Implementing Privacy By Design

Med den generelle forordning om databeskyttelse (GDPR) blev der indført mange ændringer i den måde, som virksomheder og offentlige organer tænker om privatlivets fred. En af disse måder er i beslutningen om at indskrive begrebet “Privacy by Design” (PbD) i loven gennem artikel 25.

I modsætning til meget andet i GDPR er begrebet Privacy by Design desværre ret velkendt.

Hvad er Privacy by Design, hvorfor kræver GDPR det, og hvordan kan du implementere PbD i din egen virksomhed? Du finder svarene og tjeklister, der kan hjælpe dig på vej, nedenfor.

Har du brug for en privatlivspolitik? Vores Privacy Policy Generator hjælper dig med at oprette en brugerdefineret politik, som du kan bruge på dit websted og din mobilapp. Følg blot disse få nemme trin:

  1. Klik på “Start med at oprette din privatlivspolitik” på vores websted.
  2. Vælg de platforme, hvor din privatlivspolitik skal bruges, og gå til næste trin.
  3. Tilføj oplysninger om din virksomhed: dit websted og/eller din app.
  4. Vælg land:
  5. Besvar spørgsmålene fra vores guiden vedrørende hvilken type oplysninger du indsamler fra dine brugere.
  6. Indtast din e-mailadresse, hvor du gerne vil have din privatlivspolitik sendt hen, og klik på “Generer”.

    Og du er færdig! Nu kan du kopiere eller linke til din hostede privatlivspolitik.

Hvad er Privacy by Design?

Den mest grundlæggende forklaring på Privacy by Design er ikke meget mere end “databeskyttelse gennem teknologisk design”.

Det betyder i bund og grund, at du skal integrere databeskyttelses- og privatlivets fred-funktioner i din systemteknik, praksis og procedurer. Det bør ikke være en eftertanke eller et supplement til dine processer eller din infrastruktur.

En måde at beskrive det på er ved at skitsere, hvad Privacy by Design ikke er. Hvis du f.eks. er en privatperson, der surfer på internettet, er det ligegyldigt, om du bruger en VPN og en firewall til at beskytte din computer, hvis du også bruger adgangskoden: “password123” på hver eneste konto. En VPN kan ikke kompensere for din brug af svage adgangskoder. Du skal integrere privatlivets fred på alle niveauer, og derefter kan du tilføje ekstra sikkerhedsfunktioner som f.eks. en VPN.

Hvad betyder dette i praksis for virksomheder? Nogle eksempler på Privacy by Design omfatter:

  • Indførelse af en konsekvensanalyse af databeskyttelse (DPIA), før du bruger personlige oplysninger på nogen måde
  • Oplysning af kontaktoplysningerne for din databeskyttelsesansvarlige (DPO) eller anden ansvarlig
  • Skrivning af en privatlivspolitik, der er let at læse og holdes ajour

Selvfølgelig går Privacy by Design meget længere end dette og påvirker næsten alle områder af din teknologianvendelse og databehandling. Disse eksempler viser blot nogle af de måder, hvorpå du kan indarbejde privatlivets fred i dine processer.

De 7 principper for Privacy by Design

Der er syv principper i begrebet Privacy by Design, og hvert af dem er lige så vigtigt som det næste. Disse principper er:

  1. Proaktiv ikke reaktiv/forebyggende ikke afhjælpende
  2. Fortrolighed som standard
  3. Fortrolighed indlejret i designet
  4. Fuld funktionalitet
  5. End-to-End-sikkerhed
  6. Synlighed og gennemsigtighed
  7. Respekt for brugernes privatliv

Lad os begynde med princip 1: Proaktivt og ikke reaktivt/forebyggende og ikke afhjælpende.

Det første princip hævder, at databeskyttelse skal komme op i begyndelsen af planlægningsprocessen. Hvis din sikkerhedspraksis består i at slukke brande og håndtere brud, så er du reaktiv. Det udgør den filosofiske kerne for resten af principperne.

