Artikel 25 iGDPR
Implementera ett inbyggt dataskydd och dataskydd som standard
Företag måste implementera ett inbyggt dataskydd och dataskydd som standard enligt reglerna i Artikel 25 i GDPR. Reglerna kring detta är särskilt viktiga för exempelvis utvecklare av mobilapplikationer och systemtjänstleverantörer att känna till, eftersom de behöver implementera ett inbyggt dataskydd och dataskydd som standard i den utvecklade digitala tjänsten.
Måste alla företag, oavsett storlek, ha ett inbyggt dataskydd och dataskydd som standard?
Ja, det spelar ingen roll om det är ett nystartat företag eller ett multimiljard-företag. Alla företag som omfattas av GDPR ska implementera ett inbyggt dataskydd och dataskydd som standard samt lämpliga tekniska och organisatoriska åtgärder. Däremot är reglerna i GDPR generellt striktare, ju större företaget är. Dessutom spelar storleken på företaget roll vid utfärdanden av sanktionsavgifter mot företaget vid dess överträdelser av GDPR.
Dataskydd som standard
Företag som omfattas av GDPR behöver anpassa sin produkt, system, eller tjänst efter reglerna i förordningen. Dataskydd som standard innebär kort sagt att företaget ska se till att endast nödvändiga personuppgifter blir behandlade, under en tidsbegränsad period, med begränsad åtkomst och inte delas offentligt utan den registrerades samtycke och aktiva val.
Med andra ord ska företaget implementera dataskyddsvänliga inställningar som är aktiverade från start, utan att den enskilda användaren behöver göra något. Personuppgifterna ska således bli behandlade med den högsta möjliga skyddsnivån redan från början.
Vad är syftet med dataskydd som standard
Syftet med kravet på dataskydd som standard är att den personuppgiftsansvarige ska säkerställa att dess system och tjänster har ett högt och automatiskt dataskydd som standard, per default. Att standardinställningarna har ett högt dataksydd som standard, innebär att den enskilde användaren inte aktivt ska behöva göra något för att inställningarna med högst dataskydd ska vara aktiverade från början.
Exempel på hur företag kan arbeta med dataskydd som standard i praktiken
För att kunna göra ett så bra arbete som möjligt med dataskyddet är det viktigt att företaget först analyserar vilka personuppgifter som är nödvändiga att behandla för att uppnå syftet. Mängden personuppgifter som är föremål för insamling ska nämligen minimeras till de som är absolut nödvändiga för ändamålet.
Dessutom ska personuppgifterna som standard inte vara tillgängliga för någon obehörig person. Det är alltså endast personer med behov av åtkomst till dem som ska kunna behandla personuppgifterna. Företaget bör därför redan i tidigt stadium, vid utvecklingsfasen, se till att korrekt behörighetsstyrning med tillhörande rutiner finns på plats.
Vidare ska personuppgifterna inte lagras under längre tid än vad som är nödvändigt. Därför är det viktigt att företaget ser till att inställningarna kring lagring, backuper etc. är korrekt inställda och att rutiner finns på plats gällande hanteringen av dessa inklusive rutiner för radering och anonymisering av personuppgifter.
Det är viktigt att inte enbart tänka på alla steg utifrån företagets perspektiv. Det är nämligen viktigt att företaget försöker att utgå från användarnas perspektiv istället. För att få bättre koll kan det vara bra att använda testpiloter och ta emot feedback från användarna.
Innan behandling av personuppgifter påbörjas, ska företaget ta riskerna med behandlingen i beaktande. En skriftlig riskanalys är ett bra sätt att göra detta på, eftersom det också går att uppvisa dokumentationen vid en eventuell tillsyn. I riskanalysen ska företaget motivera behandlingen. Även om tillsynsmyndigheten kommer fram till något annat beslut efter sin tillsyn av företagets behandling, kan det vara till hjälp att ha gjort en skriftlig riskanalys innan behandlingen påbörjades.
Det är bra att dokumentera företagets arbete kring GDPR, inklusive de åtgärder som vidtagits för att företaget ska uppfylla kraven på dataskydd som standard. Dessutom kan det vara bra att ha med dem i till exempel interna riktlinjer för medarbetare.
För att medarbetare enkelt ska kunna arbeta i enlighet med GDPR i praktiken, är det bra att tillhandahålla dem skriftliga riktlinjer och instruktioner. Till exempel med information om hur de ska svara när en registrerad begär att få en av sina rättigheter tillgodosedd.
