Innledning
Hva er personvernfremmende teknologi?
Personvernfremmende teknologi er samlebetegnelsen for teknologi som kan bidra til implementeringen av en eller flere av personvernprinsippene i et system eller løsning, og styrke personopplysningssikkerheten. Disse teknologiene er også kjent som "Privacy Enhancing Technologies" (PET).
Hvorfor bruke personvernfremmende teknologi?
Alle virksomheter må gjennomføre en risikovurdering av løsningene de planlegger å bruke. Vurderingen skal gjennomføres før personopplysningene behandles og før løsningen eventuelt tas i bruk. Personvernfremmende teknologi kan være et tiltak for å redusere sårbarheter som blir identifisert i denne risikovurderingen. Det er forøvrig verdt å merke seg at bruken av personvernfremmende teknologi i seg selv kan utløse behovet for å gjennomføre en risikovurdering og eventuelt også en personvernkonsekvensvurdering (DPIA).
Implementering av personvernfremmende teknologi kan være et nyttig tiltak for å møte kravet om innebygd personvern i utviklingen av et system eller en løsning. Dette gjelder særlig tilfeller der personopplysninger skal overføres fra én aktør til en annen og det må begrenses hvilke opplysninger som blir delt eller eksponert.
Utviklingen av personvernfremmende teknologi er drevet frem av nyvinninger på flere områder. Dette inkluderer innovasjon innen kryptografiske metoder som har forbedret konfidensialiteten i tekniske løsninger, i tillegg til nye strukturelle tilnærminger til hvor og hvordan personopplysninger behandles i tekniske systemer.
Personvernfremmende teknologi er et område under utvikling, og flere av løsningene er i en tidlig utviklingsfase. Dette kan gi utfordringer knyttet til skalerbarhet, tilgang til teknisk støtte og kunnskap om sårbarheter.
Kravene i personvernregelverket må overholdes
Alle virksomheter som behandler personopplysninger må kjenne til og oppfylle personvernregelverket. Personvernforordningen krever at den behandlingsansvarlige har på plass organisatoriske og tekniske tiltak som sikrer at personopplysninger behandles i samsvar med personvernprinsippene slik som dataminimering, lagringsbegrensning, integritet og konfidensialitet. Det gjelder også når personvernfremmende teknologi tas i bruk.
For all behandling av personopplysninger, er det den behandlingsansvarlige som har det overordnede ansvaret for at personvernregelverket overholdes. Dette vil i praksis ofte ikke være leverandøren av løsningen, men virksomheten som tar den i bruk og som bestemmer formålet med behandlingen.
Les mer om virksomhetenes plikter
Om veiledningen
Vi vil her komme med noen eksempler på personvernfremmende teknologi og se på hvordan den kan brukes til å møte kravene i personvernforordningen. Vi vil også vise til et par praktiske erfaringer fra Datatilsynets regulatoriske sandkasse, og se på noen av utfordringene og begrensningene som kan oppstå.
Relevante veiledninger
- "Emerging Privacy Enhancing Technologies" (oecd.org, engelsk) fra OECD
- "Guidance on privacy-enhancing technologies" (ico.org.uk, engelsk) fra det britiske datatilsynet (ICO).
Innholdet komplimenterer også veiledningen vår om om programvareutvikling med innebygd personvern som er rettet mot utviklere.