Personvernprinsippene: De sju prinsippene i GDPR

Ismail Özkan
By: Ismail Özkan GDPR | 13 desember

De ulike kravene til databeskyttelse og personvern er basert på sju grunnleggende prinsipper i EUs personvernforordning (GDPR). Dette blogginnlegget gir deg en introduksjon til hva GDPR er. Vi forklarer hva de ulike prinsippene betyr og gir deg konkrete tips til hvordan du kan overholde disse. Når du forstår personvernprinsippene, vil du bli bedre på å etterleve GDPR 

Hva er de sju prinsippene i personvernforordningen? 

Alle kravene i GDPR er forankret i sju generelle prinsipper for personvern. Hvis du forstår disse sju prinsippene, vil det bli enklere for deg å forstå de ulike kravene.  

De sju personvernprinsippene er:

  1. Lovlig, rettferdig og gjennomsiktig

  2. Formålsbegrensning

  3. Dataminimering

  4. Riktighet

  5. Lagringsbegrensning

  6. Integritet og konfidensialitet

  7. Ansvarlighet

Før vi går gjennom hvert enkelt prinsipp og hvordan de fungerer i praksis, vil vi kort se hvorfor det er viktig å forstå disse prinsippene og hvordan du kan dra nytte av dem.  

7 GDPR Principles - Infographic

Å forstå personvernprinsippene

Da GDPR ble innført i 2018, opplevde mange bedrifter vanskeligheter med å håndtere de nye kravene. Flere av disse utfordringene gjelder fortsatt. Korrekt behandling og håndtering av persondata er ikke bare et etisk ansvar, men også et lovfestet krav som, hvis det brytes, kan føre til store bøter, økonomiske konsekvenser og tap av omdømme.  

Ettersom persondata er overalt og alle organisasjoner håndterer persondata på en eller annen måte, er det viktig at organisasjoner setter seg inn i hva personvernforordningen krever av dem. 

For å danne et tydelig bilde av din rolle som dataansvarlig eller databehandler, må du både ta i betraktning reglene i din bedrift og kravene i GDPR.  

Å etterleve GDPR starter med å forstå de sju prinsippene 
Personvernforordningen (GDPR) kan virke lang og tung, og språket kan være komplisert. Man tenker kanskje at man trenger hjelp fra en jurist for å forstå den.  

Men, alle kravene i GDPR er basert på sju enkle prinsipper. Det vil si at hvis du forstår disse sju personvernprinsippene, er du ett steg nærmere å forstå og overholde GDPR. Ha likevel i mente at dette blogginnlegget er ment for nybegynnere, og at det derfor er forenklet og ikke ment å erstatte en jurist eller konsulent.  

Hvis du så vidt er i gang med GDPR eller ser etter noe som kan hjelpe deg med ditt arbeid innen personvern, kan databeskyttelse (privacy by design) være en passende tilnærming for deg. Databeskyttelse er en proaktiv tilnærming til personvern og kan styrke din sikkerhet og ditt rykte som en bedrift som verdsetter personvern.  

Siden det er nærmest umulig å unngå å håndtere persondata i disse dager, vil de sju prinsippene sannsynligvis være relevante for deg, men graden av relevans vil naturligvis avhenge av din situasjon. Derfor bruker vi et generelt og lett anvendelig eksempel gjennom hele artikkelen til å forklare de sju prinsippene.   

Eksempelet som forklarer de sju personvernprinsippene 

Forestill deg at bedriften din gjerne vil lage et nyhetsbrev for kundene eller medlemmene deres. Målgruppen kan melde seg på nyhetsbrevet på flere måter. De kan for eksempel registrere seg ved å fylle ut et skjema på nettsiden deres eller huke av en boks når de kjøper noe på nettsiden. På denne måten får du en database over kundene dine, og du kan sende ut relevant innhold til dem en gang iblant. Du kan også bruke denne databasen til å tilpasse budskapet publikummet ditt, for eksempel ved å overvåke atferden deres på nettsiden.  

Ganske likeframt eksempel, eller hva? 

Vi skal heretter bruke dette eksempelet når vi ser på hvert av de sju prinsippene for databeskyttelse i GDPR.  

Før vi setter i gang vil jeg minne om at disse prinsippene også er relevante i mange andre tilfeller, og at du bør overføre poengene fra denne artikkelen til din egen praksis. Det kan for eksempel være når du avholder en konkurranse på Instagram, organiserer et personalarrangement eller håndterer en database over jobbkontaktene dine.  

