Den allmänna dataskyddsförordningen (GDPR) innebar många förändringar i hur företag och offentliga organ tänker på integritet. Ett av dessa sätt är beslutet att införa begreppet ”Privacy by Design” (PbD) i lagen genom artikel 25.
Tyvärr är begreppet Privacy by Design, till skillnad från stora delar av dataskyddsförordningen, ganska väl genomarbetat.
Vad är Privacy by Design, varför krävs det i dataskyddsförordningen och hur kan du införa Privacy by Design i ditt eget företag? Du hittar svaren och checklistor som hjälper dig på vägen nedan.
Behövs det en integritetspolicy? Vår generator för integritetspolicy hjälper dig att skapa en anpassad policy som du kan använda på din webbplats och mobilapp. Följ bara de här enkla stegen:
- Klicka på ”Börja skapa din integritetspolicy” på vår webbplats.
- Välj de plattformar där din integritetspolicy kommer att användas och gå till nästa steg.
- Lägg till information om ditt företag: din webbplats och/eller app.
- Välj land:
- Svara på frågorna i vår guide om vilken typ av information du samlar in från dina användare.
-
Ange den e-postadress till vilken du vill att din integritetspolicy ska skickas och klicka på ”Generera”.
Och du är klar! Nu kan du kopiera eller länka till din värddatapolicy.
- Vad är Privacy by Design?
- De sju principerna för Privacy by Design
- Privacy by Design:
- Hur blir det om GDPR inte gäller för mitt företag?
- Hur man implementerar Privacy by Design: Artikel 25 Checklistor
- Systemchecklista
- Checklista för processer
- Controlllista för riskhantering
- Privacy by Design är en bästa praxis
Vad är Privacy by Design?
Den mest grundläggande förklaringen av Privacy by Design är inte mycket mer än ”dataskydd genom teknisk design”.
I grund och botten innebär det att du måste integrera dataskydd och integritetsfunktioner i din systemteknik, dina metoder och rutiner. Det ska inte vara en eftertanke eller ett tillägg till dina processer eller din infrastruktur.
Ett sätt att beskriva det är att beskriva vad Privacy by Design inte är. Om du till exempel är en privatperson som surfar på Internet spelar det ingen roll om du använder en VPN och en brandvägg för att skydda din dator om du också använder lösenordet ”password123” på varje enskilt konto. En VPN kommer inte att kompensera för din användning av svaga lösenord. Du måste integrera integritet på alla nivåer och sedan kan du lägga till extra säkerhetsfunktioner som en VPN.
Vad innebär detta i praktiken för företag? Några exempel på Privacy by Design är:
- Driva en konsekvensbedömning av dataskydd (DPIA) innan du använder personuppgifter på något sätt
- Göra kontaktuppgifter till ditt dataskyddsombud (DPO) eller annan ansvarig part
- Skriva en integritetspolicy som är lättläst och hålls uppdaterad
Even ändå, Privacy by Design går mycket längre än så och påverkar nästan alla områden av din teknikanvändning och databehandling. Dessa exempel visar bara några av de sätt på vilka du kan integrera integritet i dina processer.
De sju principerna för Privacy by Design
Det finns sju principer i konceptet Privacy by Design och var och en av dem är lika viktig som den andra. Dessa principer är följande:
- Proaktiv inte reaktiv/Preventativ inte korrigerande
- Privacy as the Default
- Privacy Embedded into Design
- Full Functionality
- End-till slut säkerhet
- Synlighet och transparens
- Respekt för användarens integritet
Låt oss börja med princip 1: Proaktiv inte reaktiv/preventiv inte korrigerande.
I den första principen hävdas att dataskydd måste tas upp i början av planeringsprocessen. Om din säkerhetspraxis består av att släcka bränder och hantera överträdelser är du reaktiv. Den utgör den filosofiska kärnan i resten av principerna.
Princip 2 Integritet som standardinställning är kanske den svåraste principen för företag att förstå. Den innebär att integriteten måste stå i förgrunden i allt man gör. Det innebär att begränsa din delning, använda dataminimering, radera uppgifter som du inte längre använder och alltid arbeta på en rättslig grund. Det innebär också att man måste använda opt-in- och opt-out-funktioner och skyddsåtgärder för konsumentuppgifter.
I princip 3 är tanken att integriteten måste få en plats i utformningen av både din arkitektur och din verksamhet. Med andra ord är integriteten en kärnfunktionalitet i produkten. Du bör använda kryptering, autentisering och testa sårbarheter regelbundet. Det spelar ingen roll om din process fungerar som den ska; den har en konstruktionsbrist om det finns en säkerhetssårbarhet.
Princip 4 framhåller att det inte finns någon anledning att vara rädd för Privacy by Design. Om du offrar funktionalitet för integritet gör du fel. Det är mer ett kulturellt skifte som kräver en balans mellan tillväxt och säkerhet.
