Den behandlingsansvarlige skal bygge inn personvern ved utformingen av behandlingsaktiviteter. Dette inkluderer planlegging, anskaffelse, utvikling, drift, vedlikehold, lagring, sletting osv.
Behandlingsansvarlige må tenke helhetlig og implementere alle prinsippene underveis ved utforming av behandlingsaktiviteten. God forståelse av de underliggende personvernprinsippene er en forutsetning for å kunne lykkes med innebygd personvern.
Vi har laget en liste over nøkkelelementer for hvert prinsipp. De tilhørende eksemplene fremhever det gjeldende prinsippet. Det kan også være overlapp med andre prinsipper. Nøkkelelementene og eksemplene er veiledende og ikke uttømmende. Virksomheter må selv vurdere hvordan de best kan ivareta etterlevelse av prinsippene konkret i kontekst av egen behandling.
Eksemplene illustrerer personvernprinsippene, men virksomheter må også implementere tilstrekkelige og effektive tiltak for å ivareta de registrertes rettigheter og friheter (åpnes i ny fane).
Lovlighet
Lovlighetsprinsippet (åpnes i ny fane) krever at virksomheten må ha rettslig grunnlag for behandlingen av personopplysninger. Tiltak og garantier som iverksettes må sørge for at hele behandlingen utføres i tråd med det gjeldende rettslige grunnlaget for behandlingen.
Nøkkelelementer:
Relevans
|
Rett behandlingsgrunnlag skal brukes på behandlingen.
|
Differensiering
|
Behandlingsgrunnlaget som brukes for hver behandlingsaktivitet skal være differensiert
|
Spesifisert formål
|
Det aktuelle behandlingsgrunnlaget må være tydelig knyttet til det spesifikke formålet med behandlingen.
|
Nødvendighet
|
Behandling må være nødvendig og ubetinget for at formålet skal være lovlig.
|
Selvbestemmelse
|
Den registrerte skal gis den høyeste grad av selvbestemmelse som mulig med hensyn til kontroll over personopplysninger innenfor rammene av det juridiske grunnlaget
|
Samtykke
|
Samtykke må være frivillig, spesifikt, informert og utvetydig. Det bør tas særlig hensyn til barn og unges evne til å gi samtykke.
|
Trekke samtykke
|
Der behandlingsgrunnlaget er samtykke, skal det være like enkelt å trekke tilbake samtykke som å gi det. Hvis ikke, er samtykke ikke gyldig i tråd med personvernforordningen.
|
Interesseavveining
|
Der behandlingsgrunnlaget er legitime interesser, må den behandlingsansvarlige foreta en vektet interesseavveining, med særlig vekt på maktbalanse, spesielt barn under 18 år og andre sårbare grupper. Det skal være tiltak og garantier på plass for å redusere den negative innvirkningen på de registrerte.
|
Forutbestemmelse
|
Lovhjemmelen for behandlingen skal være etablert før behandlingen finner sted.
|
Opphør
|
Dersom lovhjemmelen, som den rettslige forpliktelsen baserer seg på, opphører, skal behandlingen basert på dette grunnlaget også opphøre.
|
Justering
|
Dersom en gyldig endring av behandlingsgrunnlag inntreffer, må den faktiske behandlingen justeres i samsvar med det nye behandlingsgrunnlaget.
|
Ansvarstildeling
|
Ved felles behandlingsansvar, må partene fordele ansvaret på en tydelig og gjennomsiktig måte overfor den registrerte, og utforme tiltakene for behandlingen i samsvar med denne tildelingen
|
Eksempel 1: bank og lånesøknader
En bank planlegger å tilby en tjeneste for å effektivisere behandlingen av lånesøknader. Banken ønsker å be om tillatelse fra kunden til å hente ligningsopplysninger direkte fra Skatteetaten.
