Innebygd personvern: Hva er det, og hvorfor er det viktig i forhold til personopplysningsloven?

Gillian Loones
By: Gillian Loones GDPR | 4 januar

Å jobbe med datasikkerhet kan føles overveldende og forvirrende, særlig etter at loven om behandling av personopplysninger (også kjent som GDPR) trådte i kraft. Et av de sentrale kravene i regelverket er det som kalles innebygd personvern eller “privacy by design” på engelsk. Dette er et krav som angår alle som behandler personopplysninger, og er derfor viktig å sette seg inn i! I dette blogginnlegget har vi tenkt til å se nærmere på hva innebygd personvern går ut på, hvordan det henger sammen med personopplysningsloven og ikke minst – hvordan du kan implementere det i din bedrift! 

Hva er innebygd personvern?

Innebygd personvern går ut på å ta hensyn til personvern allerede når du utvikler nye teknologiske løsninger i bedriften din. Konseptet ble først og fremst brukt i programvareutvikling, hvor ideen var at ved å ta hensyn til personverntiltak allerede i planleggingsfasen av programvaren. På den måten ville det bli en del av systemets kjerne.  

Hvorfor bry seg om innebygd personvern?

Som nevnt er innebygd personvern et sentralt krav i personopplysningsloven, som i seg selv er grunn nok til å implementere det i bedriften din. Men finnes det flere fordeler ved å utvikle tjenestene sine på denne måten? Absolutt! Fordelene ved innebygd personvern er mange, ikke minst når det gjelder å framtidssikre bedriften din. 

Er du ikke helt overbevist, her er noen fordeler ved innebygd personvern: 

    • Bedre datasikkerhet som vil redusere sannsynligheten for data på avveie og store økonomiske tap. 
    • Du viser at du bryr deg om kundene dine og forstår viktigheten av å beskytte personvernet deres  – noe som bidrar til å bygge et mer tillitsfullt forhold.  
    • Du framtidssikrer bedriften din ved å bli bedre rustet til å respondere til strengere krav og forvetninger fra forbrukere. 
    • Du minimerer tiden og ressursene du er nødt til å bruke på å kjempe imot stadig endrede IT trusler fordi du allerede har et sterkt fundament.  

Les mer: Hvordan sikre at bedriften din er GDPR compliant

CTA_e-book_blog-desktop

Innebyd personvern i personopplysningsloven

Kravet om innebygd personvern finnes i artikkel 25 i personopplysningsloven (hele artikkelen finner du her. Her står det blant annet at den behandlingsansvarlige skal «integrere de nødvendige garantier i behandlingen» av data, og at dette skal skje både i utviklingen av  tjenesten som skal brukes i forbindelse med behandlingen og ved tidspunktet for selve behandlingen.  

 Artikkelen dekker også et annet viktig konsept som er verdt å merke seg; personvern som standardinnstilling. Dette går ut på at  «[…] det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen som behandles” og at «[…] personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.» Med andre ord; virksomheter bør begrense datainnsamling til de dataene som er strengt nødvendige, og hvis en bruker ikke foretar seg noe skal dataene fortsatt beskyttes og personvernet ivaretas. 

 

Example – cookie notice

Når et varsel om informasjonskaplser eller “cookies” dukker opp, er det ikke uvanlig at folk ignorerer det. Hvis personvern er standardinnstillingen, vil kun de strengt nødvendige informasjonskapslene være aktive og standardinstillingen med maksimal databeskyttelse er den som gjelder. Flere informasjonskapsler vil kun aktiveres når brukeren godtar dem.  

Likevel ser vi mange nettsteder som aktiverer alle informasjonskapslene automatisk. I dette tilfellet vil det å klikke bort varselet tolkes som å godta alle tredjeparts informasjonskapsler. Dette er ikke personvern som standardinnstilling. 

Vi har ikke innebygd personvern  – blir vi bøtelagt? 

Innebygd personvern og personvern som standardinnstilling er juridiske forpliktelser, og å ikke ta dem i bruk er et brudd på regelverket. Når det er sagt, er det sjeldent at bøter blir gitt på grunn av manglende implementering – noe som tyder på at innebygd personvern ikke håndheves strengt. Likevel er det en god ide å ta i bruk innebygd personvern, ikke minst for å være bedre rustet skulle kravene bli strengere.

