Hva Er Innebygd Personvern? Og Hvorfor Er Det Viktig For GDPR?

Gillian Loones
By: Gillian Loones GDPR | 4 januar

Det kan føles overveldende og forvirrende å jobbe med datasikkerhet. Etter at personvernforordningen (GDPR) ble innført, har det hele blitt enda mer komplekst. I denne artikkelen går vi gjennom en tankegang kalt innebygd personvern, som kan hjelpe deg i ditt arbeid med personvern, databeskyttelse og GDPR. Etter å ha lest denne artikkelen, vil du ha kjennskap til hva innebygd personvern er, hvordan det er relatert til GDPRs sju prinsipper og hvordan det kan forbedre personvernet og databeskyttelsen til selv de minste bedrifter.  

Innholdsfortegnelse

  1. Proaktiv, ikke reaktiv: forebygg fremfor å avhjelpe

  2. Personvern som standardinnstilling

  3. Personvern bygd inn i designet

  4. Full funksjonalitet: positiv sum, ikke nullsum 

  5. Ende-til-ende-sikkerhet: beskyttelse under hele livssyklusen

  6. Synlighet og gjennomsiktighet: hold det åpent

  7. Respekt for brukerens personvern: hold det brukerorientert 

Hva er innebygd personvern?

Innebygd personvern, eller Privacy by Design, ble originalt kun benyttet innen programvare- og systemutvikling. Der går innebygd personvern ut på at personverntiltak bygges inn i systemet. På den måten blir personvern og databeskyttelse en del av systemets kjernefunksjoner. 

Men innebygd personvern er ikke kun relevant for programvareutvikling. Det kan også brukes i andre sammenhenger, slik som i din bedrift.  

For din bedrift innebærer innebygd personvern at for enhver ny prosess eller aktivitet som skal utformes, er hensyn til personvern og databeskyttelse med helt fra starten av planleggingsfasen. Innebygd personvern er altså å tenke på personvern når man utformer nye prosesser.  

Tanken er at du bør ha som mål å beskytte dataene og personvernet til kundene dine, og at du bør etterstrebe dette på lik linje med dine forretningsmål.  
Benytter du deg av innebygd personvern, vil dataene og personvernet til kundene dine alltid være beskyttet, og kunden vil beholde kontrollen over personopplysningene sine ved å kunne trekke tilbake sitt samtykke når som helst.  

Hvorfor bry seg om innebygd personvern?

Ved første øyekast virker det kanskje unødvendig å designe systemer og prosesser på denne måten, men det gir mange fordeler. Du kan ta små steg i ditt arbeid med å oppnå innebygd personvern og likevel oppleve fordelene raskt. Du trenger altså ikke gjøre store omveltninger over natta! 

Noen av fordelene med innebygd personvern er: 

  • Det styrker databeskyttelsen i din bedrift og reduserer dermed risikoen for databrudd og store økonomiske tap 
  • Du viser at du verdsetter personvernet til kundene dine og at du behandler opplysningene deres på en ansvarsfull måte. Dette er med på å bygge opp et tillitsfullt forhold.  
  • Det er en god måte å fremtidssikre bedriften din på. Det er nesten sikkert at både myndigheter og forbrukere vil kreve strengere personverntiltak i fremtiden. Hvis du allerede nå setter i gang med å utføre slike tiltak i din bedrift, unngår du å måtte gjøre mer radikale og kostbare endringer i fremtiden, når timingen kanskje ikke er optimal.  
  • IT-sikkerhetstrusler endrer seg raskt og stadig. Ved å bygge et solid fundament for databeskyttelse i dine systemer og prosesser, sparer du tiden og ressursene du ellers ville brukt på å reagere på nye trusler som oppstår.  
  • Innebygd personvern er en del av personvernforordningen (GDPR). Tar du i bruk innebygd personvern, tar du derfor et steg i retning av å etterleve GDPR 

Smart CTA Risk NO

Innebyd personvern i GDPR

Kravet om innebygd personvern står i artikkel 25 av GDPR. Her står det blant annet at den behandlingsansvarlige skal «integrere de nødvendige garantier i behandlingen» av personopplysninger. Dette skal gjøres både under selve behandlingen og under utviklingen av de tjenestene som skal brukes i forbindelse med behandlingen.  