Innhenting av personopplysninger om den registrertes økonomiske situasjon er nødvendig for å gjennomføre tiltak på den registrertes anmodning før inngåelse av lånekontrakt. Imidlertid anses ikke innsamling av personopplysninger direkte fra Skatteetaten som nødvendig, fordi kunden er i stand til å inngå kontrakten ved å oppgi informasjon hentet fra Skatteetaten selv. Selv om banken kan ha en legitim interesse i å innhente dokumentasjonen fra skattemyndighetene direkte, for eksempel for å sikre effektivitet i lånebehandlingen, innebærer det å gi banker direkte tilgang til personopplysningene til søkerne en risiko knyttet til bruk eller potensielt misbruk av tilgangen.
Ved implementering av lovlighetsprinsippet innser den behandlingsansvarlige at de i denne sammenhengen ikke kan bruke grunnlaget «nødvendig for kontraktsinngåelse» for den delen av behandlingen som innebærer innsamling av personopplysninger direkte fra skattemyndighetene. Det faktum at denne spesifikke behandlingen utgjør en risiko for at den registrerte blir mindre involvert i behandlingen av deres opplysninger er også en relevant faktor ved vurdering av lovligheten av behandlingen. Banken konkluderer med dette at innhenting av ligningsopplysninger må basere seg på et annet rettslig grunnlag. Banken kan imidlertid hente informasjon fra Skatteetaten direkte der den registrerte samtykker til dette på forhånd.
Banken presenterer derfor informasjon om behandlingen på den elektroniske søknadsportalen på en slik måte at det er enkelt for den registrerte å forstå hvilken behandling som er nødvendig og hvilke som er valgfrie. Behandlingsalternativene tillater som standard ikke innhenting av andre opplysninger enn kredittsjekker fra andre kilder enn den registrerte selv, og muligheten for direkte informasjonsinnhenting presenteres på en måte som ikke hindrer den registrerte i å ikke samtykke. Ethvert samtykke gitt til å samle inn opplysning direkte fra andre behandlingsansvarlige i forbindelse med lånesøknaden skal være en midlertidig rett til tilgang, til et bestemt sett med informasjon.
Ethvert samtykke må kunne dokumenteres og den registrerte skal få en enkel måte å kontrollere det de har gitt samtykke til og å trekke det tilbake.
Den behandlingsansvarlige har på forhånd vurdert disse kravene til innebygd personvern og inkluderer disse kriteriene i deres kravspesifikasjon i anbudet for å anskaffe plattformen. Den behandlingsansvarlige er klar over at hvis de ikke inkluderer innebygd personvern-kravene i anbudet, kan det enten være for sent eller bli en veldig dyr prosess å implementere personvern på et senere tidspunkt.
Rettferdighet
Rettferdighetsprinsippet (åpnes i ny fane) er et overordnet prinsipp som krever at personopplysninger ikke skal behandles på en måte som er urettmessig, ugunstig, diskriminerende, usant eller på annet vis misvisende for den registrerte. Tiltak og garantier som implementerer rettferdighetsprinsippet skal også implementere de registrertes rettigheter og friheter, særlig retten til informasjon, retten til selvbestemmelse og retten til å begrense behandlingen.
Nøkkelelementer:
Selvbestemmelse
|
Den registrerte bør gis den høyeste grad av selvbestemmelse som er mulig for å bestemme bruken av deres personlige data, så vel som over omfanget og vilkårene for den bruken eller behandlingen.
|
Interaksjon
|
Den registrerte må kunne kommunisere og utøve sine rettigheter med hensyn til personopplysningene som behandles av den behandlingsansvarlige.
|
Forventning
|
Behandlingen skal stemme overens med de registrertes rimelige forventninger
|
Ikke-diskriminering
|
Den behandlingsansvarlige skal ikke urettferdig diskriminere de registrerte
|
Ikke-utnyttelse
|
Behandlingsansvarlig skal ikke utnytte behovene eller sårbarhetene til registrerte
|
Forbrukervalg
|
Behandlingsansvarlig skal ikke «låse» brukerne på en urettferdig måte. Hver gang en tjeneste som behandler personopplysninger er proprietær, kan den opprette en innlåsing i tjenesten, noe som kanskje ikke er rettferdig, hvis det forringer den registrertes mulighet til å utøve sin rett til dataportabilitet i samsvar med artikkel 20.
