Vad betyder Privacy by Design, och varför är det viktigt för GDPR?

Gillian Loones
By: Gillian Loones GDPR | 10 mars

Att arbeta med dataskydd kan upplevas som ett stort, överväldigande och förvirrande projekt. Sedan GDPR infördes har komplexiteten också ökat. I denna artikel, kommer jag att gå igenom ett tankesätt som kan underlätta dina insatser kring integritet, dataskydd och GDPR genom att använda Privacy by Design, även känt som inbyggt dataskydd. Efter att läst inlägget kommer du att ha en bred kännedom om vad Privacy by Design är, hur det förhåller sig till GDPRs sju principer och hur det kan hjälpa även de minsta företagen att höja sin integritet och dataskydd.

Innehållsförteckning

  1. Proaktiv inte reaktiv; Förebyggande inte avhjälpande

  2. Integritet som standardinställning

  3. Integritet inbäddad i design

  4. Full funktionalitet - Positiv summa, inte nollsumma

  5. End-to-End-säkerhet - Skydd för hela livscykeln

  6. Synlighet och transparens - Håll det öppet

  7. Respekt för användarens integritet - Tänk på användarperspektivet

Vad är Privacy by Design?

Privacy by Design, som på svenska även kallas inbyggt dataskydd, användes först inom program- och systemutveckling. Privacy by Design innebär att system har inbyggda åtgärder för att skydda integriteten. På så sätt säkerställer man att system har grundläggande funktioner för dataskydd, utöver de funktioner som systemet var utformat att lösa i första hand. 

Man kan ta de ursprungliga tankesättet med Privacy by Design från systemutveckling till ett bredare sammanhang, som till exempel ditt företag. För ditt företag skulle det betyda att för varje ny process som implementeras, ska dataskydd och integritetsskydd tas med från starten av planeringen. Alltså, Privacy by Design är att tänka på dataskydd vid utformningen av nya processer.

Att skydda dina kollegor och kunders uppgifter och integritet är något som ni alltid bör eftersträva i lika stor utsträckning som era affärsmål. Genom att använda Privacy by Design stärker du skyddet av personuppgifter och kontrollen över uppgifterna stannar hos ägaren av dem, som när som helst kan ta tillbaka sitt samtycke för behandling. 

      

Varför ska vi by oss Privacy by Design?

Att designa system och processer med Privacy by Design kan först verka som ett onödigt tillägg, men det ger många fördelar. Du kan arbeta med designskydd i små steg, och uppleva fördelarna snabbt. Du behöver inte radikalt förändra allt över en natt.

Några fördelar med Privacy by Design:

  • Det gör dataskyddet i din organisation starkare, och därmed minskas risken för att ni utsätts för dataintrång. Dataintrång har lett till stora förluster för flera svenska verksamheter. Undvik att begå samma misstag. 

  • Du visar dina kunder att du förstår värdet av deras integritet, och att du är ansvarsfull när du använder deras personuppgifter. Du bygger upp ett förtroendefullt förhållande.

  • Det är ett bra sätt att framtidssäkra ditt företag. Vi kan ganska säkert förvänta oss att reglerna, och kundernas förväntan, kommer öka i framtiden. Att redan idag börja anpassa ert företag efter individers integritet, gör att du i framtiden inte behöver göra det hastigt och kostsamt.

  • Hot inom cybersäkerhet är under snabb och konstant förändring. Genom att bygga in ett starkt grundskydd för data i dina system och processer, minimerar du den tid och de resurser du behöver lägga på att reagera på nya risker som uppstår.

  • Privacy by Design är en del av GDPR, att implementera det innebär alltså att ni har kommit en lång bit på vägen för att efterleva GDPR.

      

Privacy by Design och GDPR

Baserat på konceptet med Privacy by Design, introducerar GDPR i artikel 25: Data Protection by Design (Inbyggt dataskydd genom design) och Data Protection by default (Dataskydd som standard). Här under kommer jag att kort förklara bägge begreppen med hjälp av korta utdrag från artikel 25

      

Data Protection by Default – Dataskydd som standard

Data Protection by Default är beskrivet som:

  • "Som standard, behandlas endast de personuppgifter som är nödvändiga för att uppnå syftet med ändamålet”

  • “Som standard, utan individens ingripande görs inte personuppgifter tillgängliga till ett obegränsat antal fysiska personer”

Med andra ord: organisationer ska minska insamlingen av personuppgifter till endast det absolut nödvändigaste. Därutöver, även om en användare inte vidtar några åtgärder ska deras uppgifter alltid skyddas och deras integritet garanteras.