Princip 2: Beskyttelse af privatlivets fred som standardindstilling er måske det vanskeligste princip for virksomhederne at få styr på. Det hævder, at privatlivets fred skal stå i forgrunden i alt, hvad man gør. Det betyder, at du skal begrænse din deling, anvende dataminimering, slette data, du ikke længere bruger, og altid operere på et lovligt grundlag. Det betyder også, at man skal bruge opt-in- og opt-out-funktioner og beskyttelsesforanstaltninger for forbrugerdata.

I princip 3 er det tanken, at privatlivets fred skal finde et hjem i udformningen af både din arkitektur og din virksomhed. Med andre ord er privatlivets fred en kernefunktionalitet i produktet. Du bør bruge kryptering, autentificering og teste sårbarheder regelmæssigt. Det er ligegyldigt, om din proces fungerer som den skal; den har en designfejl, hvis der er en sikkerhedssårbarhed.

Princip 4 lægger op til, at der ikke er nogen grund til at være bange for Privacy by Design. Hvis du ofrer funktionalitet for privatlivets fred, så gør du det forkert. Det er mere et kulturskifte, der kræver en balance mellem vækst og sikkerhed.

I princippet om end-to-end-sikkerhed (nr. 5) er der et argument for, at beskyttelse af privatlivets fred følger data gennem hele livscyklussen fra indsamling til sletning/arkivering. Kryptering og autentificering er standarden i alle faser, men man skal gå videre i andre faser. F.eks. bør man kun indsamle data, som man har brug for og har et retsgrundlag for. Og når du er færdig med dataene, bør du bruge GDPR-kompatible sletnings-/ødelæggelsesmetoder for end-to-end-beskyttelse.

I det næstsidste princip 6 Synlighed og gennemsigtighed lærer du, at privatlivets fred ikke kun er for privatlivets skyld. De registrerede bør kende til jeres praksis for beskyttelse af personlige oplysninger (og behandling), og I bør dele dem offentligt. Princippet argumenterer for en velskrevet privatlivspolitik, som er afgørende, hvis du alligevel falder ind under GDPR eller en anden lov som CalOPPA. Det argumenterer også for, at der skal være en mekanisme for registrerede personer til at lufte deres klager, stille spørgsmål og bede om ændringer.

Slutteligt argumenterer princip 7 for, at alt skal forblive brugercentreret. Det betyder, at man skal anerkende, at selv om man har dataene, så tilhører de den forbruger, man har indsamlet dem fra. Den registrerede kan give og tilbagekalde sit samtykke til din brug af sine data – ikke omvendt.

Privacy by Design:

Privacy by Design er for alle, men det er særligt vigtigt for din virksomhed, hvis du er dataansvarlig, som falder ind under GDPR’s anvendelsesområde.

Den generelle forordning om databeskyttelse omfatter og nævner Privacy by Design i artikel 25. Lovgivningen nævner dog ikke de nøjagtige foranstaltninger, der skal træffes ud over funktioner som pseudonymisering eller kryptering og anonymisering. I stedet ønsker GDPR, at privacy features skal være rimelige og passende for både de processer, du bruger, og de data, du indsamler.

Artikel 25, stk. 2, siger udtrykkeligt:

“Den dataansvarlige bør gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at der som standard kun behandles personoplysninger, som er nødvendige for hvert specifikt formål med behandlingen.”

Artikel 25 henviser derefter til artikel 42 og beskriver certificeringsforanstaltningerne for at skabe yderligere klarhed om overholdelse.

Dengang GDPR blev offentliggjort, indeholdt den ikke klarhed om, hvad certificeringsforanstaltningerne skulle være, og hvem de certificerende organer er. I februar 2019 offentliggjorde Europa-Kommissionen undersøgelsen om artikel 42 og 43 (certificeringsorganer). Du kan læse hele rapporten her.

