Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Syv steg til innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system.

 

 

  1. Vær i forkant, forebygg fremfor å reparere
  2. Gjør personvern til standardinnstilling
  3. Bygg personvern inn i designet
  4. Skap full funksjonalitet: Både-og, ikke enten-eller
  5. Ivareta informasjonssikkerheten fra start til slutt
  6. Vis åpenhet
  7. Respekter brukerens personvern

Når du lager et system som behandler personopplysninger, er det viktig at du kjenner til personvernprinsippene. Hvis du er behandlingsansvarlig eller databehandler for personopplysningene som skal behandles i systemet, må du også forholde deg til kravene i personopplysningsloven.

Se også sjekkliste for innebygd personvern

Brukerne forventer personvern

I dagens teknologiske samfunn utfordres grensene mellom personvern, brukervennlighet og tilgjengelighet. Datatilsynet ser at brukere av nettbaserte tjenester forventer at løsningene både er sikre og ivaretar personopplysningene på en god måte. Personvern er ikke bare forventet, men også et mulig konkurransefortrinn for mange virksomheter. Dersom en virksomhet kan vise at de forvalter personopplysninger på en bedre måte enn en konkurrent som har tilsvarende løsning, vil brukerne foretrekke virksomheten med fokus på personvern.

Lekkasjer eller misbruk av personopplysninger kan bety svekket tillit, som ofte fører til tap av omdømme. Det er viktig å unngå slike hendelser, og det viser seg ofte kostbart å rette opp feilen, og endre løsningen i etterkant.

Syv steg til innebygd personvern

De syv stegene er ment for deg som er bestiller, kravstiller, utvikler, leverandør eller på annen måte er involvert i utvikling av IT-verktøy som behandler personopplysninger.

1. Vær i forkant, forebygg fremfor å reparere

For å lage en personvernvennlig løsning, er det viktig å vurdere risikoene for personvernet så tidlig som mulig i utviklingsprosessen. Kostnadene ved å rette feil og mangler ved et ferdig system kan være høye. Dersom du tar hensyn til personvernet tidlig i utviklingen, kan du unngå unødvendige krenkelser av personvernet. Eksempler på krenkelse av personvernet er manglende tilgangsstyring, at det samles inn flere personopplysninger enn nødvendig, og manglende sletting av personopplysninger.

Eksempel

En skoleeier skal utvikle et skoleadministrasjonssystem. Før selve utviklingen begynner, gjør man en vurdering av personvernkonsekvenser (Privacy Impact Assessment). Det vil si å gjøre en vurdering for å identifisere mulige risikoer for personvernet. I risikovurderingen forutser man problemer og foreslår løsninger. Skoleeier vil med denne vurderingen utvikle et system som i best mulig ivaretar elevenes, foreldrenes og de ansattes personvern.

2. Gjør personvern til standardinnstilling

Standardinnstillinger er førende for hvordan et system blir brukt, og hvordan personopplysninger blir lagret. For at et system skal ha innebygd personvern, må standardinnstillingene settes opp slik at ikke flere personopplysninger enn nødvendig samles inn eller vises, at det finnes et lovlig formål med innsamlingen, at det er satt tekniske begrensninger for bruken av opplysningene, at opplysningene slettes når formålet er oppnådd, og at man bare får tilgang til å se hvilke opplysninger som er registrert på seg selv. Et slikt system vil automatisk styre brukeren til en arbeidsmåte som gir bedre personvern.

Eksempel

Noen nettlesere er utviklet med ”Do Not Track” som standardinnstilling. Det betyr at nettleseren automatisk sier i fra til de ulike nettstedene at brukeren ikke ønsker å bli sporet. Dersom brukeren ønsker at nettaktiviteten skal spores, må hun endre innstillingene.

3. Bygg personvern inn i designet

Personvern skal være innebygd i IT-systemets design og arkitektur, samt i forretningspraksisen. Det bør ikke være en funksjon lagt til i etterkant. Dermed blir personvernet en viktig del av kjernefunksjonaliteten. Det vil si at personvern er en integrert del av systemet uten at det går på bekostning av funksjonaliteten.

Eksempel

Det er lett å gi fra seg for mye informasjon dersom en løsning legger til rette for det. For å unngå unødvendig innsamling av personopplysninger, kan nettbaserte skjema, for eksempel et skjema som skal sendes til et legekontor, lages med valg fra en nedtrekksliste i stedet for fritekstfelt.

4. Skap full funksjonalitet

Gjennom innebygd personvern ivaretar virksomheten både brukerens personvern, og sine egne behov. Det er viktig å ta hensyn til personvernet fra start for å unngå reparasjoner som går utover funksjonaliteten til løsningen. Noen ganger er det ikke mulig å gjøre endringer i etterkant uten at systemet blir dårligere. Målet er en både-og-tilnærming fremfor en enten-eller, for å ivareta virksomhetens behov og interesser, og samtidig ta hensyn til de registrertes personvern.

Eksempel

En kunde ringer teleleverandøren sin fra sitt registrerte telefonnummer. Systemet styrer kundebehandleren slik at han automatisk får tilgang til kundens registrerte opplysninger. Prosessflyten i systemet er tilgangsstyrt. Dette betyr at kundebehandleren har tilgang til den aktuelle kundens opplysninger uten å se resten av kunderegisteret. 

5. Ivareta informasjonssikkerheten fra start til slutt

Informasjonssikkerhet være del av løsningen. Det betyr at alt som skjer i systemet på forhånd er risikovurdert og hensiktsmessig sikret, helt fra før personopplysningene samles inn, mens de behandles, og til de er slettet. Personopplysningene skal sikres mot uautorisert tilgang, endring, ødeleggelse og spredning.

Eksempel

Et system er satt opp til å følge sikkerhetsstandardene for å sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger gjennom hele livssyklusen. Dette inkluderer metoder for sikker sletting, hensiktsmessig kryptering, og sterk tilgangskontroll og logging. Systemet kan kun samle inn de mest nødvendige personopplysningene, og skrivetilgangen er kun tilgjengelig der det er nødvendig. Systemet inneholder dessuten rutiner for automatisk sletting av data når de ikke lenger trengs. 

6. Vis åpenhet

Det skal være åpenhet om hvordan systemet fungerer, og hvordan personvernet blir ivaretatt. Virksomheten skal sørge for at brukerne får god informasjon og at det legges til rette for innsyn i egne opplysninger. Det skal være mulig å kontrollere at systemet ivaretar personvernet slik leverandøren oppgir.

Eksempel

I en netthandelsløsning informeres kunden om hvordan opplysningene hans behandles i løsningen.  Dette gjøres ved å lage en god og brukervennlig personvernerklæring som er lett tilgjengelig for kunden, både før han registrerer seg, men også etter at han er registrert. Kunden blir informert om hvilke opplysninger som samles inn, hvordan de brukes, hvem som har tilgang til dem, hvordan og hvor lenge de lagres, kundens muligheter for å endre og slette dem, og eventuelt hvilke andre instanser opplysningene kan bli utlevert til. 

7. Respekter brukerens personvern

Fremfor alt krever innebygd personvern at utviklerne, bestillerne og administratorene gir brukerens personvern høy prioritet. Dette vil si å sørge for at personvernet ivaretas gjennom standardinnstillinger, tydelige brukervilkår, og løsninger for at brukeren skal kunne kontrollere opplysningene sine selv.

De syv stegene til innebygd personvern er fritt oversatt og tilpasset fra 7 foundational principles for privacy by design.

Spørsmål og svar

Til toppen