Artikkel 25 introduserer i tillegg et nytt, men relatert konsept: «personvern som standardinnstilling». 

Personvern som standardinnstilling 

Personvern som standardinnstilling går ut på at: 

  • «[...] det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles.» 
  • «[…] personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.» 

Med andre ord bør bedrifter begrense sin datainnsamling ved å kun hente inn de opplysningene som er strengt nødvendige for å oppfylle formålet med behandlingen. Og hvis en bruker ikke foretar seg noe, skal opplysningene deres fortsatt beskyttes og personvernet ivaretas.  

Eksempel: beskjed om informasjonskapsler 

Når det dukker opp et varsel om at et nettsted benytter informasjonskapsler (cookies), er det ikke uvanlig å ignorere det. Hvis personvern er standardinnstillingen, vil kun de strengt nødvendige informasjonskapslene være aktive, selv når brukeren ikke foretar seg noe. Standardinnstillingen er altså maksimal databeskyttelse, og flere informasjonskapsler vil kun aktiveres hvis brukeren aktivt godtar dem.  

Likevel vil flere nettsteder aktivere alle informasjonskapsler automatisk. Da vil det å klikke bort varselet tolkes som å godta alle tredjeparts informasjonskapsler. Dette er ikke personvern som standardinnstilling. 

 

Vi har ikke innebygd personvern  – blir vi bøtelagt? 

Innebygd personvern og personvern som standardinnstilling er juridiske forpliktelser; å ikke etterleve dem er et brudd på GDPR. Når det er sagt, er ikke dette blant de oftest rapporterte bruddene på GDPR - noe som tyder på at innebygd personvern ikke håndheves strengt. Det er likevel en god idé å ta i bruk innebygd personvern, da det som nevnt medfører flere fordeler for din bedrift. I tillegg kan myndighetene alltids bestemme seg for å håndheve kravene strengere. , hvordan kommer du i gang med innebygd personvern? 

Hvordan komme i gang med innebygd personvern?  

Artikkel 25 er ganske kortfattet om hvordan man innfører innebygd personvern. Det står at man skal gjennomføre «egnede tekniske og organisatoriske tiltak», men utover to eksempler (pseudonymissering og dataminimering) gis det lite informasjon om hva “egnede tiltak” innebærer. 

Heldigvis har Datatilsynet utarbeidet en guide for å hjelpe norske virksomheter med å etterleve kravet om innebygd personvern. Slik guiden påpeker, er man ikke nødt til å slavisk innføre alle tiltakene som foreslås, men heller ta i bruk de som gir mening for sin bedrift. Oversikten over tidligere gitte bøter for brudd på GDPR kan også gi en god pekepinn på hva som regnes som “egnede tiltak”. 

Husk at det ikke er feil å begynne i det små. Dessuten bidrar nok mange av de datasikkerhetstiltakene du allerede har innført til innebygd personvern.  

              

De syv prinsippene bak innebygd personvern 

For å komme i gang med innebygd personvern, kan det være til hjelp å ta en titt på de sju grunnleggende prinsippene bak konseptet. Begrepet innebygd personvern ble først tatt i bruk i 2009 av Ann Cavoukian, daværende kommisær for informasjon og personvern i Ontario, Canada. Hun utviklet også de sju prinsippene bak konseptet: 

  1. Proaktiv, ikke reaktiv: forebygg fremfor å avhjelpe
  2. Personvern som standardinnstilling
  3. Personvern bygd inn i designet 
  4. Full funksjonalitet: positiv sum, ikke nullsum
  5. Ende-til-ende-sikkerhet: beskyttelse under hele livssyklusen
  6. Synlighet og gjennomsiktighet: hold det åpent
  7. Respekt for brukerens personvern: hold det brukerorientert 

Nedenfor ser vi nærmere på hvert av disse prinsippene og forklarer hva “egnede tekniske og organisatoriske tiltak” innenfor hvert av dem kan være.   

              

1. Vær i forkant, forebygg fremfor å reparere

Dette er den generelle tankegangen du bør ha. Personvern skal tas hensyn til allerede i utviklingen av tjenestene dine. På den måten forebygger du personvernproblemer og datainnbrudd i stedet for å “slukke branner” etterhvert som de oppstår. 

