Artikel 25 i GDPR
Implementere indbygget databeskyttelse og databeskyttelse som standard
Virksomheder skal implementere databeskyttelse gennem design og gennem standardindstillinger i henhold til reglerne i artikel 25 i GDPR. Reglerne herom er særlig vigtige for udviklere af mobilapplikationer og systemtjenesteudbydere, da de er nødt til at gennemføre databeskyttelse gennem design og gennem standardindstillinger i den udviklede digitale tjeneste.
Skal alle virksomheder uanset størrelse have indbygget databeskyttelse og databeskyttelse gennem standardindstillinger?
Det er ligegyldigt, om det er en start-up eller en multi-milliard dollar selskab. Alle virksomheder, der er omfattet af GDPR, skal gennemføre databeskyttelse gennem design og gennem standardindstillinger samt passende tekniske og organisatoriske foranstaltninger. Men reglerne i GDPR er generelt strengere, jo større virksomheden er. Desuden spiller virksomhedens størrelse en rolle i pålæggelsen af bøder til virksomheden for dens overtrædelser af GDPR.
Databeskyttelse som standard
Virksomheder, der er omfattet af GDPR, skal tilpasse deres produkt, system eller tjeneste til reglerne i forordningen. Kort sagt betyder databeskyttelse gennem standardindstillinger, at virksomheden skal sikre, at kun nødvendige personoplysninger behandles i en begrænset periode med begrænset adgang og ikke deles offentligt uden den registreredes samtykke og aktive valg.
Med andre ord skal virksomheden implementere databeskyttelsesvenlige indstillinger, der er aktiveret fra starten, uden at den enkelte bruger skal gøre noget. Personoplysninger skal derfor behandles med det højest mulige beskyttelsesniveau fra starten.
Hvad er formålet med databeskyttelse gennem standardindstillinger?
Formålet med kravet om databeskyttelse gennem indstillinger er, at den dataansvarlige skal sikre, at dennes systemer og tjenester som standard har en høj og automatisk databeskyttelse gennem indstillinger. Det forhold, at standardindstillingerne har et højt databeskyttelsesniveau som standard, betyder, at den enkelte bruger ikke aktivt bør være nødt til at gøre noget, for at indstillingerne med det højeste databeskyttelsesniveau kan aktiveres fra starten.
Eksempler på, hvordan virksomheder kan arbejde med databeskyttelse som standard i praksis
Behovsanalyse
For at gøre det bedst mulige arbejde med databeskyttelse er det vigtigt, at virksomheden først analyserer, hvilke personoplysninger der er nødvendige for at behandle for at nå formålet. Mængden af indsamlede personoplysninger skal minimeres til, hvad der er strengt nødvendigt til dette formål.
Forvaltning af støtteberettigelse
Desuden må personoplysningerne som standard ikke være tilgængelige for uautoriserede personer. Det er således kun personer, der har behov for adgang til dem, der bør kunne behandle personoplysningerne. Virksomheden bør derfor på et tidligt tidspunkt i udviklingsfasen sikre, at der er indført korrekt godkendelsesstyring og tilhørende procedurer.
Minimering af oplagring
Desuden må personoplysningerne ikke opbevares længere end nødvendigt. Derfor er det vigtigt, at virksomheden sørger for, at indstillingerne for opbevaring, sikkerhedskopiering mv. er korrekt sat op, og at der er rutiner på plads med hensyn til håndteringen af disse, herunder rutiner for sletning og anonymisering af personoplysninger.
Brug af brugernes perspektiver som udgangspunkt
Det er vigtigt ikke kun at tænke på alle trin fra virksomhedens perspektiv. Det er vigtigt, at virksomheden forsøger at starte fra brugerens perspektiv i stedet. For at få bedre kontrol kan det være godt at bruge testpiloter og modtage feedback fra brugerne.
Risikoanalyse
Inden behandlingen af personoplysninger påbegyndes, skal virksomheden tage højde for risiciene ved behandlingen. En skriftlig risikoanalyse er en god måde at gøre dette på, da det også er muligt at fremlægge dokumentationen i tilfælde af tilsyn. I risikoanalysen skal virksomheden begrunde behandlingen. Selv om tilsynsmyndigheden træffer en anden afgørelse efter tilsynet med virksomhedens behandling, kan det være nyttigt at have foretaget en skriftlig risikoanalyse, inden behandlingen påbegyndes.
Dokumentation
Det er godt at dokumentere virksomhedens arbejde med GDPR, herunder de foranstaltninger, der er truffet for at sikre, at virksomheden opfylder kravene til databeskyttelse som standard. Derudover kan det være nyttigt at medtage dem i f.eks. interne retningslinjer for medarbejdere.
Retningslinjer
For at medarbejderne nemt kan arbejde i overensstemmelse med GDPR i praksis, er det godt at give dem skriftlige retningslinjer og instruktioner. For eksempel med oplysninger om, hvordan man reagerer, når en registreret anmoder om at få en af sine rettigheder opfyldt.