Nå er det på tide å dykke ned i de sju prinsippene. La oss sette i gang! 

1. Lovlig, rettferdig og gjennomsiktig

Ja, det er faktisk bare ett prinsipp, selv om det inneholder tre punkter. Vi lover at dette er det eneste prinsippet som består av flere konsepter.  

Kort fortalt forteller dette prinsippet oss at man må behandle persondata på en lovlig, rettferdig og gjennomsiktig måte. Dette er hva det betyr:  

Lovlig betyr at du har et gyldig rettslig grunnlag til å samle inn og behandle data. Et slikt grunnlag oppnås gjerne ved at brukeren fyller ut en samtykkeerklæring. Det finnes også mange andre juridiske grunner til behandling av persondata i GDPR. 

Rettferdig betyr at din behandling av persondata er i den beste interesse for personen som dataene handler om, og at omfanget av behandlingen med rimelighet kan forventes av personen det gjelder.  

Gjennomsiktig betyr at du tydelig informerer om hvilken data du behandler, samt hvordan og hvorfor du behandler den, til de personene du innhenter data om. Dette skal gjøres på en slik måte at personene du innhenter data om lett kan forstå omfanget av behandlingen og hvilke metoder du bruker.  

Lovlig, rettferdig og gjennomsiktig i vårt eksempel 

Lovlig

I vårt eksempel trengs navnene og e-postadressene til abonnentene, som et minstekrav, for å kunne sende ut nyhetsbrevet. Du må ha rettslig grunnlag for å innhente disse opplysningene, ved å for eksempel la brukeren gi samtykke til din databehandling ved å huke av en boks. Det er imidlertid viktig at du gir brukerne mulighet til å begrense innsamlingen av deres data til kun det som er essensielt for å sende ut nyhetsbrevet. Trenger du for eksempel virkelig stillingstittelen deres for å kunne sende ut brevet? Da må du i så fall forberede noen gode argumenter for dette. Videre må du også kunne dokumentere når og hvordan samtykket ble gitt, dersom du bes om det.  

Rettferdig

Du må også behandle dataene som er nødvendige for nyhetsbrevet på en rettferdig måte. Hvis din bedrift for eksempel selger skjønnhetsprodukter, forventer kundene deres å motta informasjon om nye produkter eller blogginnlegg om skjønnhet. Du burde derfor ikke bruke kundedatabasen til å sende ut irrelevante (dvs. uforventede) e-poster som ikke samsvarer med abonnentenes intensjon da de registrerte seg for nyhetsbrevet.  

Gjennomsiktig

Sist, men ikke minst, må du være transparent og informere om hva slags data du behandler, og hvordan og hvorfor du behandler disse. Husk at de som du behandler dataene til (som kalles “datasubjekter” i GDPR) har rett til å vite nøyaktig hvilken data du samler inn om dem, og hvordan og hvorfor denne dataen behandles. Du kan oppnå gjennomsiktighet i ditt nyhetsbrev ved å for eksempel ha en tydelig personvernpolitikk på nettsiden din og gjøre det lettvint for abonnentene å kontakte bedriftens personvernombud.  

New call-to-action

2. Formålsbegrensning

Dette prinsippet handler om at man bare burde behandle persondata etter det tiltenkte formålet. Man burde altså ikke gjenbruke persondata til andre formål enn innsamlingen av dem var beregnet til.  

Formålsbegrensning i vårt eksempel 

I eksempelet vårt vil dette bety at du ikke bør bruke dataene du får via nyhetsbrevet til andre formål enn du har oppgitt. Hvis du skrev i samtykkeerklæringen at du lagrer IP-adressene til abonnentene for å dokumentere når og hvordan samtykket ble gitt (siden dette er et krav i GDPR), kan du ikke bruke IP-adressene til å sende abonnentene tilpasset innhold, slik som produktforslag, som er basert på deres geografiske plassering. Det ville vært å bruke deres persondata til andre formål.  

Men, hvis det for eksempel stod skrevet at dere innhenter IP-adressene for å sende ut nyhetsbrevet og annet relevant innhold, vil du kanskje kunne bruke persondataen deres til å sende ut tilpassete e-poster. “Kanskje” er nøkkelordet her, da det er veldig strenge krav til dette.  