Hvordan? En måte å gjøre dette på er å utføre en periodisk risikoanalyse der du identifiserer potensielle personverns- og datarisikoer og konsekvensene de vil ha for bedriften din. Dermed kan du sette i gang tiltak for å beskytte data før eventuelle negative hendelser inntreffer – og på den måten forhindre dem. Vi utviklet en nyttig mal for risikoanalyse som kan hjelpe deg med å komme i gang med proaktiv identifisering av risikoer i virksomheten. 

              

2. Personvern som standardinnstilling

Alle tjenestene i virksomheten din bør utformes slik at personvern og data beskyttes automatisk. Hvis en kunde ikke foretar seg noe, bør så lite som mulig data samles inn om dem og personvernet burde forbli beskyttet (husk eksempelet om informasjonskapsler). 

Det er ikke dermed sagt at du ikke kan samle inn noe data. Det ville gjort det vanskelig å drive en bedrift! Noe datainnhenting er altså i orden, så lenge det har et tydelig formål. Sørg alltid for å: 

Her kan dataminimering være et eksempel til etterfølgelse 

         

3. Personvern bygd inn i designet

Når dere designer nye tjenester, bør hensynet til personvern og sikkerhet være vel så viktig som de forretningsmålene dere forsøker å oppnå.  

Du kan se på sikkerhetssårbarheter på samme måte som du ser på designfeil. Dersom det oppstår en designfeil som påvirker deres inntekter, vil du ikke bare putte et plaster på det. I stedet vil du gå tilbake til tegnebrettet og utforme systemet slik at feilen ikke er der i utgangspunktet.  

             

4. Full funksjonalitet: positiv sum, ikke nullsum 

Dette er relatert til det vi nettopp gikk gjennom: personvern og sikkerhet burde være vel så viktig som deres forretningsmål. Da gir det ikke mening å legge til sikkerhetstiltak etter å ha utformet en tjeneste – det ville fått sikkerhet til å føles som en ettertanke. Resultatet blir i så fall at sikkerhetstiltak oppleves irriterende, og at det blir mer effektivt å jobbe seg rundt dem enn å overholde dem. 

Dette prinsippet forsøker å forhindre det. Poenget her er at personvern ikke burde være noe går utover andre mål, slik som effektivitet eller funksjonalitet. Ved å jobbe med personvern og sikkerhet fra starten av, kan slike falske dilemmaer overkommes, og det oppstår en vinn-vinn-situasjon: personvern og effektivitet, personvern og funksjonalitet.  

Men hvordan gjør du dette i praksis? Tanken er at personen eller avdelingen som er ansvarlig for databeskyttelse blir mer involvert i designprosessen når nye prosesser eller systemer skal utvikles. Så i stedet for å designe en arbeidsflyt og deretter gi den til IT-avdelingen eller personvernombudet for å kontrollere at den er sikker nok, bør du forsøke å samarbeide med noen fra IT-avdelingen fra starten av.  

         

5. Ende-til-ende-sikkerhet: beskyttelse under hele livssyklusen

Dette prinsippet tar også opp ting vi allerede kan. Databeskyttelsestiltak innføres proaktivt før de første opplysningene samles inn og opprettholdes under hele datalivssyklusen, fram til opplysningene slettes i tide og på en sikker måte mot slutten av prosessen.  

 

Datalivssyklus? 

Når man håndterer personopplysninger, er det ofte hjelpsomt å tenke på håndteringen som en livssyklus. Da kan du overveie hvordan dataen skal behandles under de ulike fasene av dens “liv”, slik som innsamling, lagring, behandling, arkivering og ødeleggelse.

Dette betyr i bunn og grunn at databeskyttelse bør være standarden for hvert stadium i livssyklusen. For eksempel bør sikkerhetstiltak som kryptering, autentisering og loggføring benyttes i hver fase.  