 

Exempel: Cookies

Tänk dig ett helt vanligt cookie-meddelande. De flesta av oss brukar ignorera dem, eller bara klicka bort dem så snabbt som möjligt. Med Data Protection by Defaul ska detta förhållningssätt till cookies innebära att endast de cookies som är absolut nödvändigast förblir aktiva. För en användare som inte vidtar åtgärder innebär det att standardinställningen, den med maximalt dataskydd, inte ska ändras. Fler cookies får bara aktiveras när användaren godkänner dem.

Men vissa webbplatser aktiverar däremot automatiskt alla cookies. Att bara klicka bort ett cookiemeddelande på en sådan plats kan innebära att du accepterar alla tredjepartscookies. Det är inte Data Protection by Default.

Data Protection by Design – Inbyggt dataskydd genom design

Artikel 25 i dataskyddsförordningen beskriver Data Protection by Design som; “integrering av nödvändiga skyddsåtgärder i behandlingen”. Med andra ord måste alla dataskyddsåtgärder vara inbyggda i databehandlingssystemet. 

Picture of the risk analysis template

      

Det är inte helt tydligt hur strikt GDPR ser på implementering...

Data Protection by Design är enligt GDPR en juridisk skyldighet för alla verksamheter i EU. Att inte genomföra implementeringen innebär alltså ett brott mot GDPR. Men, per dagens datum kan vi inte se att det har utfärdats många GDPR-böter på grund av att Data Protection by Design inte har implementerats, vilket indikerar att Privacy by Design inte helt strikts efterlevs.

Detta innebär däremot inte att du inte ska bry dig om det. Som jag tidigare nämnt så innefattar arbetet med Privacy by Design många fördelar. Din nationella dataskyddsmyndighet kan också helt plötsligt bestämma sig för att börja tillämpa det mer strikt. 

Så, hur kommer du igång med Privacy by Design? 

      

Att komma igång med Privacy by Design

lämpliga tekniska och organisatoriska åtgärder

Tyvärr är artikel 25 ganska kort, ”lämpliga tekniska och organisatoriska åtgärder” och två exempel (pseudonymisering och minimering av data) ger inte så mycket vägledning om vad som menas med lämpliga åtgärder.

Som tur är bidrar alla de åtgärder du redan vidtagit för att stärka ert dataskydd, och troligen även Privacy by Design. Vi nämnde tidigare att ta små steg mot Privacy by Design är en rimlig metod och troligen den bästa vägen framåt för de allra flesta företag. Det finns alltså ingen grund till att bli avskräckt från att fortsätta jobba mot Privacy by Design

Vi har försökt att ge några exempel på vad som menas med “lämpliga åtgärder” genom att granska ett par tidigare utfärdade GDPR-böter. 

      

Privacy by Designs 7 grundläggande principer

För en mer konkret vägledning kan vi använda oss av den ursprungliga definitionen av Privacy by Design. Tillbaka i 2009, utvecklade Ann Cavoukian, då informations- och sekretesskommissarie i Ontario, Kanada, de 7 grundprinciperna som Privacy by Design är byggt på.

De 7 principerna är:

  1. Proaktiv inte reaktiv; Förebyggande inte avhjälpande

  2. Integritet som standardinställning

  3. Integritet inbäddad i design

  4. Full funktionalitet – Positiv summa, inte nollsumma

  5. End-to-End-säkerhet – Skydd för hela livscykeln

  6. Synlighet och transparens – Håll det öppet

  7. Respekt för användarnas integritet – Tänk på användarperspektivet

Här under kommer vi att diskutera varje princip var för sig, och koppla dem till några första steg du kan ta mot ”lämpliga tekniska och organisatoriska åtgärder”. Dessa steg kan ses som exempel på Privacy by Design.

      

1. Proaktiv inte reaktiv; Förebyggande inte avhjälpande

Den första av de 7 principerna av Privacy by Design syftar till det allmänna tankesätt du ska upprätthålla genom alla principer. Dataskydd och integritet ska komma upp i början av en planering för alla nya initiativ i ert företaget. 

Du ska alltid eftersträva att förebygga integritetsproblem och dataintrång, snarare än att släcka bränder efter att de har hänt.

