Artikkel 25 GDPR
Implementere databeskyttelse som design og som standard
Bedrifter må implementere databeskyttelse som design og som standard i samsvar med reglene i artikkel 25 i GDPR. Reglene i denne saken er spesielt viktige for for eksempel mobilapplikasjonsutviklere og systemtjenesteleverandører å vite, da de trenger å implementere databeskyttelse ved design og som standard i den utviklede digitale tjenesten.
Må alle selskaper, uavhengig av størrelse, ha databeskyttelse som design og som standard?
Ja, det spiller ingen rolle om det er en oppstart eller en multi-milliard virksomhet. Alle selskaper underlagt GDPR skal implementere databeskyttelse som design og som standard, samt passende tekniske og organisatoriske tiltak. På den annen side er reglene i GDPR generelt strengere, jo større er selskapet. I tillegg spiller størrelsen på virksomheten en rolle i ileggelse av bøter på den for sine overtredelser av GDPR.
Databeskyttelse som standard
Bedrifter som faller inn under virkeområdet for GDPR, må tilpasse sitt produkt, system eller tjeneste til reglene i forordningen. Kort sagt betyr databeskyttelse som standard at selskapet må sikre at bare nødvendige personopplysninger behandles, i en begrenset periode, med begrenset tilgang og ikke deles offentlig uten den registrertes samtykke og aktive valg.
Selskapet skal med andre ord implementere personvernvennlige innstillinger som er aktivert fra starten av, uten at den enkelte bruker trenger å gjøre noe. Personopplysninger må derfor behandles med høyest mulig beskyttelsesnivå fra starten av.
Hva er formålet med databeskyttelse som standard
Formålet med kravet om databeskyttelse som standard er at den behandlingsansvarlige skal sikre at systemene og tjenestene har høy og automatisk databeskyttelse som standard. Det faktum at standardinnstillingene har et høyt databeskyttelsesnivå som standard betyr at den enkelte bruker ikke skal måtte gjøre noe aktivt for at innstillingene med det høyeste databeskyttelsesnivået skal aktiveres fra starten.
Eksempler på hvordan selskaper kan arbeide med personvern som standard i praksis
Trenger analyse
For å gjøre et best mulig arbeid med databeskyttelse er det viktig at selskapet først analyserer hvilke personopplysninger som er nødvendige å behandle for å oppnå formålet. Mengden av personopplysninger som samles inn må minimeres til det minimum som er nødvendig for dette formålet.
Kontroll av kompetanse
I tillegg skal personopplysninger som standard ikke være tilgjengelige for uautoriserte personer. Dermed bør bare personer med behov for innsyn kunne behandle personopplysningene. Firmaet bør derfor på et tidlig stadium, i utviklingsfasen, sikre at det er iverksatt korrekt godkjenningshåndtering og tilhørende framgangsmåter.
Begrensning av lagring
Videre skal personopplysningene ikke lagres lenger enn nødvendig. Det er derfor viktig for selskapet å sikre at innstillingene rundt lagring, sikkerhetskopiering, etc. er riktig satt og at prosedyrer er på plass for deres ledelse, inkludert prosedyrer for sletting og anonymisering av personopplysninger.
Tar utgangspunkt i brukernes perspektiv
Det er viktig å ikke bare tenke på alle trinn fra selskapets perspektiv. Det er viktig for virksomheten å forsøke å ta brukernes perspektiv i stedet. For bedre overvåking kan det være nyttig å bruke testpiloter og få tilbakemeldinger fra brukerne.
Flere eksempler
Risikoanalyser
Før behandlingen av personopplysninger igangsettes, skal foretaket ta hensyn til risikoene forbundet med behandlingen. En skriftlig risikoanalyse er en god måte å gjøre dette på, da det også er mulig å presentere dokumentasjonen ved en eventuell inspeksjon. I risikoanalysen skal foretaket begrunne behandlingen. Selv om tilsynsmyndigheten etter tilsynet med selskapets behandling treffer en annen beslutning, kan det være nyttig å ha gjennomført en skriftlig risikoanalyse før behandlingen startet.
Dokumentasjon
Det er nyttig å dokumentere selskapets arbeid med GDPR, herunder hvilke tiltak som er truffet for å sikre at selskapet som standard oppfyller kravene til databeskyttelse. I tillegg kan det være nyttig å inkludere dem i for eksempel interne retningslinjer for ansatte.
Retningslinjer
For at de ansatte enkelt skal kunne arbeide i samsvar med GDPR i praksis, er det nyttig å gi dem skriftlige retningslinjer og instrukser. For eksempel med informasjon om hvordan du svarer når en registrert ber om håndhevelse av en av deres rettigheter.
