Det skal du vide om ”Privacy by Design” – ny vejledning

29. november 2017 - Rådet for Digital Sikkerhed har udgivet vejledningen "Databeskyttelse gennem Design". Få styr på din databeskyttelse som en del af GDPR-arbejdet.

I den nye databeskyttelseslov, EU-persondataforordningen (GDPR), som træder i kraft den 25. maj 2018, stilles der krav til Privacy by Design. Rådet for Digital Sikkerhed kalder det Databeskyttelse gennem Design.

Privacy by Design adresseres i persondataforordningen, som bare ét område af mange, der skal sikre, at retten til privatliv forankres i virksomhedens grundlæggende måde at arbejde på.

Overordnet set betyder kravet til databeskyttelse gennem design, at virksomheder skal indtænke databeskyttelse i designet af applikationer, som behandler persondataoplysninger, så databeskyttelse sikres i hele applikationens levetid. Sådanne applikationer kan være alt lige fra dit interne case management system til din kundevendte smartphone-app.

Sådan lyder lovkravet

Af forordningens artikel 25, stk. 2 fremgår følgende:

”Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles”

Det afgørende element er standardindstillinger. Hvis applikationens standardindstillinger lever op til kravene i artikel 25, sikrer du, at databeskyttelse og dataminimering er implementeret i applikationen i hele dens levetid.

Derfor "glemmes" privacy i designfasen

Principperne i artikel 25 lægger op til, at beskyttelse af data og datasubjekt skal tænkes ind i designfasen allerede ved udvikling af systemer. I dag foregår det sjældent sådan i praksis. Ofte vil privatlivsbeskyttelse være et element, som indtænkes senere i processen, og det skaber udfordringer. Det betyder, at dataindsamling og databrug ofte bliver opt-out i stedet for opt-in.

Historisk set har der været en tendens til at indsamle så meget information om brugerne som muligt. Det er der flere årsager til; alt lige fra ønsker om teknisk optimering af systemer til målrettet kommunikation og skræddersyede brugeroplevelser.

Med GDPR-bestemmelserne vil vi opleve et skifte i denne tendens. Retten til privatliv samt dataminimering vil fremover skulle indtænkes som standardelement i designfasen af applikationer.

Tænk privacy fra brugerens synspunkt

I designfasen kan det være en stor hjælp at sætte sig i brugerens/datasubjektets sted. Her kan man eksempelvis gøre brug af de 7 ”Privacy Architecture Design Principles” fra Jutla og Bodroks. De beskriver i form af 7 C’er forordningens krav set fra et brugerperspektiv:

  • Comprehension – forståelse for hvem der opsamler og behandler data
  • Consciousness – bevidsthed om hvor og hvornår data opsamles
  • Choice – informeret valg om dataindsamling og -brug
  • Consent – aktivt og entydigt samtykke
  • Context – tilpasning af præferencer afhængig af kontekst
  • Confinement – mulighed for begrænsning af formål og brug
  • Consistency – rimelig forståelse for konsekvenser for databrug

De 7 C’er giver en forståelse for, hvilke elementer man bør overveje i designprocessen, så retten til privatliv implementeres jf. GDPR-bestemmelserne.

Med 8 konkrete designstrategier (Hoepman) kan man omsætte de 7 C’er til reelle handlingspunkter. De otte strategier – fire dataorienterede og fire procesorienterede – implementeres i designprocessen for at sikre privacy.

Dataorienterede strategier:

  • Minimise - dataminimering
  • Hide - kryptering, anonymisering, pseudonymisering
  • Separate - databehandling og -opbevaring i dedikerede, lukkede systemer
  • Aggregate - data på det højest mulige samlede niveau

Procesorienterede:

  • Inform - transparens ved databrug
  • Control - brugerkontrol
  • Enforce - politik for opbevaring og brug
  • Demonstrate - dokumentation

Med de 7 C’er og de 8 designstrategier i baghovedet har du et godt fundament for at efterleve kravet til privacy by design.

Ny vejledning fra Rådet for Digital Sikkerhed

Rådet for Digital Sikkerhed har for nylig udgivet en vejledning for Databeskyttelse gennem Design. Formålet med vejledningen er at konkretisere begrebet som adresseret i EU-persondataforordningen og give eksempler på, hvad der i praksis kan ligge i begrebet.

vejledningen fra RfDS her.

Vejledningen giver konkrete eksempler på, hvordan 7 principper for Privacy by Design (udviklet af Ann Cavoukian) kan anvendes i praksis. F.eks. adresseres behovet for automatisering af processer for oplysning og indsigt i data samt udfordringerne ved at stille fritekstfelter til rådighed for brugere.

Vejledningen overser dog særligt to områder, der er nye for mange: Dataminimering og genbrug af data til flere formål.

For fremtiden skal vi stræbe efter princippet om dataminimering, der dikterer, at du samler det absolutte minimum af data, der kræves, for at udføre en opgave. Samtidig sætter forordningens krav om eksplicit samtykke fra datasubjektet en stopper for genbrug af data til flere formål.

Det er en ny måde at tænke på for mange systemarkitekter og udviklere. Historisk set har de sikret, at virksomheden havde mest muligt data om deres kunder at arbejde med. Når en forretningsidé eller et behov opstod, kunne man blot genbruge eller samkøre data mellem systemer. Den går ikke længere.

Stil dig selv 6 spørgsmål

Som databehandler er det vigtigt at du dokumenterer din proces og dit arbejde med data. Du kan blandt andet stille dig selv disse spørgsmål:

  • Kan du klare dig uden data?
  • Har du hjemmel til at opsamle data?
  • Hvordan beskytter du på data tilstrækkeligt?
  • Hvem har adgang til data og hvornår?
  • Hvordan tilgår datasubjekter deres data for berigtigelse?
  • Hvordan håndterer du sletning af data?

Få styr på Privacy by Design med en GDPR-uddannelse

På Dubex’ og Delacours GDPR-uddannelse behandler vi emnet Privacy by Design. Vi kommer omkring både de 7 principper for Privacy by Design samt konkret vejledning til, hvordan du i praksis implementerer retten til privatliv i virksomhedens arbejdsgang.

Tag en GDPR-uddannelse og få styr på principperne. Uddannelsen giver dig de rette værktøjer til at løfte GDPR-arbejdet i din organisation.

Vi har netop åbnet op for tilmeldingen til et nyt kursus i februar 2018. Find praktiske detaljer og læs mere om uddannelsen her.

Vil du læse mere om Privacy by Design?

Vejledningen fra Rådet for Digital Sikkerhed nævner Ann Cavokians designprincipper og ENISAs rapporter på området som god inspiration. Vi kan særligt anbefale de to rapporter "Privacy and Data Prorection by Design" og "Privacy by Design in Big Data". ENISAs rapporter inddrager blandt også Hoepmans otte "Privacy Design Strategies". De kan være med til at gøre det meget komplekse område lidt mere håndgribeligt.