Ett sätt att göra detta på är att regelbundet genomföra en riskanalys, där du identifierar potentiella integritets- och datarisker och deras eventuella påverkan på ditt företag. Du kan sedan vidta de nödvändiga åtgärderna innan den eventuella risken uppstår. Alltså jobbar du förebyggande.

Vi har utvecklat en användbar mall för riskanalys, som kan hjälpa dig att komma igång med att proaktivt identifiera risker i din organisation.

Smart CTA Risk SE   

2. Integritet som standardinställning

Alla era IT-system och processer i er organisation måste utformas så att integritet och uppgifter skyddas automatiskt. Om en enskild kund inte vidtar några åtgärder ska endast de mest nödvändiga uppgifter samlas in om dem, och deras integritet ska förbli skyddad (tänk tillbaka på cookie-meddelandet).

Enkelt sagt ska ditt företag som standard samla in så lite information som möjligt. Den data som samlas in, har ett tydligt syfte till varför den ska behandlas.

Du ska noga överväga vilken typ av data du behöver för att genomföra ditt jobb. När du samlar in dessa uppgifter, se då till att:

Vår guide om uppgiftsminimering är en hjälpsam guide för att lyckas med detta

            

3. Integritet inbäddad i design

Denna Privacy by Design-princip betyder att integritet och säkerhet ska vara lika viktigt som alla dina andra mål du försöker uppnå när du utformar nya processer eller aktiviteter.

Ett annat sätt att se på denna princip är genom samma perspektiv man brukar ha när man upptäcker sårbarheter. Agera på samma sätt som när du upptäcker ett designfel. Om du upptäcker ett designfel som kan påverka era intäkter ska du inte lösa det med en lapplösning. Gå tillbaka till ritbordet och designa om processen eller systemet för att minska sårbarheter. 

      

4. Full funktionalitet - Positiv summa, inte nollsumma

Denna princip relaterar till det vi diskuterat tidigare, integritet och säkerhet ska vara lika viktigt som dina affärsmål. Det innebär att det inte är det smartaste att tillföra säkerhetsåtgärder efter en process redan har utformats. Det gör att säkerheten uppleves som en eftertanke. Det kan även resultera i att åtgärderna blir irriterande och anställda kan försöka att undgå dem då de kan kännas tidskrävande. 

Den fjärde principen försöker att förhindra att detta sker. Poängen här är att integritet inte ska vara något som tar något ifrån andra mål, som effektivitet eller funktionalitet.

Genom att arbeta med integritet och säkerhet från början är tanken att sådana dilemman kan övervinnas för att skapa en win-win-situation – integritet och effektivitet, integritet och funktionalitet.

Men hur gör man det? Jo, nämligen genom att personen/personerna som är ansvariga för dataskydd blir mer involverade i designaktiviteterna när ett nytt system eller process tas fram.

Så istället för att designa ett arbetsflöde och sedan överlämna det till exempelvis IT-avdelningen för att kontrollera om det är tillräckligt säkert, försök att samarbete med någon från IT redan från början.

      

5. End-to-End-säkerhet - Skydd för hela livscykeln

Denna Privacy by Design-princip tar också upp saker vi redan vet. Dataskyddsåtgärder genomförs proaktivt innan den första informationen samlas in och upprätthålls under hela datalivscykeln, tills uppgifterna förstörs i tid och på ett säkert sätt i slutet av processen. 

Datalivscykel? Livscykel för behandling av personuppgifter

När man arbetar med personuppgifter är det ofta hjälpsamt att tänka på hanteringen som en livscykel. Det På så sätt kan du överväga hur datan ska behandlas under de olika faserna av dess liv, så som insamling, lagring, bearbetning, arkivering och förstörelse.

Det betyder i grund och botten att dataskydd ska vara en standard i varje skede av livscykeln. Till exempel ska säkerhetsåtgärder som kryptering, autentisering, loggning etc. användas under varje fas.

Om man ser till detta tillsammans med de tidigare principerna innebär det följande: 

  • Endast strikt nödvändiga uppgifter samlas in med ett tydligt kommunicerat syfte varje gång.

  • Uppgifterna sparas under den absolut minimala tid som krävs för att uppfylla syftet.

  • Data lagras och behandlas säkert genom t.ex. kryptering, stark åtkomstkontroll och loggningsmetoder.

  • Uppgifterna förstörs på ett säkert sätt så snart de inte längre är nödvändiga för att uppfylla syftet.