Inbyggt dataskydd
Företaget ska behandla personuppgifter i enlighet med de grundläggande dataskyddprinciperna i artikel 5 i GDPR samt implementera ett inbyggt dataskydd och dataskydd som standard. Företaget måste enligt kravet på inbyggt dataskydd implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder redan i utformningen av sina processer, system och rutiner. Syftet är att se till att dataskyddsprinciperna efterlevs och att den registrerades rättigheter skyddas. Kort sagt innebär kravet på inbyggt dataskydd att företaget ska beakta dataskyddsreglerna i ett tidigt stadium, redan när rutiner håller på att tas fram och IT-systemet är under utveckling.
Ju viktigare personuppgifter, desto högre krav
Ju viktigare personuppgifter ett företag behandlar, desto högre är säkerhetskraven. Exempel på viktiga personuppgifter är de fyra kategorierna av integritetskänsliga personuppgifter, varav känsliga personuppgifter utgör en av dessa. Personuppgifter ska skyddas genom implementering av lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Exempel på tekniska säkerhetsåtgärder vid inbyggt dataskydd
Antivirus-skydd
För att förebygga att virus ska radera, ändra eller komma åt data, är det bra att implementera ett antivirus-skydd.
Tvåfaktorsautentisering vid inloggning
Det är bra att ha tvåfaktorsautentisering vid inlogg till olika system med personuppgifter, speciellt om det avser extra skyddsvärda personuppgifter. Till exempel att det skickas en kod till mobilen efter att användaren har angivit sitt lösenord, för att verifiera användarens behörighet och möjliggöra inloggningen till systemet.
Backup-filer
Om personuppgifter blir oavsiktligt ändrade eller går förlorade, utgör det en personuppgiftsincident. Därför är det bra att ha backup-filer, till exempel på en molntjänst för att kunna återskapa datan vid behov.
Exempel på organisatoriska säkerhetsåtgärder vid inbyggt dataskydd
Utbildning
Det är personalen på företaget som i sitt arbete behandlar personuppgifter. Till exempel en kundtjänstmedarbetare som tar emot mejl från kunder som lämnar klagomål. Därför är det bra att ge lämplig utbildning inom GDPR till personalen. Observera att det inte behöver vara nödvändigt för alla medarbetare att känna till alla regler i GDPR, men det är bra om de känner till det som är relevant för deras arbetsuppgifter.
Skriftliga instruktioner
För att underlätta arbetet för de anställda, göra arbetet mer effektivt samt förebygga felaktig hantering av personuppgifter, är det bra att upprätta skriftliga interna instruktioner. Till exempel instruktioner med information om hur en medarbetare ska agera när en registrerad vill ha sina rättigheter tillgodosedda.
Exempel på hur företag kan tänka vid arbetet med inbyggt dataskydd
Företaget ska implementera ett inbyggt dataskydd och dataskydd som standard. För att kunna uppfylla dessa krav enligt Artikel 25 i GDPR, kan företaget vidta nedan angivna åtgärder.
Det är bra att göra en riskanalys där företaget identifierar vilka konsekvenser som överträdelser av dataskyddsprinciperna kan innebära för de registrerade. Ju allvarliga konsekvenser, desto striktare krav på rätt åtgärder. I vissa fall kan det även visa sig vara förbjudet att genomföra den tilltänkta behandlingen.
Målet och resultatet med behandlingen ska helst vara densamma, åtminstone så nära som möjligt. Därför är det viktigt att analysera effekten av behandlingen och ställa det mot målet med åtgärden som man sätter upp innan behandlingen påbörjas.
GDPR ställer krav på företag att de måste kunna visa att de följer GDPR i praktiken. Detta innebär bland annat att företag bör ha nödvändiga GDPR-relaterade avtal och dokument i skrift. Till exempel genom att dokumentera olika analyser som bland annat bör innehålla information om vilka tekniska och organisatoriska säkerhetsåtgärder företaget vidtar.
Det är bra att kontinuerligt testa och utvärdera åtgärderna som företaget implementerar. Därefter kan företaget vid behov vidta åtgärder för att förbättra arbetet med inbyggt dataskydd och dataskydd som standard.
Tekniken utvecklas ständigt och det är bra att hålla koll på det. Till exempel vilka nya tekniker som kan vara lämpliga för företaget att implementera, för att säkerställa ett högre dataskydd.
Det är bra att ha i åtanke att det kostar pengar för företag att vidta lämpliga åtgärder för inbyggt dataskydd i enlighet med GDPR. Därför är det bra att budgetera för sådana utgifter. Tänk på att inte spendera oproportionerligt mycket om det finns andra mindre krävande sätt som kan uppnå samma resultat.
XXX
XXX
XXX