Vad betyder Privacy by Design, och varför är det viktigt för GDPR?

Gillian Loones
By: Gillian Loones GDPR | 7 december

Att arbeta med dataskydd, kan upplevas som ett stort överväldigande, förvirrande projekt. Sedan GDPR införde har komplexiteten också ökat. I denna artikel, kommer jag att gå igenom ett tankesätt som kan underlätta dina insatser kring integritet, dataskydd och GDPR genom att använda Privacy by Design (inbyggt dataskydd). Efter att läst inlägget får du en bred kännedom om vad Privacy by Design är, hur det förhåller sig till GDPR och hur det kan hjälpa även de minsta företagen att höja sin integritet och dataskydd.

Vad är Privacy by Design?

Privacy by Design, som på svenska kallas inbyggt dataskydd, användes först inom program- och systemutveckling. Vilket innebar att de system som byggdes, hade inbyggda åtgärder för att skydda integriteten. På så sätt kunde man säkerställa att systemet hade grundläggande funktioner för dataskydd, utöver det som systemet var utformat att lösa i första hand.

Man kan ta detta tankesätt från systemutveckling, till ett bredare sammanhang, som till exempel ditt företag. För ditt företag skulle det betyda att för varje ny process som implementeras, ska dataskydd och integritetsskydd tas med från starten av planeringen. Alltså, Privacy by Design är att tänka på dataskydd vid utformningen av nya processer.

Att skydda dina kollegors och kunders data och integritet är något som ni alltid borde eftersträva lika dedikerat som dina affärsmål. Genom att använda Privacy by Design, stärker du skyddet av personuppgifter. Kontrollen över data ligger hos ägaren av dem, och samtycket att få behandla dem kan närsomhelst tas tillbaka.

Varför ska små företag bry sig om cybersäkerhet?

Att designa system och processer med Privacy by Design kan först verka som ett onödigt tillägg, men det ger många fördelar. Du kan arbeta med designskyddet i små steg, och uppleva fördelarna snabbt. Du behöver inte radikalt förändra allt över en natt.

Några fördelar med Privacy by Design:

  • Det gör dataskyddet i din organisation starkare, och därmed minskas risken att ni utsätts för dataintrång. Dataintrånget är något som kan leda till stora förluster för en verksamhet.

  • Du visar dina kunder att du förstår värdet av deras integritet, och att du är ansvarsfull när du använder deras personuppgifter. Du får uppbyggt ett förtroendefullt förhållande.

  • Det är ett bra sätt att framtidssäkra ditt företag. Vi kan ganska säkert förvänta oss att reglerna, och kundernas förväntan, kommer öka i framtiden. Att redan idag börja anpassa ert företag efter individers integritet, gör att du i framtiden inte behöver göra det hastigt och kostsamt.

  • Hot inom cybersäkerhet är under snabb och konstant förändring. Genom att bygga in ett starkt grundskydd för data i dina system och processer, minimerar du den tid och de resurser du behöver lägga på att reagera på nya risker som uppstår.

  • Privacy by Design är en del av GDPR, så att implementera det så har ni kommet en lång bit på vägen att efterleva GDPR.

Smart CTA_e-book SE

Privacy by Design och GDPR

Baserat på konceptet med Privacy by Design, introducerar GDPR i artikel 25: Data Protection by Design (Dataskydd genom design) och Data Protection by default (Dataskydd som standard). Här under kommer jag att kort förklara bägge begreppen, men om du vill kan du läsa hela artikel 25 här.

Data Protection by Default – Dataskydd som standard

Data Protection by Default är beskrivet som:

  • "Som standard, behandlas endast de personuppgifter som är nödvändiga för att uppnå syftet med ändamålet”

  • “Som standar, utan individens ingripande görs inte personuppgifter tillgängliga till ett obegränsat antal fysiska personer”

Med andra ord: organisationer ska minska insamlingen av personuppgifter till det absolut nödvändigaste för att kunna utföra jobbet. Samt, om en användare inte vidtar några åtgärder ska deras data fortfarande skyddas och deras integritet garanteras.