Hvad sker der, hvis GDPR ikke gælder for min virksomhed?

Selv om du ikke vil eller ikke skal overholde GDPR, er Privacy by Design stadig en god idé for din virksomhed.

Implementering af Privacy by Design afspejler en forståelse af værdien af personlige oplysninger både for din virksomhed og for dine kunder. Det anerkender, at privatlivets fred og personlig kontrol over data er en vigtig frihed, og det er en frihed, som lovgivningen ikke blot i stigende grad afspejler, men som du også selv skal opretholde på markedet.

Hvis du tror, at folk ikke er så bekymrede over forbrugernes privatliv, så tro om igen. En meningsmåling foretaget af ExpressVPN viste, at 71 procent af folk var bekymrede over den måde, som marketingfolk indsamler og bruger deres data på.

Og 68 procent af de amerikanske internetbrugere sagde, at de ville støtte en GDPR-lignende regulering i USA.

Ansats på beskyttelse af privatlivets fred ud fra et designtænkt perspektiv sikrer, at det er en integreret del af dine aktiviteter fra planlægning til udførelse. Det giver dig mulighed for at fremtidssikre din virksomhed fra både et kunde- og lovgivningsperspektiv.

Sådan implementerer du Privacy by Design: Artikel 25-checklister

Artikel 25 er notorisk vag, men grundighed er stadig vigtig både for at beskytte mod trusler og mod GDPR-bøder. Uanset om du driver et websted, en app eller et SaaS-produkt, skal Privacy by Design finde sted:

  • I designfasen
  • I hele dets livscyklus
  • Mellem end-to-end engagement
  • Efter engagement
  • Efter dit websted/din app bliver nedlagt

D GDPR beder om “tekniske og organisatoriske foranstaltninger” som kryptering og pseudonymisering, men det er ikke starten og slutningen på Privacy by Design. Desværre indeholder selve GDPR ikke nogen tjekliste. Du er nødt til at stille dine egne spørgsmål og give dine egne svar med lidt vejledning fra loven eller dens betragtninger.

En nyttig måde at opdele implementeringen af Privacy by Design på er at følge den i tre dele: systemer, processer og risikostyring.

Systemcheckliste

Privacy by Design starter med de systemer, der er på plads. Fordi det starter i toppen, er det der, din liste begynder.

For at indarbejde privatlivets fred i dine systemer bør du begynde med følgende punkter (som minimum):

  • Har en dokumenteret organisatorisk forpligtelse til at overholde databeskyttelsesstandarder (herunder i virksomhedskultur, forretningspraksis og forretningstjenester)
  • Udpegning af en databeskyttelsesansvarlig (DPO), hvis det er relevant, eller anvende en databeskyttelsesrådgiver (ikke-GDPR-sager)
  • Etablere en databeskyttelsesramme (herunder kryptering og anonymisering)
  • Oprettelse og dokumentation af et system til registrering af behandlingsaktiviteter
  • Identificering af et risikostyringssystem (herunder compliance management)
  • Opdatering af uddannelse i databeskyttelse for medarbejdere, der håndterer personoplysninger (både for kunder og andre medarbejdere)
  • Anvendelse af selvvurdering til at revidere og overvåge gennemførelsen af de dokumenterede systemer ovenfor
  • Oprettelse af sikkerhedsforanstaltninger, der anvendes til at undgå hændelser og brud

Ved at følge denne tjekliste, vil du være bedre forberedt til derefter at designe dine dataprocesser.

Tjekliste for processer

Det største fokus for dit arbejde med Privacy by Design og GDPR-overholdelse sker i afsnittet om processer, men det fungerer ikke uden først at starte i dine systemer.