Hvordan komme i gang med innebygd personvern?  

«[…] egnede tekniske og organisatoriske tiltak» 

Artikkel 25 om innebygd personvern er ikke særlig tydelig når det kommer til implementering. Utover «egnede tekniske og organisatoriske tiltak», samt to eksempler (pseudonymisering og dataminimering) gir den ikke mye veiledning til hva «egnede tiltak» faktisk innebærer.  

Heldigvis har Datatilsynet utviklet en guide for å hjelpe norske virksomheter med å etterleve kravet i personopplysningsloven. 

Som denne guiden påpeker er man ikke nødt til å slavisk implementere alle aktivitetene, men heller ta i bruk de som gir mening for din. Kun små endringer vil utgjøre en stor forskjell, og mange av datasikkerhetstiltakene du allerede har innført bidrar til innebygd personvern. 

De syv grunnleggende prinsippene bak innebygd personvern 

For å komme i gang med innebygd personvern, er de syv grunnleggende prinsippene bak innebygd personvern også et fint sted å starte. Disse ble utviklet i 2009 av Ann Cavoukian, tidligere kommisær for informasjon og personvern i Ontario, Canada. 

De syv prinsippene er:

  1. Vær i forkant, forebygg fremfor å reparere

  2. Gjør personvern til standardinstilling

  3. Bygg personvern inn i designet 

  4. Skap full funksjonalitet

  5. Ivareta informasjonssikkerhet fra start til slutt

  6. Vis åpenhet

  7. Respekt for brukerens personvern

Vi skal se nærmere på hvert av disse prinsippene og forklare hva “egnede tekniske og organisatoriske tiltak” innenfor hver av dem kan være. 

For å få et innblikk i gode eksempler på praktisk bruk av innebygd presonvern, sjekk også ut tidligere vinnere av Datatilsynets årlige konkurranse “Innebygd personvern i praksis".

1. Vær i forkant, forebygg fremfor å reparere

Dette er den generelle tankegangen du bør ha. Personvern skal tas hensyn til allerede i utviklingen av tjenestene dine. På den måten forebygger du personvernproblemer og datainnbrudd i stedet for å “slukke branner” etterhvert som de oppstår. 

Hvordan? En måte å gjøre dette på er å utføre en periodisk risikoanalyse der du identifiserer potensielle personverns- og datarisikoer og konsekvensene de vil ha for bedriften din. Dermed kan du sette i gang tiltak for å beskytte data før eventuelle negative hendelser inntreffer – og på den måten forhindre dem. Vi utviklet en nyttig mal for risikoanalyse som kan hjelpe deg med å komme i gang med proaktiv identifisering av risikoer i virksomheten. 

2. Gjør personvern til standardinnstilling

Alle tjenestene i virksomheten din skal være utformet slik at personvern og data beskyttes automatisk. Hvis en kunde ikke foretar seg noe, bør kun den minimale mengden data samles inn og personvernet forbli beskyttet (tenk tilbake på eksempelet med “cookie” varselet”). 

Hvordan? Vurder nøye hvilke data du trenger for å nå forretningsmålene. Når du så samler inn disse dataene, må du sørge for å: 

  • Kun samle inn data du trenger.  
  • Slett alle data du ikke lenger bruker eller trenger. 
  • Ha et lovlig formål med innsamlingen. 

Les mer om minimering av data her.

3. Bygg personvern inn i designet

Personvern og sikkerhet skal være innebygd i IT-systemets design og i forretningspraksisen. Det bør ikke være en ettertanke og noe som legges til senere. På den måten blir personvernet en del av systemets kjerne, uten at det går på bekostning av funksjonaliteten.  

Hvordan? Se på sikkerhetssvakheter på samme måte som du gjør designfeil. Dersom det oppstår en feil bør du gå tilbake til tenkeboksen og utforme prosessen eller systemet slik at en slik sårbarhet ikke er mulig i utgangspunktet. 

4. Skap full funksjonalitet

Dette henger i tråd med prinsippet over – personvern behøver ikke være noe som går ut over målene i virksomheten din, som effektivitet eller funksjonalitet. Ved å ta hensyn til personvern og sikkerhet helt fra starten, er det mulig å oppnå vinn-vinn situasjoner som personvern og effektivitet, personvern og funksjonalitet.  

