget af deres data, der skal deles og være synligt.

Privacy-by-design/default til nyudvikling af løsninger

Principperne for privacy-by-design/default er essentielle at følge, hver gang man skal udvikle løsninger, der behandle persondata.

Fremtidige løsningers standardindstillinger skal derfor indstilles, så de begrænser unødvendig brug af data og fremmer formålsspecifik behandling.

Det er dog ikke et krav, at eksisterende it-systemer bliver redesignet, så længe de overholder forordningen.

Skal man fremadrettet lave tilpasninger på eksisterende it-løsninger, kan det dog være nødvendigt at tænke privacy-by-design/default ind.

Når f.eks. KMD arbejder med privacy-by-design/default, indarbejder de det i deres arbejdsprocesser.

”Helt konkret etablerer og følger vi en checkliste tidligt i softwareudviklingen og arbejder efter nogle bestemte best-practices og standarder. Her tænker vi typisk på OWASP-standarden, for at være på den sikre side,” siger Ole Haugaard Madsen, sikkerhedsdirektør i KMD.

Organisationen skal have et nyt mindset

Den nye persondataforordning og kravene til korrekt databehandling, kan for mange virksomheder kræve en mentalitetsændring hos medarbejderne.

For med den nye lovgivning, skal virksomheder begrænse deres dataindsamling, til hvad der kun er rimeligt og nødvendigt for at opretholde en bestemt service. Og det skal alle medarbejdere være opmærksomme på.

Samtidig skal slutbrugeren altid være i stand til at kontrollere deres data og skal, til enhver tid kunne vide, hvor deres data opbevares, hvordan de bliver brugt og de skal kunne slette disse data eller forhindre andre i at indsamle dem.

Derfor er det nødvendigt, at også den øverste ledelse i en virksomhed får understreget betydningen af forordningens regler, så alle virksomhedens ansatte får persondatabeskyttelse ind under huden.

Privacy-by-design/default skal tænkes ind fra starten

Tænker man privacy-by-design ind fra start, vil man opleve, at potentielle problemer bliver identificeret på et tidligt stadie, og at de derfor bliver nemmere at forholde sig til og billigere at rette.

”Det er vigtigt, at man gør de rigtige overvejelser undervejs i udviklingen, og at man sikrer sig, at man bruger den rigtige it-arkitektur. Det kræver dygtige udviklere, der skal dokumentere, at det sker. Hvis man kommer for sent i gang med sikkerhedsovervejelserne, ender man nemlig oftest med at forsinke eller fordyre projektet,” udtaler Ole Haugaard Madsen.

Er databeskyttelse en fast del af den tekniske udvikling af it-systemerne, processerne og alle led i virksomhedens organisationsstruktur, er der større chance for at efterleve forordningens krav, minimere risici og styrke brugernes tillid til virksomheden.

”Et godt råd herfra er at sørge for at skabe en risikobaseret tilgang til sikker kodning. Og sørg for at indarbejde beslutningerne i allerede eksisterende arbejdsprocesser på et tidligt tidspunkt,” slutter Ole Haugaard Madsen.

Udarbejd en konsekvensanalyse (PIA)

En god tilgang til at sikre privacy-by-design/default er, at udarbejde en konsekvensanalyse også kaldet en PIA (Privacy Impact Assessment), der tydeliggør konsekvenserne af virksomhedens databehandling.

En PIA skal altid udføres, før man starter en databehandling, da den gør det nemmere at designe processer, der behandler persondata mere effektivt.

Det er altid den dataansvarlige, der skal sikre, at konsekvensanalysen udarbejdes, og at dens indhold opfylder alle krav. Har man en databeskyttelsesrådgiver (DPO) ansat, skal denne være med til at rådgive og udarbejde konsekvensanalysen.

En PIA skal som minimum indeholde følgende:

  1. En beskrivelse af de påtænkte databehandlinger og deres formål.
  2. En vurdering af behandlingens nødvendighed og proportionalitet.
  3. En vurdering af risikoen for de personer, hvis persondata bliver behandlet.
  4. Foranstaltninger til at imødegå risici og demonstrere overholdelse af persondataforordningen.

Derudover bør man i analysen også forholde sig til, hvordan virksomheden generelt vil fremme:

  • Dataminimering – Databehandlingen skal være tilstrækkelig, relevant og begrænset til. hvad der er nødvendigt til formålet.
  • Kryptering – Brug kryptering som en selvfølgelighed.
  • Anonymisering – Hvor oplysninger samles i grupper, så enkeltpersoner aldrig kan genkendes ud fra gruppen.
  • Pseudonymisering – Hvor enkelte identificerbare parametre udskiftes med koder, f.eks. et personnummer der udskiftes med bogstaver.
  • Adgangskontrol – Hav styr på hvor I har data, hvorfor I behandler/opbevarer data og hvem der har adgang til data.
  • Logning – Lav maksimal registrering af al anvendelse af personoplysninger. Disse registreringer skal som minimum indeholde: tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes.
  • Logovervågning – Overvåg og analyser logfiler.

Det er afgørende, at resultatet af ens konsekvensanalyse efterfølgende integreres i alle led af organisationen, der beskæftiger sig med persondatabehandling, så databeskyttelse bliver tænkt ind i fremtidige designs.

Du kan læse mere om udarbejdelse af PIA på Erhvervsstyrelsens Privacykompasset og på Datatilsynets side: Vejledning om databeskyttelses-konsekvensanalyser (DPIA)  (engelsk udgave)

Hvis du vil vide mere

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.