Utfordringer og begrensninger
Vi vil her oppsummere noen mulige utfordringer og begrensninger som virksomheter og utviklere bør ta hensyn til når de vurderer å ta i bruk personvernfremmende teknologi.
- Manglende modenhet
De ulike personvernfremmende teknologiene varierer i modenhet. Det fører til at de kan være vanskelige å skalere og implementere, i tillegg til at det kan være mangelfull tilgang på teknisk støtte. Mange sårbarheter er heller ikke avdekket, noe som kan svekke personopplysningssikkerheten og ivaretagelsen av sentrale krav i personvernregelverket. - Manglende kompetanse
De fleste av teknologiene krever riktig kompetanse for å kunne brukes lovlig. Erfaringer fra den regulatoriske sandkassen viser at mange av løsningene vil måtte skreddersys den konkrete bransjen, virksomheten eller løsningen, noe som kan være utfordrende og kreve høy teknisk kompetanse.
Manglende kompetanse kan også føre til feil i implementering og bruk, som igjen kan føre til at personvernet ikke blir ivaretatt. Hvis virksomheten selv ikke har nødvendig ekspertise, bør det vurderes å bruke en tjeneste eller leverandør som gir et passende nivå med brukerstøtte. - Manglende oppdateringer
Teknologier med kjente sårbarheter som ikke blir reparert eller oppdatert, kan være en utfordring. Hvis det ikke iverksettes tiltak for å fjerne sårbarheter, vil det føre til høyere risiko og kan medføre brudd på personvernregelverket.
Når angripere får kjennskap til sårbarheter, vil de normalt forsøke å utnytte dem så fort som mulig. Produsentene må derfor publisere oppdateringer så fort som mulig når sårbarheter blir kjent, slik at sikkerheten kan opprettholdes.
Det er verdt å påpeke at jo færre aktører virksomheten har i leverandørkjeden, desto færre aktører må virksomheten forholde seg til for å holde produktene oppdatert. - Usikkerhet om behandlingsansvar
Noen typer teknologi kan skape usikkerhet om hvor behandlingsansvaret ligger.
I personvernforordningen er den behandlingsansvarlige definert som den som bestemmer formålet med behandling av personopplysninger (dvs. hvorfor behandlingen skjer) og hvilke essensielle midler som skal brukes for å oppnå formålet (dvs. hvordan opplysningene skal behandles). Dette betyr i praksis at det som oftest vil være virksomheten – og ikke utvikleren – som anskaffer og tar løsningen i bruk, og som er å anse som behandlingsansvarlig.
Visse teknologier og metoder, som kantprosessering, vil gjøre at virksomheten som tar i bruk løsningen ikke har direkte tilgang til personopplysningene som behandles. Det kan likevel være at virksomheten har behandlingsansvaret, selv om den ikke har tilgang til opplysningene.