      

6. Synlighet och transparens - Håll det öppet

Denna princip är ganska simpel. Du ska vara öppen och transparent inför de personer du samlar in data från, inklusive vilka personuppgifter som samlas in, till vilket syfte och hur ett skydd av dem säkerställs. Personer ska också informeras tydligt om sina rättigheter och möjligheter att ställa frågor, lämna in klagomål och få sin data raderad om det skulle önskas.

Det handlar framförallt om att ha en tydlig och begriplig sekretesspolicy som dina kunder enkelt kan hänvisa till när de är i tvivel. 

      

7. Respekt för användarens integritet - Tänk på användarperspektivet

Den sisa principen påminner oss om att det viktigaste vi vill uppnå är att behandla våra kunders personuppgifter och integritet med respekt.

Därför kan det vara en bra idé att komma ihåg den enskilda användarens intresse när du skapar nya metoder för databehandling. Utforma dem på ett tydligt, användarvänligt sätt som ger användarna starka sekretessinställningar, lämplig kommunikation och en tydlig översikt över deras insamlade data.

Utforma dina system och processer på ett sådant sätt att användare ges möjlighet att aktivt hantera sina egna uppgifter, eller skapa åtminstone en medvetenhet hos dem.

Det innebär också att användaren förblir ägare till sina uppgifter. I slutändan lånar ditt företag bara kundernas uppgifter. De bör när som helst kunna återkalla sitt samtycke till detta. 

Detta leder oss tillbaka till det vi tidigare diskuterat: visa för dina kunder att du förstår värdet av deras integritet och att du är noga med att använda deras data på ett ansvarsfullt sätt.

Smart CTA IT-security-policy SE

      

Konkreta åtgärder: Hur du implementerar Privacy by Design 

Jag hoppas att du nu har fått en djupare förståelse för vad Privacy by Design och Protection by Default vill uppnå, och varför det är viktigt att jobba med det gradvis.

Låt oss nu dyka djupare ner och utforska några av de “lämpliga tekniska och organisatoriska åtgärder” som kan användas för att implementera dessa sju principer i praktiken. Vi har redan diskuterat några av dem: till exempel att regelbundet genomföra en riskanalys, jobba med uppgiftsminimering och att skapa en IT-säkerhetspolicy.

Kom ihåg att det inte är någon som förväntar sig att du ska vara en Privacy by Design-expert redan från första början. Vid det här laget har du nog insett att mycket kan uppnås genom relativt små åtgärder. Så även genom att bara arbeta med en, eller några av åtgärderna som beskrivs här under, kan du bidra till ett starkare integritetsskydd till ditt företag. Det finns också självklart andra åtgärder du kan vidta utöver dem vi kommer nämna här. 

      

Tydligt engagemang från ledningen

Detta kan till exempel vara att inkludera Privacy by Design i er verksamhets uppdragsbeskrivning, era värderingar och interna policys. Att sätta ord på er intention är det första steget mot att göra det till en verklighet. En del av detta är att skriva en tydlig IT-säkerhetspolicy och riktlinjer för IT-användning. Vi har utvecklat guider för båda dessa. 

Utse ett team eller en person som ansvarar för Privacy by Design

Det kan till exempel vara ett Dataskyddsombud (DPO). Här är det viktigt att tydligt kommunicera vem denna person är, och hur de/den personen ska kontaktas, både vad gäller era anställda, dina kunder och samarbetspartners.

      

Ge dina kunder en integritetsportal

Ge dina kunder en lättåtkomlig plats där de kan hantera och ha kontroll sin integritet och alla deras personuppgifter på ett tydligt och användarvänligt sätt. Det är alltför vanligt att integritet- och datainställningar är ganska svåra att hitta eller att de sprids ut bland flera olika inställningsmenyer. 

      

Kommunicera tydligt och dokumentera ditt syfte & motivation för din insamling av data

Att vara transparent i din datainsamling och databehandling innebär att för varje information som du samlar in tydligt dokumenterar och kommunicerar ditt syfte och dina rättsliga grunder samt vilka personer eller processer som kommer att behandla uppgifterna. Vet du inte var du ska börja? Vi har en guide till rollerna för databehandlare och registeransvariga. 

      

Undvik dåliga vanor

Användarfokuserad och användarvänlig design innebär att man undviker dåliga vanor. Som till exempel ska ditt cookie-meddelande ha ett tydligt markerat alternativ för att “avvisa”, som är lika tydligt som för alternativet “acceptera”. Du ska inte manipulera människor till att lämna ut mer data än vad de är uppmärksamma på.