Når det gjelder håndtering av personopplysninger, utgjør teamet ditt frontlinjen. Du må passe på at de ikke begår feil eller håndterer personopplysninger på en måte som bryter med GDPR. Den beste måten å garantere dette på er ved å trene opp teamet ditt og gjøre dem bevisste om problemstillinger innen personvern.  

Smart CTA_e-book NO

3. Dataminimering

Vi er alle skyldige i å hamstre data. Vi beholder ting vi tenker er kjekke å ha, men ender opp med å aldri bruke dem. Det tredje GDPR-prinsippet går ut på at vi ikke burde ha data liggende om det ikke er bruk for den.  

Prinsippet forteller oss at vi ikke burde samle inn mer persondata enn vi trenger for å utføre tjenesten. Man skal altså bare samle inn og håndtere den mengden data som trengs, og ikke mer.  

Dataminimering i vårt eksempel 

I eksempelet vårt betyr dataminimering at du kun innsamler de personopplysningene som trengs for å levere nyhetsbrevet, slik som navn og e-postadresse. Annen informasjon, som stillingstitler, kan være kjekk å ha, men regnes ikke som nødvendig. 

Dataminimering medfører flere fordeler for deg. Ikke bare fører det deg ett steg nærmere å overholde alle kravene i GDPR, men du vil også bli svakere rammet av et eventuelt databrudd.  

4. Riktighet

Dette prinsippet kan være litt forvirrende. Mens de andre prinsippene vi har sett på hittil går ut på å vite så lite som mulig om de menneskene vi behandler dataene til, går dette prinsippet litt ut på det motsatte. Her ønsker vi å ha så riktige data som mulig.  

Det vil si at personopplysningene vi behandler må være korrekte og oppdaterte, og at du som dataansvarlig og/eller databehandler må gjennomføre “fornuftige tiltak” for å sikre dette.  

Dette er imidlertid bare relevant dersom persondataenes korrekthet er av betydning for personene dataene omhandler.  

Riktighet i vårt eksempel 

Vi går tilbake til eksempelet vårt. La oss si at en av dine abonnenter registrerte seg for nyhetsbrevet ditt med jobbmailen sin da de jobbet for selskap X. Hvis personen bytter jobb og nå jobber for selskap Y, vil den gamle e-postadressen ikke lenger være i bruk. Da vil ikke du lenger ha riktige personopplysninger om denne brukeren.  

Et “fornuftig tiltak” i dette scenarioet kunne vært å inkludere en lenke i nyhetsbrevet ditt hvor abonnentene kan endre sin e-postadresse. Da kan de enkelt oppdatere personopplysningene sine hvis de for eksempel skal bytte jobb.  

Du kan også bruke et CRM-system eller et system for markedsføring over e-post som holder oversikt over e-postadresser som gir et automatisk svar når du sender ut nyhetsbrevet ditt. Hvis en ansatt forlater selskapet, vil selskapet ofte opprette et automatisk svar om at personen du prøver å nå ikke jobber der lenger. Men det kan være flere andre grunner til at folk bruker automatiske svar, slik som at de er på ferie, så derfor burde du jevnlig gå gjennom disse automatiske svarene for å se om du har noen abonnenter med ugyldige e-postadresser.  

Hvis opplysningene du sitter på er unøyaktige eller ukorrekte, er det ingen grunn til at du skal behandle dem, og de burde oppdateres eller slettes. 

5. Lagringsbegrensning

Dette prinsippet går ut på å slette personopplysninger når du ikke trenger dem lenger. I bunn og grunn burde du ikke lagre persondata som ikke lenger tjener det formål de var tiltenkt. Dette prinsippet ligner dataminimeringsprinsippet, og mange bedrifter betrakter sletting av gammel data som en del av dataminimering. Det å innføre en prosess for sikker ødeleggelse av data, kan hjelpe deg med å sikre at data som ikke trengs faktisk fjernes og ikke fortsatt lagres på en enhet eller i skyen, hvor den kan utgjøre en potensiell sikkerhetstrussel.  

Lagringsbegrensning i vårt eksempel 

I eksempelet vårt kan lagringsbegrensning være at du sletter informasjonen om de som melder seg av nyhetsbrevet ditt. Tilsvarende bør du slette informasjonen om alle abonnentene deres dersom bedriften din velger å avvikle nyhetsbrevet. Grunnen til det er at formålet med å innhente informasjon om abonnentene var å sende dem nyhetsbrevet, og hvis det formålet ikke lenger eksisterer, burde ikke dataene som ble innsamlet til det formålet gjøre det heller.  