I principen om säkerhet från början till slut (nr 5) finns det ett argument för att integritetsskyddet ska följa data genom hela livscykeln från insamling till radering/arkivering. Kryptering och autentisering är standard i varje skede, men man måste gå längre i andra skeden. Du bör till exempel bara samla in uppgifter som du behöver och har en rättslig grund för. Och när du är klar med uppgifterna bör du använda GDPR-kompatibla metoder för radering/förstöring för ett genomgående skydd.
I den näst sista principen 6 Synlighet och öppenhet får du veta att sekretess inte bara är en fråga om sekretess för sekretessens skull. De registrerade bör känna till dina rutiner för sekretess (och behandling) och du bör dela med dig av dem öppet. Principen argumenterar för en välskriven integritetspolicy, vilket är viktigt om du faller under GDPR:s jurisdiktion eller en annan lag som CalOPPA, hur som helst. Den argumenterar också för att det måste finnas en mekanism som gör det möjligt för de registrerade att framföra sina klagomål, ställa frågor och begära ändringar.
Slutligt argumenterar princip 7 för att allt måste förbli användarcentrerat. Det innebär att man måste erkänna att även om man har uppgifterna så tillhör de konsumenten som man har samlat in dem från. Den registrerade kan ge och återkalla sitt samtycke till din användning av uppgifterna – inte tvärtom.
Privacy by Design:
Privacy by Design är till för alla, men det är särskilt viktigt för ditt företag om du är personuppgiftsansvarig och omfattas av GDPR.
Den allmänna dataskyddsförordningen omfattar och nämner Privacy by Design i artikel 25. Lagstiftningen nämner dock inte de exakta åtgärder som ska vidtas utöver funktioner som pseudonymisering eller kryptering och anonymisering. I stället vill dataskyddsförordningen att integritetsfunktioner ska vara rimliga och lämpliga för både de processer du använder och de uppgifter du samlar in.
I artikel 25.2 står det uttryckligen:
”Den personuppgiftsansvarige bör genomföra lämpliga tekniska och organisatoriska åtgärder för att se till att, som standard, endast de personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.”
Artikel 25 hänvisar sedan till artikel 42 och beskriver certifieringsåtgärderna för ytterligare klarhet om efterlevnaden.
När dataskyddsförordningen offentliggjordes innehöll den ingen klarhet om vad certifieringsåtgärderna skulle vara och vilka de certifierande organen är. I februari 2019 publicerade Europeiska kommissionen studien om artiklarna 42 och 43 (certifieringsorgan). Du kan läsa hela rapporten här.
Hur blir det om GDPR inte gäller för mitt företag?
Även om du inte kommer att eller inte behöver följa GDPR är Privacy by Design fortfarande en bra idé för ditt företag.
Införandet av Privacy by Design återspeglar en förståelse för värdet av personlig information både för ditt företag och för dina kunder. Det erkänner att integritet och personlig kontroll över data är en viktig frihet, och det är en frihet som lagen inte bara återspeglar i allt högre grad utan som du också måste upprätthålla på egen hand på marknaden.
Om du tror att människor inte är så oroliga för konsumenternas integritet kan du tänka dig om. En undersökning utförd av ExpressVPN visade att 71 procent av människor är oroade över hur marknadsförare samlar in och använder deras data.
Och 68 procent av de amerikanska internetanvändarna sa att de skulle stödja en GDPR-liknande reglering i USA.
Att närma sig sekretess från ett designtänkande perspektiv säkerställer att det är en integrerad del av din verksamhet från planering till genomförande. Det gör det möjligt för dig att framtidssäkra din verksamhet både ur ett kund- och lagstiftningsperspektiv.
Hur man implementerar Privacy by Design: Artikel 25 Checklistor
Artikel 25 är notoriskt vag, men noggrannhet är fortfarande viktigt både för att skydda sig mot hot och mot GDPR-böter. Oavsett om du driver en webbplats, app eller SaaS-produkt måste Privacy by Design förekomma:
- I designstadiet
- Under hela livscykeln
- Mellan engagemanget från början till slut
- Efter engagemanget
- Efter att webbplatsen/appen läggs ner
Den allmänna dataskyddsförordningen efterfrågar ”tekniska och organisatoriska åtgärder” som kryptering och pseudonymisering, men det är inte början och slutet på Privacy by Design. Tyvärr tillhandahåller GDPR i sig ingen checklista. Du måste ställa dina egna frågor och ge dina egna svar med lite vägledning från lagen eller dess skäl.
Ett användbart sätt att dela upp genomförandet av Privacy by Design är att följa det i tre delar: system, processer och riskhantering.
Systemchecklista
Privacy by Design börjar med de system som finns på plats. Eftersom det börjar i början är det där din lista börjar.