 

Exempel: Cookies

Tänk dig ett helt vanligt cookie-meddelande. De flesta av oss brukar ignorera dem, eller bara klicka bort dem snabbast möjligt. Med Data Protection by Default, ska detta förhållande sätt till cookies innebära att endast de cookies som är absolut nödvändigast förbli aktiva. För en användare som inte vidtar åtgärder innebär det att standardinställningen, den med maximalt dataskydd, inte ska ändras. Fler cookies får bara aktiveras när användaren godkänner dem.

Men, vissa webbplatser aktiverar däremot automatiskt alla cookies. Att bara klicka bort ett cookiemeddelande på en sån plats kan innebära att du accepterar alla tredjepartscookies. Det är inte Data Protection by Default.

Data Protection by Design – Inbyggt dataskydd genom design

Data Protection by Design kan definieras som; integrering av nödvändiga skyddsåtgärder i behandlingen”. Med andra ord, måste alla åtgärder för skydd av data integreras med system som behandlar personuppgifter, genom systemets design säkerställer man att personuppgifter skyddas.

Det är inte helt tydligt hur strikt GDPR ser på implementering...

Data Protection by Design, är enligt en GDPR en juridisk skyldighet för alla verksamheter i EU. Att inte genomföra implementeringen innebär alltså ett brott mot GDPR. Men, per dagens datum kan vi inte se att det har utfärdats många GDPR-böter, på grund av att Data Protection by Design inte hade implementerats, vilket indikerar att Privacy by Design inte helt strikts efterlevs.

Detta innebär inte, att du inte ska bry dig om det. Som jag tidigare nämnt så innebär arbetet med Privacy by Design, många fler fördelar. Samt din nationella dataskyddsmyndighet kan helt plötsligt bestämma sig för att börja tillämpa det mer strikt.

Så, hur kommer du igång med Privacy by Design? 

Börja jobba med Privacy by Design

lämpliga tekniska och organisatoriska åtgärder

Tyvärr är artikel 25 ganska kort, ”lämpliga tekniska och organisatoriska åtgärder” och två exempel (pseudonymisering och minimering av data) ger inte så mycket vägledning. För vad menas med lämpliga åtgärder?

Som tur är, bidrar alla de åtgärder du redan vidtagit för att stärka ert dataskydd, också troligen till Privacy by Design. Vi nämnde tidigare att små steg mot Privacy by Design, är en rimlig och troligen den bästa vägen framåt för de allra flesta företag. Det finns ingen grund till att bli avskräckt att fortsätta jobba med små steg i taget.

Vi har tidigare försökt att sätta några ord och exempel på vad som menas med “lämpliga åtgärder”, genom att granska ett par tidigare utfärdade GDPR-böter.

Privacy by Designs 7 grundläggande principer

För en mer konkret vägledning, kan vi använda oss av den ursprungliga betydning av Privacy by Design. Tillbaka i 2009, utvecklade Ann Cavoukian, då informations- och sekretesskommissarie i Ontario, Kanada, de 7 grundprinciperna som Privacy by Design är byggt på.

De 7 principerna är:

  1. Proaktiv inte reaktiv; Förebyggande inte avhjälpande

  2. Integritet som standardinställning

  3. Integritet inbäddad i design

  4. Full funktionalitet – Positiv summa, inte nollsumma

  5. End-to-End-säkerhet – Skydd för hela livscykeln

  6. Synlighet och transparens – Håll det öppet

  7. Respekt för användarnas integritet – Tänk på användarperspektivet

Här under kommer vi att diskutera varje princip för sig, och koppla dem till några första steg du kan ta mot ”lämpliga tekniska och organisatoriska åtgärder”.

1. Proaktiv inte reaktiv; Förebyggande inte avhjälpande

Den första principen syftar till det allmänna tankesätt du ska genom alla principer. Dataskydd och integritet ska komma upp i början av en planering för alla nya initiativer ni tar på företaget.

Du ska alltid eftersträva att förebygga integritetsproblem och dataintrång, än att släcka bränder efter att de har hänt.

Ett sätt att göra detta på är att regelbundet genomföra en riskanalys, där du identifierar potentiella integritets- och datarisker och deras eventuella påverkan på ditt företag. Du kan sedan vidta de nödvändiga åtgärder innan den eventuella risken uppstår. Alltså jobbar du förebyggande.