Punkterne på din liste omfatter:

  • Allokering af gatekeeping-ansvar (IT, juridisk, indkøb osv.)
  • Identificering af risici for privatlivets fred i alle dine processer
  • Dokumentering af din databehandling (ved hjælp af det system til registrering, der er udformet i tjeklisten for systemer)
  • Anvendelse af DPIA’er, risiko- og overensstemmelsesvurderinger, før du indsamler data til brug eller opbevaring
  • Tilføjelse af kontroller af privatlivets fred, f.eks. et Privacy Center, der giver de registrerede adgang til deres personoplysninger på deres betingelser
  • Implementering af foranstaltningerne i tjeklisten for systemer ovenfor

Tjekliste for risikostyring

Selv om du indbygger beskyttelse af privatlivets fred i dit procesdesign, skal du stadig styre risici i hele datalivscyklussen. Risikostyring starter på systemniveau og fortsætter ind i behandlingen.

Du bør være i stand til at:

  • Beskrive formålet med behandlingen (retsgrundlag)
  • Identificere foranstaltninger, der forhindrer, at data behandles til andre formål end ovenstående
  • Overvåge dataminimeringsforanstaltninger og implementere passende kontroller (yderligere minimering, anonymisering, og pseudonymisering)
  • Identificer foranstaltninger, der anvendes til at sikre dataenes nøjagtighed
  • Nævn og dokumenter de personer og teams, der har adgang til dataene
  • Oplys kontrolforanstaltninger for adgang til dataene
  • Opret databehandleraftaler (DPA’er) og gennemgå dem med hver enkelt tredjemand
  • part, der behandler data
  • Overvågning af implementeret sikkerhedspraksis
  • Oplys kilden til information og meddelelse til de registrerede om databehandling
  • Oplys den proces, der følges i tilfælde af sikkerheds- og databrud (efter GDPR-meddelelsesreglerne)
  • Implementer foranstaltningerne i både tjeklisterne for systemer og processer ovenfor

Husk principperne i artikel 25 i GDPR, når du anvender tjeklisterne.

Artikel 25, stk. 1, omfatter følgende forpligtelser og begrænsninger, der skal tages i betragtning:

  • State of the art (husk, at det ændrer sig)
  • Oplysningsomkostninger
  • Natur, omfang, kontekst og formål med behandlingen
  • Risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder
  • Passende tekniske og organisatoriske foranstaltninger

Alle disse bidrager til bedste praksis for Privacy by Design uden at gøre det uopnåeligt for SMV’er og dem, der ikke deltager i behandlingsaktiviteter, der er forbundet med betydelige risici.

Med andre ord behøver du ikke at bruge millioner på et sikkerhedssystem for kun at indsamle e-mailadresser og udsende et nyhedsbrev. Din praksis bør være passende i forhold til arten, omfanget, sammenhængen, formålene og risiciene ved udsendelse af et nyhedsbrev. Hvis du er Deutschebank, så er det en anden historie.

Privacy by Design er en bedste praksis

Hvad enten du skal overholde GDPR eller ej, anses Privacy by Design nu for at være en bedste praksis for alle organisationer, der beskæftiger sig med databehandling, uanset hvor store eller små de er.

Privacy by Design betyder, at man overvejer beskyttelse af privatlivets fred fra starten af et projekt og integrerer det i sine systemer og aktiviteter. Det er ikke en sikkerhedspraksis eller et værktøj, der skal tilføjes senere. At gøre det rigtigt betyder at tilskynde til en organisationskultur, der er dedikeret til at anerkende og respektere værdien af personlige data både for din virksomhed og for dine kunder.

De ovenstående tjeklister vil hjælpe dig med at implementere Privacy by Design i din virksomhed. Men husk, at GDPR også kræver, at du overvejer spørgsmål som omkostningerne ved implementeringen, arten og omfanget af behandlingen og de risici, som dine kunder står over for, hvis der sker et brud.

I henhold til GDPR kan Privacy by Design opnås for alle virksomheder, så der er ingen undskyldning for ikke at komme i gang.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.