|
Maktbalanse
|
Maktbalanse bør være et sentralt mål for forholdet mellom den behandlingsansvarlige og den registrerte. Ubalanser i makt bør unngås. Når dette ikke er mulig, bør de anerkjennes og motvirkes med passende mottiltak.
|
Ingen risikooverføring
|
Behandlingsansvarlig bør ikke overføre risikoen ved behandlingen til de registrerte.
|
Ingen bedrag
|
Informasjonsbehandling og alternativer for databehandling skal gis på en objektiv og nøytral måte, og unngå villedende eller manipulerende språk eller design.
|
Respekter rettigheter
|
Den behandlingsansvarlige må respektere de registrertes grunnleggende rettigheter og iverksette passende tiltak og garantier, og ikke berøre disse rettighetene med mindre det er uttrykkelig begrunnet i loven.
|
Etisk
|
Den behandlingsansvarlige bør se prosessens bredere innvirkning på enkeltpersoners rettigheter og verdighet.
|
Sannferdig
|
Den behandlingsansvarlige må gjøre informasjon om hvordan de behandler personopplysninger tilgjengelig. Den behandlingsansvarlige skal oppføre seg i samsvar med det de har erklært at de vil og ikke villede de registrerte.
|
Menneskelig inngripen
|
Behandlingsansvarlig må innlemme kvalifisert menneskelig inngripen som er i stand til å avdekke skjevheter som maskiner kan skape i samsvar med retten til ikke å bli gjenstand for automatisert individuell beslutningstaking i artikkel 22.
|
Rettferdige algoritmer
|
Vurder regelmessig om algoritmer fungerer i tråd med formålene, og juster algoritmene for å redusere avdekkede skjevheter og sikre rettferdighet i behandlingen. De registrerte bør informeres om hvordan behandlingen av personopplysninger fungerer, basert på algoritmer som analyserer eller predikere om dem, for eksempel arbeidsytelse, økonomisk situasjon, helse, personlige preferanser, pålitelighet eller atferd, plassering eller bevegelse.
|
Eksempel 2: rettferdighet
En behandlingsansvarlig driver en søkemotor som for det meste behandler bruker-genererte personopplysninger. Den behandlingsansvarlige har fordeler av å ha store mengder personopplysninger og av å kunne bruke disse personopplysningene til å vise målrettede annonser. Den behandlingsansvarlige ønsker derfor å påvirke de registrerte til å tillate mer omfattende innsamling og bruk av deres personopplysninger. Samtykke skal samles inn ved å presentere behandlingsalternativer for den registrerte.
Ved implementering av rettferdighetsprinsippet, med tanke på arten, omfanget, konteksten og formålet med behandlingen, innser den behandlingsansvarlige at de ikke kan presentere alternativene på en måte som skyver den registrerte i retning av å la den behandlingsansvarlige samle inn mer personopplysninger enn om alternativene ble presentert på en lik og nøytral måte. Det betyr at de ikke kan presentere behandlingsalternativene på en måte som gjør det vanskelig for de registrerte i å ikke samtykke, eller gjøre det vanskelig for de registrerte å justere personverninnstillingene og begrense behandlingen på et senere tidspunkt.
Dette er eksempler på manipulerende design, såkalte «dark patterns» (Dark patterns er når designere bruker sin kunnskap om menneskelig oppførsel til å manipulere brukere inn i valg som ikke er i deres beste interesser), hvilket er i strid med forpliktelsene i innebygd personvern. Standardalternativene for behandlingen bør ikke være inngripende, og valget for videre behandling bør presenteres på en måte som ikke utgjør press for at den registrerte skal gi samtykke.