Vi har utvecklat en användbar mall för riskanalys, som kan hjälpa dig att komma igång med att proaktivt identifiera risker i din organisation.

2. Integritet som standardinställning

Alla era IT-system och processer i er organisation måste utformas så att integritet och data skyddas automatiskt. Om en enskild kund inte vidtar några åtgärder ska den endast den mest nödvändiga data samlas in om dem, och deras integritet ska förbli skyddad (tänk tillbaka på cookie-meddelandet).

Enkelt uttryckt ska ditt företag som standard samla in så lite information som möjligt. Den data som samlas in, har ett tydligt syfte till varför den ska behandlas.

Du ska noga överväga vilken typ av data du behöver för genomföra ditt jobb. När du samlar in dessa uppgifter, se då till att:

En praktisk riktlinje att följa för uppgiftsminimering.

3. Integritet inbäddad i design

Denna princip betyder att integritet och säkerhet ska vara lika viktigt som alla dina mål du försöker uppnå när du utformar nya processer eller aktiviteter.

Ett annat sätt att se på denna princip är genom samma syn man brukar ha när man upptäcker sårbarheter. Agera på samma sätt när du upptäcker ett designfel. Om du upptäcker ett design fel som kan påverka era intäkter ska du inte lösa det med en lapplösning. Gå tillbaka ritbordet, och designa om processen eller systemet för att minska sårbarheten.

4. Full funktionalitet - Positiv summa, inte nollsumma

Denna princip relaterar till det vi diskuterat tidigare, integritet och säkerhet ska vara lika viktigt som dina affärsmål. Det innebär att det kan bli svårt att tillföra säkerhetsåtgärder efter en process har utformats. Det gör att säkerheten uppleves som något som inte prioriteras, åtgärderna kan kännas tidskrävande av dem som ska utföra dem så de kan prova att undgå dem.

Den fjärde principen försöker att förhindra att detta sker. Poängen här är att integritet inte ska vara något som tar något ifrån andra mål, som effektivitet eller funktionalitet.

Genom att arbeta med integritet och säkerhet från början är tanken att sådana dilemman kan övervinnas för att skapa en win-win-situation – integritet och effektivitet, integritet och funktionalitet.

Men hur gör man det? Genom att personen/personerna som är ansvariga för dataskydd blir mer involverade i designaktiviteterna när ett nytt system eller process tas fram.

Så istället för att designa ett arbetsflöde och sedan överlämna det till exempelvis IT-avdelningen för att kontrollera om det är tillräckligt säkert, försök samarbete med någon från IT från början.

5. End-to-End-säkerhet - Skydd för hela livscykeln

Denna princip tar också upp saker vi redan vet. Åtgärder för dataskydd genomförs proaktivt innan den första informationen samlas in och behålls under hela livscykeln för personuppgifterna, innan de raderas i slutet av processen.

Datalivscykel? Livscykel för behandling av personuppgifter

När man arbetar med personuppgifter är det ofta hjälpsamt att tänka på hanteringen som en livscykel. Det gör att du kan överväga hur datan ska behandlas under de olika faserna av dess liv, så som insamling, lagring, bearbetning, arkivering och förstörelse.

Det betyder i grund och botten att dataskydd ska vara en standard i varje skede av livscykeln. Till exempel ska säkerhetsåtgärder som kryptering, autentisering, loggning etc. användas under varje fas.

Med detta i tanke, tillsammans med de tidigare principerna innebär det att:

  • Endast strikt nödvändiga uppgifter samlas in med ett tydligt kommunicerat syfte varje gång.

  • Uppgifterna sparas under den absolut minimala tid som krävs för att uppfylla syftet.

  • Data lagras och behandlas säkert genom t.ex. kryptering, stark åtkomstkontroll och loggningsmetoder.

  • Uppgifterna förstörs på ett säkert sätt så snart de inte längre är nödvändiga för att uppfylla syftet.

6. Synlighet och transparens - Håll det öppet

Denna princip är ganska simpel. Du ska vara öppen och transparent inför de personer du samlar in data från, inklusive vilka personuppgifter som samlas in, till vilket syfte och hur skydd av dem säkerställs. Personer ska också informeras tydligt om sina rättigheter och möjligheter att ställa frågor, lämna in klagomål och få sin data raderad om det skulle önskas.