Ses dette i sammenheng med de forrige prinsippene, betyr det at: 

  • Kun strengt nødvendige opplysninger samles inn, og alltid med et tydelig formål 
  • Dataene oppbevares ikke lengre enn det som trengs for å oppnå formålet 
  • Dataene lagres og behandles sikkert ved hjelp av for eksempel kryptering, streng tilgangskontroll og loggføringsmetoder 
  • Dataene slettes på en sikker måte så snart de ikke lenger er nødvendige  
         

6. Synlighet og gjennomsiktighet: hold det åpent

Dette prinsippet er ganske enkelt. Du burde være åpen overfor brukeren om hvilke data som innsamles, hva de skal brukes til, hvordan de behandles og hvordan de beskyttes.  

Dette koker i grunn ned til å ha en klar og forståelig personvernpolitikk som kundene dine enkelt kan slå opp i når de er i tvil.  

         

7. Respekt for brukerens personvern: hold det brukerorientert  

Dette siste prinsippet er her for å minne oss på det vi først og fremst ønsker å oppnå: å behandle kundenes data og personvern med respekt.  

Det er en god idé å ha brukerens interesser i tankene når du utvikler systemer og rutiner for databehandling. Utform dem på en brukervennlig måte som gir brukerne dine sterke standardvalg for personvern, passende varsling og en god oversikt over dataen som samles inn om dem. På den måten gir du dem mulighet til å aktivt håndtere egne data, eller i det minste være oppmerksomme på dem.  

Ikke glem at det er brukeren som eier sine egne data – til syvende og sist har bedriften din dem kun til låns. Brukerne deres burde derfor kunne trekke tilbake sitt samtykke når som helst.  

Konkrete tiltak: Hvordan man tar i bruk innebygd personvern  

Nå har du forhåpentligvis en bedre forståelse av hva målet med innebygd personvern og personvern som standardinnstilling er, og hvorfor det er en god idé å gradvis innføre denne tankegangen i din bedrift også.  

La oss nå utforske noen av de “egnede tekniske og organisatoriske” tiltakene som kan brukes for å innføre disse sju prinsippene i praksis. Vi har allerede sett på noen av dem, for eksempel å periodisk gjennomføre risikoanalyser, praktisere dataminimering og lage tydelige retningslinjer for personvern.  

Husk at ingen forventer at du skal være en ekspert på innebygd personvern fra starten av. Mye kan oppnås ved hjelp av små steg og handlinger, så selv om du kun jobber med ett eller få av tiltakene nedenfor, vil det bidra mye til å styrke personvernet i bedriften din. Og husk også at du kan ta i bruk en rekke andre tiltak enn de vi nevner her.  

           

Synliggjør forpliktelsen til personvern og databeskyttelse  

Gjør forpliktelsen til personvern og databeskyttelse mer synlig ved å f.eks. inkludere den i bedriftens målsetning, verdier og interne retningslinjer. Det første steget mot å overholde denne forpliktelsen er å formalisere den, og dette kan gjøres ved å bl.a. lage en tydelig IT-sikkerhetspolitikk og retningslinjer for bruk av IT. Vi har utviklet maler og veiledninger for begge deler.  

Utnevn et team eller en person som er ansvarlig for personvern og databeskyttelse 

Dette kan for eksempel være et personvernombud. Husk å informere deres ansatte, kunder og partnere om hvem dette er og hvordan de kan kontaktes. 

Gi kundene en alt-i-ett personvernportal

Gjør det lett for kundene dine å finne og administrere sine personopplysninger og personverninnstillinger. Altfor ofte er personvern- og datainnstillinger gjemt eller spredt rundt i forskjellige innstillingsmenyer og dermed lite tilgjengelige for kunden.   

Informer om og dokumenter datainnsamlingens formål og grunnlag 

Det å være gjennomsiktig i din innsamling og behandling av data betyr at du tydelig dokumenterer og informerer om datainnsamlingens formål og rettslige grunnlag, samt hvordan og av hvem dataen vil behandles. Ikke sikker på hvor du skal starte? Vi har en guide til rollen som dataansvarlig og databehandler. 

Unngå manipulativt design

Brukerorientert og brukervennlig design innebærer også å unngå manipulativt design. Varselet om informasjonskapsler bør for eksempel inneholde en tydelig merket mulighet for å “avslå” disse. Du bør ikke manipulere folk til å gi bort mer data enn de frivillig ville samtykket til.   