Den behandlingsansvarlige presenterer dermed alternativene for å samtykke eller avstå som to like synlige valg, som nøyaktig representerer konsekvensene av hvert valg for den registrerte.
Eksempel 3: rettferdighet
En annen behandlingsansvarlig behandler personopplysninger for levering av en strømmetjeneste, der brukere kan velge mellom et vanlig abonnement av standard kvalitet og et premium-abonnement med høyere kvalitet. Som en del av premium-abonnementet får abonnenter prioritert kundeservice.
Når det gjelder rettferdighetsprinsippet, kan ikke den prioriterte kundeservicen som gis til premium-abonnenter, diskriminere de vanlige abonnentenes tilgang til å utøve sine personvernrettigheter i henhold til personvernforordningen artikkel 12 punkt 5 (lovdata.no). Det betyr at selv om premium-abonnentene får prioritert tjeneste, kan slik prioritering ikke resultere i mangel på passende tiltak for å svare på forespørsler fra vanlige abonnenter uten unødig forsinkelse og under all omstendighet innen én måned etter mottakelse av forespørslene.
Prioriterte kunder kan betale for å få bedre service, men alle registrerte skal ha lik og udiskriminert tilgang til å håndheve sine rettigheter og friheter i henhold til personvernforordningen.
Åpenhet
Behandlingsansvarlige må være tydelige og åpne med de registrerte om hvordan de samler inn, bruker og deler personopplysninger. Prinsippet om åpenhet (åpnes i ny fane) handler om å sette den registrerte i stand til å forstå, og hvis nødvendig, utøve sine rettigheter i henhold til artikkel 15 til 22 i personvernforordningen. Tiltak som skal implementere prinsippet om åpenhet bør også støtte implementering av disse rettighetene.
Nøkkelelementer:
Klarhet
|
Informasjonen skal være på klart og tydelig språk, kortfattet og forståelig.
|
Semantisk
|
Kommunikasjon skal ha en klar betydning for det aktuelle publikum.
|
Tilgjengelig
|
Informasjonen skal være lett tilgjengelig for den registrerte.
|
Kontekstuell
|
Informasjon skal gis på det aktuelle tidspunktet og i riktig form.
|
Relevant
|
Informasjonen skal være relevant og gjeldende for den spesifikke registrerte.
|
Universell utforming
|
Informasjonen skal være tilgjengelig for alle registrerte, inkludert bruk av maskinlesbare språk for å lette og automatisere lesbarhet og klarhet.
|
Forståelig
|
Registrerte bør ha en god forståelse av hva de kan forvente med hensyn til behandling av deres personlige data, spesielt når de registrerte er barn eller del av andre sårbare grupper.
|
Flere medier/kanaler
|
Informasjon bør gis i forskjellige kanaler og medier, ikke bare i teksten, for å øke sannsynligheten for at informasjonen effektivt når den registrerte.
|
Lagdelt
|
Informasjonen skal lagdeles på en måte som løser spenningen mellom fullstendighet og forståelse, mens den tar hensyn til de registreredes rimelige forventninger.
|
Eksempel 4: personvernerklæring
En behandlingsansvarlig utformer en personvernerklæring på deres nettside for å etterleve kravene om åpenhet.
En personvernerklæring bør ikke inneholde en bolk med informasjon som er vanskelig for den gjennomsnittlige registrerte å forstå. Det skal skrives på et klart og kortfattet språk og gjøre det enkelt for brukeren av nettstedet å forstå hvordan deres personopplysninger blir behandlet. Den behandlingsansvarlige beslutter derfor å gi informasjon på en lagvis måte, der de viktigste punktene blir uthevet, mer detaljert informasjon gjøres lett tilgjengelig ved bruk av rullegardinmenyer, og lenker til andre sider benyttes, for å forklare de forskjellige elementene og konseptene som brukes i erklæringen. Den behandlingsansvarlige sørger også for at informasjonen blir gitt i flere kanaler, og har videoklipp som forklarer de viktigste punktene. God flyt mellom de forskjellige nettsidene er viktig for å sikre at den lagdelte tilnærmingen ikke øker forvirring, men heller reduserer den.