Det handlar fram för allt om att ha en tydlig och begriplig sekretesspolicy som dina kunder enkelt kan hänvisa till när de är i tvivel. Vi har utvecklat en praktisk guide och mall för att hjälpa dig komma igång med att skriva en stark IT-säkerhetspolicy.

7. Respekt för användarens integritet - Tänk på användarperspektivet

Den sisa principen påminner oss om att det viktigaste vi vill uppnå, att behandla våra kunders personuppgifter och integritet med respekt.

Därför kan det vara en bra ide att komma ihåg den enskilda användarens intresse i åtanke när du skapar nya metoder för databehandling. Utforma dem på ett tydligt, användarvänligt sätt som ger användarna starka sekretessinställningar, lämplig kommunikation och en tydlig översikt över deras insamlade data.

Utforma dina system och processer på ett sådant sätt att användare ges möjlighet att aktivet hantera sin egen data, eller skapa åtminstone en medvetenhet hos dem. Så att användaren förblir ägare till sina egna uppgifter. Eftersom i slutändan lånar ditt företag bara dina kunders data, och de kan när som helst dra tillbaka sitt samtycke.

Detta leder oss tillbaka till det vi tidigare diskuterat: visa för dina kunder att du förstår värdet av deras integritet och att du är noga med att använda deras data på ett ansvarsfullt sätt.

Konkreta åtgärder för att implementera av Privacy by Design

Jag hoppas att du nu har fått en djupare förståelse för vad Privacy by Design och Protection by Default vill uppnå, och varför det är viktigt att jobba med det gradvis.

Låt oss nu dyka djupare ner och utforska några av de “lämpliga tekniska och organisatoriska åtgärder” som kan användas för att implementera dessa sju principer i praktiken. Vi har redan diskuterat några av dem: till exempel att regelbundet genomföra en riskanalys, uppgiftsminimering och skapa en IT-säkerhetspolicy.

Kom ihåg att det inte är någon som förväntar sig att du ska vara en Privacy by Design expert redan från start. Du har nog redan insett att mycket kan uppnås genom relativt små åtgärder. Så även att bara arbeta med en, eller några av åtgärderna som beskrivs här under, så kan du bidra till ett starkare integritetsskydd till dit företag. Det finns också självklart andra åtgärder du kan vidta en dem vi kommer nämna här.

Tydligt engagemang från ledningen

Det kan till exempel vara att inkludera Privacy by Design i till exempel er verksamhets uppdragsbeskrivning, era värderingar och interna policyer. Att sätta ord på denna tankesätt är det första steget mot att göra det till en verklighet. En del av detta är att skriva en tydlig IT-säkerhetspolicy och Riktlinjer för IT-användning. Vi har utvecklat guider och mallar för dem båda.

Utse ett team eller en person som ansvarar för Privacy by Design

Det kan till exempel vara ett Dataskyddsombud (DPO). Här är det viktigt att tydligt kommunicera vem denna person är, och hur de/den ska kontaktas, både för era anställda, dina kunder och samarbetspartners.

Ge dina kunder en integritetsportal

Ge dina kunder en lätt åtkomlig plats där de kan hantera all sin integritet och kontroll av personuppgifter, på ett tydligt och användarvänligt sätt. För ofta kan integritet- och datainställningar vara ganska svåra att hitta eller spridas ut bland flera olika inställningsmenyer.

Kommunicera tydligt och dokumentera ditt syfte & motivation för din insamling av data

Att vara transparent i din datainsamling och under behandlingen innebär att du för varje typ av uppgift ska kommunicera ditt syfte, genom vilka personer och processer som kommer behandla uppgifterna, samt så ska du har en rättslig grund för att få lov att göra det.

Undvik dåliga vanor

Användarfokuserad och användarvänlig design innebär att man undviker dåliga vanor. Som till exempel ska ditt cookie-meddelande ha ett tydligt markerat alternativ för att “avvisa”, som är lika tydligt som för alternativet “acceptera”. Du ska inte manipulera människor till att lämna ut mer data än vad de är uppmärksamma på.