Sørg for at teamet ditt håndterer data riktig og sikkert

Innfør tiltak som hindrer at de ansatte bruker dataene til noe annet enn det dokumenterte formålet, og som sikrer at de følger retningslinjene for databeskyttelse. Dette kan være alt fra opplæring i metoder som dataminimering, pseudonymisering og anonymisering, til tekniske sikkerhetstiltak som tilgangskontroll, kryptering og loggføringsmetoder.  

Oppmuntre til et tettere samarbeid mellom de personvernansvarlige og resten av bedriften 

Tanken er at både databeskyttelse og forretningsmål kan oppnås uten at det ene går utover det andre. Dette kan gjøres ved å oppmuntre de personvernansvarlige til å jobbe tett sammen med andre avdelinger i bedriften når nye prosjekter skal planlegges, slik at begge parter får kommet med innspill.  

Konsekvensanalyser av personvern

Gjennomfør konsekvensanalyser av større prosesser og prosjekter. Her er det igjen viktig å inkludere flere perspektiver slik at konsekvensanalysene går overens med bedriftens forretningsmål. 

Hyppig overvåkning av personverns-og datarisikoer

Overvåk personverns- og IT-sikkerhetsrisikoene i bedriften jevnlig og under alle stadiene i datalivssyklusen: innsamling, lagring, behandling og sletting. Trusler mot personvern og data endres stadig – derfor er det viktig at du lager et rammeverk som for eksempel inkluderer å utføre risikoanalyser med jevne mellomrom.  

Dine ansatte er viktige for å oppnå innebygd personvern

Det er klart at det trengs tekniske tiltak til for å innføre innebygd personvern og personvern som standardinnstilling via disse 7 prinsippene. Men som du sikkert har lagt merke til, er gode rutiner og praksiser rundt personvern vel så viktig!  

 Man kan altså ikke oppnå sterk databeskyttelse uten å ha de ansatte med på laget. De må være bevisste på hva personopplysninger er, hvilke vanlige risikoer som finnes, hva de generelle reglene for databehandling er og så videre. 

Når de ansatte sitter på denne kunnskapen, vil de forstå hvorfor bedriftens prosesser og systemer er designet etter prinsippet om innebygd personvern. Da vil det gi mening at de bare får lagre kundedata i spesifikke systemer og ikke i sine egne udokumenterte regneark.  

Kort oppsummert: Et bevisst personale er en viktig del av innebygd personvern og personvern som standardinnstilling. Et “ubevisst” personale kommer mest sannsynlig til å behandle data på måter som ikke er optimale for personvernvernet. 

           

Bruke bevissthetstrening for innebygd personvern

Opplæring i bevissthet rundt IT-sikkerhet er en effektiv metode for å få de ansatte til å tenke på en brukerorientert måte hvor personvern er i fokus. Tidligere nevnte vi opplæring av ansatte som ett av de konkrete tiltakene som bidrar til innebygd personvern. Bevissthetstrening er designet for akkurat dette formålet: å gjøre ansatte bevisste på risikoer, regler og prosedyrer innen IT-sikkerhet.   

Ta for eksempel det første prinsippet bak innebygd personvern: Proaktiv, ikke reaktiv: forebygg fremfor å avhjelpe. Å proaktivt identifisere risikoer og utvikle passende tiltak og sikkerhetsrutiner innebærer også å gjøre de ansatte bevisste på disse risikoene og lære dem hvordan de skal reagere på dem.  

Sikkerhetssårbarheter blir ofte tenkt på som tekniske problemer, men hvis en ansatt trykker på en lenke i en phishing-e-post som følge av manglende bevissthet, er dette vel så mye en sikkerhetssårbarhet.  

Vi har satt sammen 11 tips for å komme i gang med bevissthetstrening. Det er enklere enn du tror!  

Konklusjon

Selv om personvernforordningen (GDPR) ikke er særlig tydelig om hvordan man innfører innebygd personvern, er det ikke vanskelig å se at dette konseptet er i tråd med forordningens overordnete mål: å gi den enkelte bruker mer kontroll over egne data.  

Tar du i bruk prinsippene bak innebygd personvern i din bedrift, vil du ikke bare hjelpe bedriften med å overholde GDPR, men også bidra til å bygge et tillitsfullt og åpent forhold med deres kunder og samarbeidspartnere. Og det kan vel ikke skade?