Personvernerklæringer bør være lett tilgjengelig for de registrerte. Den gjøres derfor tilgjengelig og synlig på alle nettsider på det aktuelle nettstedet, slik at den registrerte alltid bare er ett klikk unna å få tilgang til informasjonen. Informasjonen som er gitt er også utformet i samsvar med beste praksis og standarder for universell utforming slik at den blir tilgjengelig for alle.
Videre bør nødvendig informasjon også gis i riktig sammenheng og til riktig tid for å gjøre det enklere for den registrerte å forstå relevansen av behandlingen av ulike typer personopplysninger. Ettersom denne virksomheten utfører mange behandlinger ved bruk av opplysningene som er samlet inn på nettstedet, er en generell personvernerklæring alene ikke tilstrekkelig for å oppfylle kravet om åpenhet. Den behandlingsansvarlige utformer derfor et informasjonsflytdiagram som presenterer den registrerte med relevante opplysninger innenfor de relevante sammenhengene ved å bruke informasjons- eller forklaringsbokser og pop-up-vinduer. For eksempel, når nettsiden ber den registrerte om å legge inn personopplysninger, informeres den registrerte om hvordan personopplysningene blir behandlet og hvorfor disse personopplysningene er nødvendige for behandlingen.
Formålsbegrensning
Den behandlingsansvarlige må ha forhåndsdefinerte, eksplisitte og legitime formål for å samle inn personopplysninger, og ikke viderebehandle personopplysninger på en måte som er uforenlig med det opprinnelige formålet med innsamlingen (åpnes i ny fane).
Utformingen av behandlingsaktiviteten bør derfor formes ut ifra hva som er nødvendig for å oppnå formålene. For å kunne viderebehandle personopplysninger må den behandlingsansvarlige vurdere formålenes forenlighet i henhold til artikkel 6(4) om formålsbegrensning (åpnes i ny fane).
Nøkkelelementer:
Forhåndsbestemt
|
De legitime formålene skal bestemmes før utformingen av behandlingen.
|
Spesifisert
|
Formålet skal spesifiseres og eksplisitt angi hvorfor personopplysninger behandles
|
Formålsrettet
|
Formålet skal bestemme utformingen av og sette grenser for behandlingen.
|
Nødvendig
|
Formålet bestemmer hvilke personopplysninger som er nødvendige for behandlingen.
|
Kompatibilitet
|
Ethvert nytt formål må være kompatibelt med det opprinnelige formålet som opplysningene ble samlet inn for, og er førende for eventuelle endringer i design.
|
Begrens viderebehandling
|
Behandlingsansvarlig skal ikke koble datasett eller utføre viderebehandling for nye, inkompatible formål.
|
Begrensninger for gjenbruk
|
Behandlingsansvarlig bør bruke tekniske tiltak, inkludert hashing og kryptering, for å begrense muligheten for gjenbruk av personopplysninger (Hovedforskjell mellom hashing og kryptering er at resultatet fra hashing ikke kan konverteres tilbake til den opprinnelige meldingen mens den krypterte meldingen kan konverteres tilbake til den opprinnelige meldingen). Den behandlingsansvarlige bør også ha organisatoriske tiltak, som policyer og kontraktsforpliktelser, som begrenser gjenbruk av personopplysninger.
|
Evaluering
|
Den behandlingsansvarlige bør regelmessig vurdere om behandlingen er nødvendig for formålene dataene ble samlet inn for, samt vurdere behandlingens utforming opp mot formålsbegrensningen.
|
Eksempel 5: formålsbegrensning
Den behandlingsansvarlige har en nettbutikk som behandler personopplysninger om sine kunder.