Säkerställ att ditt team hanterar data korrekt och säkert

Det kan till exempel vara åtgärder som stoppar din personal från att använda personuppgifter än för något annat än det ursprungliga syftet. Det kan uppnås genom utbildningar i olika metoder, så som; uppgiftsminimering, pseudonymisering och anonymisering; eller tekniska säkerhetsåtgärder som åtkomstkontroller, kryptering och loggningsmetoder.

Uppmuntra ett tätt samarbete med er DPO

Tanken är både dataskydd och affärsmål kan uppnås utan att det ena ska uteslutas av det andra. Det kan man uppnå genom att uppmuntra att företagets dataskyddsombud (eller den ansvarige för personuppgifter) arbetar tätt tillsammans med de personer som ska starta upp en ny aktivitet.

Konsekvensbedömningar för dataskydd (DPIA)

Utför konsekvensanalyser av dataskydd (DPIA) för större processer och projekt. Återigen är det viktigt att involvera flera perspektiv här så att DPIA inte hindrar er att uppnå era satta affärsmål.

Frekvent övervakning av integritets- och datarisker

Övervaka integritets- och cybersäkerhetsrisker i dina processer och aktiviteter regelbundet och under alla stadier av datans livscykel; insamling, lagring, bearbetning och radering. Hot mot integritet och data ändras ständigt, därför är det viktigt att du skapar ett ramverk där till exempel riskanalysen utförs regelbundet.

Ditt team är lika viktigt för att uppnå stark integritet av Privacy by Design

Att implementera Privacy by Design and by Default genom att använda sig av de 7 grundprinciper innebär såklart en hel del tekniska åtgärder i era IT-system. Men som du kanske har märkt är ett genomgående tema att organiska affärsmetoder och processer i sig lika viktiga för att säkerställa att integritet förblir standard under hela datalivscykeln.

Men, det är ditt team som förmodligen är det viktigaste för att säkerställa ett starkt dataskydd. Ditt team måste vara medvetna om vad personuppgifter är, vilka vanliga risker kring personuppgifter som finns, vad de allmänna reglerna för hantering av personuppgifter är och så vidare.

Ditt team behöver denna medvetenhet och kunskap så att de kan förstå varför dina affärsprocesser och system är utformade efter Privacy by Design. De ska förstå varför de bara får lagra kunddata i specifika systemet och inte i sina egna odokumenterade kalkylblad.

Kort sagt: medvenhet hos personal är en stor del av Privacy by Design and Default. Okunniga personer kommer utan tveksam att behandla data på ett sätt som kan inte är i linje med era regler kring integritet.

Använd utbildning i medvetenhet för Privacy by Design

Ett effektivt sätt att få din personal att tänka på ett användar-fokuserat sätt med integritet i fokus är genom att utföra utbildningar inom säkerhet. Tidigare nämnde vi personalutbildning som en konktet åtgärd som bidrar till Privacy by Design, medvetenhetsträning är utformade för just det syftet, att göra personal mer medvetna om bland annat risker, regler och rutiner.

Ta till exempel den första principen i Privacy by Design “Proaktiv inte reaktiv; Förebyggande inte avhjälpande”. Att proaktivt identifiera risker och utveckla passande åtgärder och skydd innebär också att du gör din personal medveten om dessa risker och utbildar dem i hur de ska bemöta dem.

Säkerhetsproblem betraktas ofta som tekniska problem, men bristande medvetenhet som kanske leder till att en kollega klickar på en nätfiske-länk är ett minsta lika allvarligt som ett tekniskt problem.

Att komma igång med medvetenhetsträning är enkelare än vad du tror.

Uppsummering

Även om GDPR:s resonemang och riktlinjer för dataskydd genom Privacy by Design är korta och ganska vaga, är det inte svårt att se hur dessa begrepp lätt överensstämmer med vad GDPR överlag försöker uppnå: att ge enskilda användare mer kontroll över sina data.

Genom att använda sig av de 7 principer i din organisation är du inte bara på god väg att följa GDPR, utan det hjälper också till att bygga upp ett förtroendefullt och öppet förhållande till dina kunder och partners. Och det har väll aldrig skadat någon?