Hvordan? Involver personen eller teamet som er ansvarlig for databeskyttelse i designaktivitetene, slik at de lettere kan tilpasse seg til det du ellers ønsker å oppnå med tjenesten. I stedet for å utforme en arbeidsflyt og deretter levere den til for eksempel IT-avdelingen for å sjekke om den er sikker nok, kan du prøve å samarbeide med noen fra IT helt fra starten. 

5. Ivareta informasjonssikkerheten fra start til slutt

Informasjonssikkerhet skal være til stede gjennom hele datalevetiden; før informasjonen samles inn, mens dataene behandles og når de blir slettet i slutten av prosessen.  

 

Data levetiden?

Når du arbeider med (personlige) data,  er det en god idé å ta et livssyklus perspektiv. Det betyr at du vurderer hvordan data brukes gjennom de forskjellige fasene av dataens “levetid”, inkludert oppretting, lagring, behandling, arkivering og sletting. 

Hvordan? Ta i bruk sikkerhetstiltak som for eksempel kryptering, autentisering og logging i alle stadiene av datalevetiden. Dette vil gjøre at: 

  • Kun strengt nødvendige data samles inn, og alltid med et tydelig oppgitt formål. 
  • Dataene oppbevares kun i den minimale tiden det tar å oppnå formålet. 
  • Dataene lagres og behandles sikkert ved hjelp av f.eks. kryptering, streng tilgangskontroll og loggemetoder
  • Dataene blir slettet på en sikker måte så snart de ikke lenger er nødvendige. 

6. Vis åpenhet

Sørg for at brukeren får klar og tydelig informasjon om hvilke data som samles inn, hva de vil brukes til og hvordan informasjonen deres blir beskyttet. Folk bør også bli tydelig informert om rettighetene sine samt ha muligheten til å stille spørsmål, levere klager eller slette dataene sine. 

Hvordan? Ha en lett forståelig personvernerklæring som kundene enkelt kan slå opp i når de er i tvil. 

7. Respekter brukerens personvern

Dette siste prinsippet er her or å minne oss på det vi ønsker å oppnå: å behandle kundenes data og personvern med respekt. 

Hvordan? Ha den enkelte brukers beste i tankene når du utvikler systemer og rutiner for databehandling. Sørg for å gi kundene dine sterke standardvalg for personvern, passende varsler og en god oversikt over daten som samles inn om dem. På den måten gir du dem mulighet til å aktivt håndtere egne data, eller i det minste være oppmerksomme på egne data. 

Til syvende og sist må du ikke glemme at det er brukeren som eier dataene sine og at du kun har dem til låns. Vis kundene dine at du forstår verdien av personvernet deres, og at du bruker dataene deres på en ansvarlig måte. Vis dem at de kan stole på deg! 

Konrete tiltak for å implementere innebygd personvern

Nå har du forhåpentligvis en bedre forståelse av hva innebygd personvern er og hvilke prinsipper som ligger bak dette konseptet. Så langt har vi nevnt noen tiltak for implementering som blant annet å gjennomfære regelmessige risikoanalyser, praktisere dataminimering og skrive en klar personvernerklæring. I tillegg til disse finnes det en rekke andre konkrete tiltak du kan ta i bruk allerede i dag, som vi skal dekke her.  

Formaliser forpliktelsen til personvern og data beskyttelse

Inkluder personvern og databeskyttelse i virksomhetens visjon, verdigrunnlag eller interne retningslinjer. Formalisering av denne forpliktelsen er et viktig skritt i forhold til å overholde den. Et forslag er å skrive en erklæring om informasjonssikkerhet og erklæring om akseptabel bruk. Vi har utviklet maler for begge deler. 

Utnevn et team eller en person som er ansvarlig for personvern

This could for example be a databeskyttelsesrådgiver. Kommuniser tydelig hvem dette er og hvordan de kan kontaktes – både til ansatte, kunder og samarbeidspartnere.

Gi kundene et alt-i-ett personvernportal

Gjør det lett for kundene dine å finne og administrere alt om personvern og datakontroll. Altfor ofte kan personvern- og datainnstillinger være vanskelige å finne ved at de er spredt rundt i forskjellige innstillingsmenyer. 

Tydelig kommunikasjon og dokumentasjon av årsakene og begrunnelsene for innsamling av data

For hver opplysning du samler inn, bør du tydelig dokumentere og kommunisere formålet og det juridiske grunnlaget, samt hvilke personer eller prosesser som vil behandle dataene. 