Formålet med behandlingen er å oppfylle kontrakter, dvs. å kunne levere varer til riktig adresse og ta betaling. Personopplysningene som er lagret er kjøpshistorikk, navn, adresse, e-postadresse og telefonnummer.
Den behandlingsansvarlige vurderer å kjøpe et produkt for kunderelasjonshåndtering (CRM- Customer Relationship Management) som samler alle kundeopplysninger om salg, markedsføring og kundeservice på ett sted for å få en helhetlig oversikt over kunderelasjonen. Videre er CRM i stand til automatisk å analysere kundenes kjøpekraft ved bruk av offentlig tilgjengelig informasjon. Formålet med analysen er å forbedre målrettede annonseringer. Markedsføring og analyse av kjøpekraft er ikke del av det opprinnelige formålet med behandlingen av kundeopplysningene.
For å opptre i tråd med prinsippet om formålsbegrensning, krever den behandlingsansvarlige at leverandøren av CRM-produktet kartlegger hvordan de forskjellige behandlingsaktivitetene bruker personopplysninger til de formålene som er relevante for den behandlingsansvarlige.
Etter å ha mottatt resultatene av kartleggingen, vurderer den behandlingsansvarlige om det nye markedsføringsformålet og det målrettede annonseringsformålet er kompatible med de opprinnelige formålene som ble definert da opplysningene ble samlet inn, og om det er tilstrekkelig juridisk grunnlag for den respektive behandlingen. Hvis vurderingen ikke gir et positivt svar, skal den behandlingsansvarlige ikke fortsette å bruke disse funksjonalitetene. Alternativt kan den behandlingsansvarlige velge å avstå fra vurderingen og ganske enkelt ikke bruke tilleggsfunksjonene i CRM-en.
Dataminimering
Kun personopplysninger som er nødvendige for behandlingen skal behandles (åpnes i ny fane). Dataminimeringsprinsippet manifesterer og operasjonaliserer nødvendighetskriteriet ved å begrense innsamling og viderebehandling av personopplysninger til kun det som er nødvendig for formålet.
Det krever at behandlingsansvarlige fastsetter hvorvidt det relevante formålet kan oppnås uten bruk av personopplysninger i det hele tatt, eller kun ved begrenset bruk av personopplysninger, slik som aggregerte personopplysninger.
Den behandlingsansvarlige må på forhånd fastsette hvilke funksjonaliteter og parametere som er nødvendige for formålet og iverksette dette i behandlingen.
Dataminimering referer også til graden av identifisering. Hvis formålet med behandlingen ikke krever at det endelige datasettet inneholder identifikatorer som knytter opplysninger til fysiske personer (for eksempel statistikk), men den opprinnelige innsamlingen krevde dette (dvs. før data-aggregering), skal virksomheten slette eller anonymisere personopplysninger idet identifikasjon ikke lenger er nødvendig. Hvis fortsatt identifikasjon av de registrerte er nødvendig, skal personopplysningene pseudonymiseres for å minske risiko knyttet til behandlingen.
Nøkkelelementer:
Unngå innsamling
|
Unngå å behandle personopplysninger i det hele tatt dersom dette er mulig for det aktuelle formålet.
|
Begrensning
|
Begrens mengden personopplysninger som er samlet inn til det som er nødvendig for formålet.
|
Begrensning av tilgang
|
Form databehandlingen slik at et minimalt antall mennesker trenger tilgang til personopplysninger for å utføre sine oppgaver, og begrense tilgangen deretter.
|
Relevans
|
Personopplysninger skal være relevante for den aktuelle behandlingen, og behandlingsansvarlig skal kunne demonstrere denne relevansen.
|
Nødvendighet
|
Hver personopplysningskategori skal være nødvendig for de spesifiserte formålene og skal bare behandles hvis det ikke er mulig å oppfylle formålet på annen måte.
|
Aggregering
|
Bruk aggregerte data når det er mulig.
|
Pseudonymisering
|
Pseudonymiser personopplysninger så snart det ikke lenger er nødvendig å ha direkte identifiserbare personopplysninger, og lagre identifikasjonsnøkler separat.