I noen tilfeller kan det være relevant å beholde personopplysninger i en viss tid etter formålet har opphørt, eller å anonymisere dataene og bruke dem til statistiske eller historiske formål. Men husk at disse situasjonene er unntak snarere enn regler, og at de krever nøye vurdering.  

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

6. Integritet og konfidensialitet

Hvis du er kjent med IT-sikkerhet har du kanskje hørt om KIT-trekanten (“the CIA triangle”). Forkortelsen står for konfidensialitet, integritet og tilgjengelighet.   

Det sjette prinsippet handler om to av sidene til denne trekanten. Integritet går ut på å sikre at personopplysningene er korrekte og ikke kan manipuleres av andre (du bør med andre ord beskytte systemene dine mot hackere). Konfidensialitet går ut på å sikre at ingen uvedkommende får tilgang på persondataene, det vil si at det kun er de som skal håndtere personopplysningene som får tilgang på dem.  

Integritet og konfidensialitet i vårt eksempel 

I eksempelet vårt vil dette bety at uvedkommende ikke bør få tilgang på dataene du innsamler gjennom nyhetsbrevet. Dette inkluderer også ansatte i bedriften din. Det er kun de som trenger informasjonen om abonnentene dine for å sende ut nyhetsbrevet som bør få tilgang på den.  

Videre burde du ha systemer og tiltak på plass som forhindrer manipulasjon av dataene. Personopplysningene til abonnentene dine burde for eksempel ikke lagres på en delt server som alle i bedriften har tilgang på, og du må gjennomføre nødvendige tiltak for å sikre at stedet du lagrer denne informasjonen er beskyttet mot IT-angrep og databrudd.  

Integritet spiller også en viktig rolle når det gjelder å trygt publisere bilder og videoer på nett, og det gjør mange av de andre GDPR-prinsippene også. 

7. Ansvarlighet

Som navnet antyder, handler dette prinsippet om å ta ansvar for egen databehandling. Det vil si at du som dataansvarlig og/eller databehandler er ansvarlig for riktig håndtering av persondata og å overholde reglene i GDPR.  

Det å ta ansvar går ikke bare ut på å oppfylle de ulike kravene i GDPR, men også å være i stand til å dokumentere at du gjør dette. 

Eksempler på ansvarlighet

Hvis du bruker samtykke som rettslig grunnlag for å behandle personopplysningene til abonnentene av nyhetsbrevet ditt, og dermed etterlever lovlighetsprinsippet, må du dokumentere hvordan og når dette samtykket ble gitt. For å gjøre dette må du ha et system på plass som loggfører samtykket.  

Et annet eksempel er at mange av prinsippene i GDPR krever at du gjennomfører organisatoriske tiltak, så vel som tekniske. Dette kan for eksempel gjelde prinsipp 2, hvor du bør opplære dine ansatte i å ikke gjenbruke persondata for andre formål enn de originalt var tiltenkt. Ved å tilby opplæring av de ansatte og dokumentere dette tiltaket både oppfyller og demonstrerer du et GDPR-krav.  

Konklusjon: Trening er nøkkelen

Vi vet at GDPR noen ganger kan være overveldende grunnet dens tunge språk og tekniske forklaringer. Denne guiden var ment som et startpunkt for nybegynnere. Vi håper at du likte artikkelen og at innsikten du har fått vil gjøre arbeidet ditt med GDPR lettere.  

I denne teksten har vi sett at de ansatte spiller en avgjørende rolle i å sikre at bedriften overholder GDPR. Det er de ansatte som må håndtere persondataene på daglig basis. Vi anbefaler at du passer på at teamet ditt er utstyrt med de nødvendige evnene og den kunnskapen som trengs for å håndtere persondata. Du kan opplære teamet ditt på mange måter. Vi i CyberPilot tilbyr et bredt spektrum av kurs innen IT-sikkerhet. Du kan ta en titt i vår kurskatalog for bevissthetstrening for å se hvilke emner vi dekker for øyeblikket.  

Kursene vi har utviklet er korte, morsomme og interaktive. Akkurat nå tilbyr vi en 14-dagers gratis prøveperiode uten noen binding eller kostnad. Hvis du er nysgjerrig på å trene opp teamet ditt, vil vi anbefale å prøve det ut!

Du kan også se vår video om de 7 GDPR-prinsippene