Indbygget databeskyttelse
Virksomheden skal behandle personoplysninger i overensstemmelse med de grundlæggende databeskyttelsesprincipper i artikel 5 i GDPR og implementere databeskyttelse gennem design og gennem standardindstillinger. I henhold til kravet om databeskyttelse gennem design skal virksomheden gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger allerede i udformningen af sine processer, systemer og procedurer. Formålet er at sikre, at databeskyttelsesprincipperne overholdes, og at den registreredes rettigheder beskyttes. Kort sagt betyder kravet om indbygget databeskyttelse, at virksomheden skal tage hensyn til databeskyttelsesreglerne på et tidligt tidspunkt, allerede når procedurerne udvikles, og IT-systemet er under udvikling.
Jo vigtigere personoplysningerne er, jo højere er kravene
Jo vigtigere persondata en virksomhed behandler, jo højere er sikkerhedskravene. Eksempler på vigtige personoplysninger er de fire kategorier af personoplysninger, der er følsomme over for privatlivets fred,hvoraf følsomme personoplysninger er en af dem. Personoplysninger beskyttes ved gennemførelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Eksempler på tekniske sikkerhedsforanstaltninger for indbygget databeskyttelse
Antivirusbeskyttelse
For at forhindre virus i at slette, ændre eller få adgang til data, er det en god idé at implementere antivirusbeskyttelse.
To-faktor-godkendelse ved login
Det er godt at have tofaktorautentificering, når du logger ind på forskellige systemer med personoplysninger, især hvis det henviser til ekstra personoplysninger, der er beskyttelsesværdige. For eksempel sendes en kode til mobiltelefonen, efter at brugeren har indtastet sin adgangskode, for at bekræfte brugerens tilladelser og aktivere login til systemet.
Sikkerhedskopiering af filer
Hvis personoplysninger ved et uheld ændres eller går tabt, udgør det et brud på persondatasikkerheden. Derfor er det godt at have backup-filer, for eksempel på en cloud-tjeneste for at kunne gendanne dataene, hvis det er nødvendigt.
Eksempler på organisatoriske sikkerhedsforanstaltninger for indbygget databeskyttelse
Uddannelse
Det er virksomhedens medarbejdere, der behandler personoplysninger i deres arbejde. For eksempel en kundeservicemedarbejder, der modtager e-mails fra kunder, der indgiver klager. Derfor er det godt at sørge for passende uddannelse inden for GDPR til personalet. Bemærk, at det ikke behøver at være nødvendigt for alle medarbejdere at kende alle reglerne i GDPR, men det er godt, hvis de ved, hvad der er relevant for deres opgaver.
Skriftlige instrukser
For at lette medarbejdernes arbejde, gøre arbejdet mere effektivt og forhindre forkert håndtering af personoplysninger er det godt at udarbejde skriftlige interne instrukser. F.eks. instrukser med oplysninger om, hvordan en medarbejder skal handle, når en registreret ønsker sine rettigheder opfyldt.
Eksempler på, hvordan virksomheder kan tænke, når de arbejder med indbygget databeskyttelse
Virksomheden skal gennemføre databeskyttelse gennem design og gennem standardindstillinger. For at overholde disse krav i henhold til artikel 25 i GDPR kan virksomheden træffe følgende foranstaltninger.
Lav en risikoanalyse
Det er en god idé at foretage en risikoanalyse, hvor virksomheden identificerer de konsekvenser, som brud på databeskyttelsesprincipperne kan have for de registrerede. De alvorlige konsekvenser, jo strengere krav til de rigtige foranstaltninger. I nogle tilfælde kan det også være forbudt at foretage den planlagte behandling.
Virkninger
Målet og resultatet af behandlingen skal helst være det samme, mindst så tæt som muligt. Derfor er det vigtigt at analysere effekten af behandlingen og sætte det mod målet for den foranstaltning, du har oprettet, før du starter behandlingen.
Analyse af dokumenter
GDPR kræver, at virksomheder skal kunne påvise, at de overholder GDPR i praksis. Det betyder blandt andet, at virksomheder skal have de nødvendige GDPR-relaterede aftaler og dokumenter skriftligt. For eksempel ved at dokumentere forskellige analyser, der skal indeholde oplysninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger virksomheden træffer.
Afprøvning, evaluering og forbedring af foranstaltninger
Det er godt løbende at teste og evaluere de foranstaltninger, som virksomheden implementerer. Derefter kan virksomheden om nødvendigt træffe foranstaltninger til at forbedre arbejdet med databeskyttelse gennem design og gennem standardindstillinger.
Hold styr på udviklingen
Teknologien udvikler sig hele tiden, og det er godt at holde øje med den. Hvilke nye teknologier kan f.eks. være egnede for virksomheden til at implementere for at sikre et højere databeskyttelsesniveau?
Omkostninger for virksomhederne
Det er godt at huske på, at det koster penge for virksomheder at træffe passende foranstaltninger til databeskyttelse gennem design i overensstemmelse med GDPR. Derfor er det godt at budgettere for sådanne udgifter. Husk ikke at bruge uforholdsmæssigt meget, hvis der er andre mindre krævende måder, der kan opnå de samme resultater.
More info
XXX
XXX