Databeskyttelse etter design
Foretaket skal behandle personopplysninger i samsvar med de grunnleggende databeskyttelsesprinsippene fastsatt i artikkel 5 i GDPR og implementere databeskyttelse som design og som standard. Kravet om vern av personopplysninger gjennom utforming krever at foretaket iverksetter egnede tekniske og organisatoriske sikkerhetstiltak fra designfasen av sine prosesser, systemer og framgangsmåter. Formålet er å sikre at databeskyttelsesprinsippene overholdes og at rettighetene til den registrerte beskyttes. Kort sagt betyr kravet til personvern gjennom design at selskapet må ta hensyn til personvernregler på et tidlig stadium, selv når prosedyrer utvikles og IT-systemet utvikles.
Jo viktigere personopplysningene er, desto høyere er kravene
Jo viktigere personopplysninger et selskap behandler, desto høyere sikkerhetskrav. Eksempler på viktige personopplysninger er de fire kategoriene av personvernsensitive personopplysninger, hvorav den ene er sensitive personopplysninger. Personopplysninger skal beskyttes ved å implementere egnede tekniske og organisatoriske sikkerhetstiltak.
Eksempler på tekniske sikkerhetsforanstaltninger i databeskyttelse ved design
Beskyttelse mot antivirus
For å forhindre at virus sletter, endrer eller får tilgang til data, er det nyttig å implementere antivirusbeskyttelse.
To-faktor autentisering når du logger inn
Det er nyttig å ha tofaktorautentisering når du logger inn på forskjellige persondatasystemer, spesielt hvis det gjelder ekstra personopplysninger som er verneverdige. For eksempel sendes en kode til mobilen etter at brukeren har skrevet inn passordet sitt, for å verifisere brukerens legitimasjon og tillate innlogging til systemet.
Sikkerhetskopiere filer
Utilsiktet endring eller tap av personopplysninger utgjør et brudd på personopplysningssikkerheten. Derfor er det nyttig å ha backupfiler, for eksempel på en skytjeneste for å kunne gjenskape dataene om nødvendig.
Eksempler på organisatoriske sikkerhetsforanstaltninger i databeskyttelse ved design
Utdannelse
Behandlingen av personopplysninger utføres av selskapets ansatte i løpet av deres arbeid. For eksempel, en kundeservicemedarbeider som mottar e-post fra klager klienter. Det er derfor nyttig å gi personalet relevant opplæring i GDPR. Vær oppmerksom på at det ikke er nødvendig for alle ansatte å kjenne alle reglene i GDPR, men det er bra hvis de vet hva som er relevant for deres plikter.
Skriftlige instruksjoner
For å lette arbeidet til ansatte, for å gjøre arbeidet mer effektivt og for å forhindre feilbehandling av personopplysninger, er det nyttig å utarbeide skriftlige interne instruksjoner. For eksempel instruksjoner som gir informasjon om hvordan en ansatt bør handle når en registrert ønsker at hans eller hennes rettigheter skal respekteres.
Eksempler på hvordan selskaper kan tenke på databeskyttelse ved design
Foretaket skal gjennomføre vern av personopplysninger som konstruksjon og som standard. For å oppfylle disse kravene i henhold til artikkel 25 i GDPR, kan foretaket ta de trinnene som er angitt nedenfor.
Gjennomføre en risikoanalyse
Det er nyttig å gjennomføre en risikoanalyse der selskapet identifiserer hvilke konsekvenser brudd på personvernprinsippene kan ha for de registrerte. Jo alvorlige konsekvensene er, desto strengere er kravene til de riktige tiltakene. I visse tilfeller kan den foreslåtte behandlingen også vise seg å være forbudt.
Effekt
Målet og utfallet av behandlingen bør fortrinnsvis være det samme, minst så nært som mulig. Det er derfor viktig å analysere effekten av behandlingen og sette den opp mot målet for handlingen før behandlingsstart.
Dokumentanalyser
GDPR krever at selskaper skal kunne vise at de overholder GDPR i praksis. Dette betyr blant annet at selskapene skal ha de nødvendige GDPR-relaterte kontrakter og dokumenter skriftlig. For eksempel ved å dokumentere ulike analyser som bør inneholde informasjon om de tekniske og organisatoriske sikkerhetstiltakene som er tatt av selskapet.
Teste, evaluere og forbedre tiltakene
Det er nyttig å kontinuerlig teste og evaluere tiltakene som er implementert av selskapet. Deretter kan selskapet om nødvendig iverksette tiltak for å forbedre arbeidet med databeskyttelse ved design og som standard.
Hold oversikt over utviklingen
Teknologien er i stadig utvikling, og det er godt å holde styr på det. For eksempel hvilke nye teknologier som kan være egnet for foretaket til å gjennomføre, for å sikre et høyere nivå for vern av personopplysninger.
Koster for virksomheten
Det er nyttig å huske på at det koster penger for bedrifter å ta passende databeskyttelse ved designtiltak i tråd med GDPR. Det er derfor nyttig å budsjettere for slike utgifter. Vær forsiktig så du ikke bruker uforholdsmessig mye hvis det er andre mindre krevende måter som kan oppnå det samme resultatet.
More info
XXX
XXX