      

Säkerställ att ditt team hanterar data korrekt och säkert

Det kan till exempel vara åtgärder som stoppar din personal från att använda personuppgifter för något annat än det ursprungliga syftet. Det kan uppnås genom utbildningar i olika metoder, så som; uppgiftsminimering, pseudonymisering och anonymisering; eller tekniska säkerhetsåtgärder som åtkomstkontroller, kryptering och loggningsmetoder.

      

Uppmuntra ett tätt samarbete med er DPO

Tanken är att både dataskydd och affärsmål kan uppnås utan att det ena ska uteslutas av det andra. Det kan man uppnå genom att uppmuntra att företagets dataskyddsombud (eller den ansvarige för personuppgifter) arbetar tätt tillsammans med de personer som ska starta upp ett nytt projekt eller initiativ.

      

Konsekvensbedömningar för dataskydd (DPIA)

Utför konsekvensanalyser av dataskydd (DPIA) för större processer och projekt. Återigen är det viktigt att involvera flera perspektiv här så att DPIA inte hindrar er från att uppnå era satta affärsmål.

      

Frekvent övervakning av integritets- och datarisker

Övervaka integritets- och cybersäkerhetsrisker i dina processer och aktiviteter regelbundet och under alla stadier av uppgifternas livscykel; insamling, lagring, bearbetning och radering. Hot mot integritet och data ändras ständigt, därför är det viktigt att du skapar ett ramverk där till exempel en riskanalys utförs regelbundet.

      

Ditt team är viktigt för att uppnå stark integritet av Privacy by Design

Att implementera Privacy by Design och Privacy by Default genom att använda sig av de 7 grundprinciper innebär såklart en hel del tekniska åtgärder i era IT-system. Men som du kanske har märkt är ett genomgående tema att organiska affärsmetoder och processer i sig är lika viktiga för att säkerställa att integritet förblir standard under hela datalivscykeln.

Men det är ditt team som förmodligen är det viktigaste för att säkerställa ett starkt dataskydd. Ditt team måste vara medvetna om vad personuppgifter är, vilka vanliga risker kring personuppgifter som finns, vad de allmänna reglerna för hantering av personuppgifter är och så vidare.

Ditt team behöver denna medvetenhet och kunskap så att de kan förstå varför dina affärsprocesser och system är utformade efter Privacy by Design. De ska förstå varför de bara får lagra kunddata i specifika systeme och inte i sina egna odokumenterade kalkylblad.

Kort sagt: medvenhet hos personal är en stor del av Privacy by Design och Privacy by Default. Okunniga personer kommer utan tvekan att behandla data på ett sätt som kanske inte är i linje med era regler kring integritet.

Ta reda på hur du kan använda medvetenhetsträning för att utbilda dina anställda inom cybersäkerhet, och för att skapa ett starkare IT-säkerhetsförsvar.     

Använd utbildning i medvetenhet för Privacy by Design

Ett effektivt sätt att få din personal att tänka på ett användar-fokuserat sätt med integritet i fokus är genom att utföra utbildningar inom säkerhet. Tidigare nämnde vi personalutbildning som en konkret åtgärd som bidrar till Privacy by Design.

Medvetenhetsträning är utformat för just detta syfte, att göra personal mer medvetna om bland annat risker, regler och rutiner.

Ta till exempel den första principen i Privacy by Design “Proaktiv inte reaktiv; Förebyggande inte avhjälpande”. Att proaktivt identifiera risker och utveckla passande åtgärder och skydd innebär också att du gör din personal medveten om dessa risker och utbildar dem i hur de ska bemöta dem.

Säkerhetsproblem betraktas ofta som tekniska problem, men bristande medvetenhet som kanske leder till att en kollega klickar på en nätfiske-länk är ett minst lika allvarligt som ett tekniskt problem.

En kvinna testar gratis kurser i medvetenhet på sin dator


Sammanfattning

Även om GDPR:s resonemang och riktlinjer för dataskydd genom Privacy by Design är korta och ganska vaga, är det inte svårt att se hur dessa begrepp lätt överensstämmer med vad GDPR i överlag försöker uppnå: att ge enskilda användare mer kontroll över sina uppgifter.

Genom att använda dig av Privacy by Designs 7 principer i din organisation är du inte bara på god väg att efterleva GDPR, utan det hjälper också till att bygga upp ett förtroendefullt och öppet förhållande till dina kunder och partners. Och det har väl aldrig skadat någon?