För att införliva sekretess i dina system bör du börja med följande punkter (minst):
- Har ett dokumenterat organisatoriskt engagemang för dataskyddsstandarder (inklusive i företagskultur, affärsmetoder och affärstjänster)
- Utnämna ett dataskyddsombud (DPO) om tillämpligt, eller använda en dataskyddsrådgivare (icke-GDPR-fall)
- Etablera ett ramverk för dataskydd (inklusive kryptering och anonymisering)
- Skapa och dokumentera ett system för registerhållning för behandlingsverksamheter
- Identifiera ett system för riskhantering (inklusive hantering av efterlevnad)
- Uppdatera integritetsutbildningen för anställda som hanterar personuppgifter (både för kunder och andra anställda)
- Använda sig av självständigbedömning för att granska och övervaka genomförandet av de dokumenterade systemen ovan
- Upprätta säkerhetsåtgärder som används för att undvika incidenter och överträdelser
För att följa denna checklista, är du bättre förberedd för att utforma dina dataprocesser.
Checklista för processer
Det största fokuset på ditt arbete med Privacy by Design och efterlevnad av GDPR sker i avsnittet om processer, men det fungerar inte utan att du först börjar med dina system.
Punkterna på din lista är bland annat:
- Allokering av ansvarsområden som rör gatekeeping (IT, juridik, upphandling osv.)
- Identifiera integritetsrisker i alla dina processer
- Dokumentera din databehandling (med hjälp av det system för registerhållning som utformats i Checklista för system)
- Använda DPIA:er, risk- och efterlevnadsbedömningar innan du samlar in data för användning eller lagring
- Lägga till integritetsskyddskontroller, t.ex. ett integritetscenter, som ger de registrerade tillgång till sina personuppgifter på deras villkor
- Införandet av åtgärderna i checklistan System ovan
Controlllista för riskhantering
Även om du bygger in integritetsskydd i din processutformning måste du fortfarande hantera risker under hela datalagets livscykel. Riskhanteringen börjar på systemnivå och fortsätter i behandlingen.
Du bör kunna:
- Beskriv syftet med behandlingen (rättslig grund)
- Identifiera åtgärder som förhindrar att uppgifter behandlas för andra ändamål än de ovan nämnda
- Övervaka åtgärder för dataminimering och genomföra lämpliga kontroller (ytterligare minimering, anonymisering, och pseudonymisering)
- Identifiera åtgärder som används för att säkerställa att uppgifterna är korrekta
- Namnge och dokumentera de personer och grupper som har tillgång till uppgifterna
- Upprätta kontroller för åtkomst till uppgifter
- Skapa databehandlingsavtal (DPA) och granska dem med varje tredje part.part som bearbetar uppgifter
- Övervaka genomförda säkerhetsrutiner
- Identifiera källan till information och meddelande till de registrerade om databehandling
- Upplysning om den process som följs i händelse av säkerhets- och dataintrång (enligt GDPR:s anmälningsregler)
- Införliva åtgärderna i både checklistorna för system och processer ovan
Håll dig till principerna i artikel 25 i GDPR när du tillämpar checklistorna.
Artikel 25.1 innehåller följande skyldigheter och begränsningar att ta hänsyn till:
- Teknisk status (kom ihåg att den förändras)
- Kostnad för genomförande
- Natur, omfattning, sammanhang och ändamål med behandlingen
- Risker av varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter
- Lämpliga tekniska och organisatoriska åtgärder
Alla dessa bidrar till bästa praxis för inbyggd sekretess utan att göra den ouppnåelig för små och medelstora företag och för dem som inte deltar i behandlingsverksamhet som är förenad med betydande risker.
Med andra ord behöver du inte spendera miljoner på ett säkerhetssystem för att bara samla in e-postadresser och skicka ut ett nyhetsbrev. Din praxis bör vara anpassad till arten, omfattningen, sammanhanget, ändamålen och riskerna med att skicka ut ett nyhetsbrev. Om du är Deutschebank är det en annan sak.
Privacy by Design är en bästa praxis
Oavsett om du behöver följa GDPR eller inte anses Privacy by Design nu vara en bästa praxis för alla organisationer som ägnar sig åt databehandling, oavsett hur stora eller små de är.
Privacy by Design innebär att man tar hänsyn till integritetsskyddet från början av ett projekt och att man integrerar det i sina system och sin verksamhet. Det är inte en säkerhetsmetod eller ett verktyg som ska läggas till senare. Att göra det rätt innebär att uppmuntra en organisationskultur som är inriktad på att erkänna och respektera värdet av personuppgifter både för ditt företag och för dina kunder.
Checklistorna ovan kommer att hjälpa dig att införa Privacy by Design på ditt företag. Men kom ihåg att GDPR också vill att du ska ta hänsyn till frågor som kostnaden för genomförandet, behandlingens art och omfattning och de risker som dina kunder utsätts för om det sker en överträdelse.
Enligt GDPR kan alla företag uppnå Privacy by Design, så det finns ingen ursäkt för att inte komma igång.