Unngå mørke mønstre

Brukerfokusert og brukervennlig design betyr også å unngå mørke mønstre. For eksempel bør varselet om informasjonskapsler inneholde et tydelig merket alternativ for å «avslå», på lik linje med alternativet «godta». Du bør ikke manipulere folk til å gi fra seg mer data enn de frivillig ville samtykket til. 

Sørg for at teamet ditt håndterer data riktig og sikkert

Implementer tiltak for å forhindre at de ansatte bruker dataene til noe annet enn det dokumenterte formålet, eller ikke følger retningslinjene for databeskyttelse. Dette kan være alt fra opplæring i minimering av data, pseudonymisering og anonymisering; eller tekniske sikkerhetstiltak som tilgangskontroller, kryptering og loggføringsmetoder.  

Sikre et tettere samarbeid mellom personvernteamene og forretningsteamene

Både personvern og forretningsmål kan oppnås uten at det ene påvirker det andre negativt. Dette kan gjøres ved å sørge for at begge teamene jobber sammen i det prosjektet starter slik at begge kan kan kommed med innspill.  

Konsekvensanalyser av personvern

Gjennomfør konsekvensanalyser av store prosesser og prosjekter. 

Hyppig overvåking av personvern-og datarisikoer

Jevnlig overvåk personvern- og nettsikkerhetsrisikoene i aktivitetene dine og gjennom alle stadiene i datalivssyklusen: innsamling, lagring, behandling og sletting. Trusler mot personvern og data er stadig skiftende. Det er viktig at du setter opp et rammeverk der, f.eks. risikoanalyse utføres med jevne mellomrom.   

Dine ansatte er viktige for innebygd personvern

Det er klart at implementering av innebygd personvern innebærer en del tekniske tiltak i forhold til utformingen av IT-systemene dine. Men selv det beste IT-systemet vil ikke hjelpe dersom dine ansatte ikke er klar over hva innebygd personvern er og hvordan de i praksis kan ta i bruk prinsippene som ligger bak.  

For eksempel er det viktig at teamet ditt vet hva personopplysninger er, hva som er vanlige personvernsrisikorer og hva de generelle reglene for håndtering av personopplysninger er. På den måten vil de lettere kunne forstå hvorfor de kun bør lagre kundedata i det angitte systemet eller stedet, og ikke i sine egne uoppgitte regneark. 

Med andre ord er det dine ansatte som trolig er ditt viktigste våpen mot å sikre et sterkt personvern i bedriften din. Uvitende ansatte vil behandle data på måter som kanskje ikke er optimale for personvernet. 

Bruke bevissthetstrening for innebygd personvern

En god måte å få dine ansatte til å tenke på en bruker-sentrisk, personvern-først måte, er å gjennomføre opplæring i sikkerhetsbevissthet. Tidligere diskuterte vi opplæring av ansatte som en av de konkrete handlingene som sikrer innebygd personvern. Bevissthetstrening er designet for akkurat dette formålet: å gjøre folk bevisste på risiko, regler, viktige prosedyrer.  

Ta for eksempel det første prinsippet om personvern via design: vær i forkant, forebygg fremfor å reparere. Å identifisere risikoer og utvikle passende tiltak og sikkerhetsrutiner innebærer også å gjøre de ansatte oppmerksomme på disse risikoene og å lære dem hvordan de skal reagere på dem.  

Sikkerhetsproblemer blir ofte betraktet som et teknisk problem, men faktum er at det er mangel på bevissthet som fører til at et teammedlem klikker på en phishing-lenke. 

Å komme i gang med bevissthetstrening er enklere enn du tror, les mer her.

Konklusjon

Selv om personopplysningsloven ikke er særlig tydelig når det kommer til implementering av innebygd personvern, er det ikke vanskelig å se hvordan dette konseptet henger i tråd med lovens overordnede mål: Å gi den enkelte brukeren mer kontroll over egne data.  I tillegg så er det med på gjøre bedriften GDPR compliant som du kan lese mer om her.

Å ta i bruk konseptet innebygd personvern vil ikke bare hjelpe din bedrift med å overholde personopplysningsloven, men også bidra til å bygge et tillitsfullt og åpent forhold med dine kunder og samarbeidspartnere. Og det kan vel ikke skade?