|
Anonymisering og sletting
|
Når personopplysninger ikke er eller ikke lenger er nødvendige for formålet, skal personopplysninger anonymiseres eller slettes.
|
Dataflyt
|
Datastrømmen bør gjøres effektiv nok til ikke å lage flere kopier enn nødvendig.
|
“State of the art” / teknikkens tilstand
|
Behandlingsansvarlig bør bruke oppdatert og passende teknologi for å unngå bruk av og minimere data.
|
Eksempel 6: dataminimering
En bokhandel ønsker å starte salg av bøker på nett. Eieren ønsker å sette opp et standardisert skjema for bestillingsprosessen. For å sikre at kunder fyller ut all etterspurt informasjon gjøres alle feltene i skjemaet obligatoriske (hvis man ikke fyller ut alle feltene, går bestillingen ikke gjennom). De har et standard kontaktskjema som ber om opplysninger som kundens fødselsdato, telefonnummer og hjemmeadresse.
Imidlertid er ikke alle feltene i skjemaet nødvendige for å selge og levere bøker. I dette tilfellet er ikke den registrertes fødselsdato og telefonnummer nødvendig for å gjennomføre kjøpet hvis kunden har betalt og leveringsadressen er bekreftet. Disse feltene bør dermed ikke være obligatoriske i bestillingsskjemaet, med mindre den behandlingsansvarlige tydelig kan demonstrere at det ellers er nødvendig. Videre kan det være tilfeller der adressen heller ikke vil være nødvendig, for eksempel ved salg av e-bok kan kunden laste ned boken direkte til enheten.
Butikkinnehaveren bestemmer seg derfor for å lage to nettskjemaer: ett for bestilling av bøker, med et felt for kundens leveringsadresse, og ett skjema for bestilling av e-bøker som ikke krever kundens adresse.
Riktighet
Personopplysninger skal være riktige og oppdaterte, og det skal tas rimelige steg for å sikre at uriktige opplysninger, med hensyn til formålet med behandlingen, blir slettet eller rettet (åpnes i ny fane).
Riktighetsprinsippet bør sees i sammenheng med risikoene og konsekvensene av den konkrete bruken av personopplysningene. Uriktige personopplysninger kan utgjøre en risiko for de registrertes rettigheter og friheter, for eksempel når det står feil i helsejournalen, eller at et uriktig bilde av en person kan lede til at beslutninger fattes på feil grunnlag, enten manuelt, automatisert eller ved bruk av kunstig intelligens.
Nøkkelelementer:
Datakilder
|
For å oppnå høy datakvalitet, bør kilder til personopplysninger være pålitelige.
|
Nøyaktighetsgrad
|
Hvert personopplysningselement skal være så nøyaktig som det er nødvendig for det spesifiserte formålet.
|
Målbart
|
Redusér antall falske positiver / negativer, for eksempel skjevhet (bias) i automatiserte beslutninger og kunstig intelligens.
|
Verifisering
|
Avhengig av personopplysningenes art, med tanke på hvor ofte de endres, bør behandlingsansvarlige verifisere riktigheten av personopplysningene før, og på forskjellige stadier av, behandlingen (f.eks. alderskrav).
|
Sletting / retting
|
Behandlingsansvarlig skal straks slette eller rette opp uriktige personopplysninger. Den behandlingsansvarlige skal særlig legge til rette for dette der den registrerte er eller var barn, og senere ønsker å fjerne slike personopplysninger.
|
Unngå feilutbredelse
|
Behandlingsansvarlig bør redusere effekten av akkumulerte feil i behandlingskjeden.
|
Tilgang
|
De registrerte bør gis informasjon om og effektiv tilgang til personopplysninger i samsvar med personvernforordningens artikkel 12 til og med 15, for å kontrollere nøyaktigheten og be om retting etter behov.
|
Kontinuerlig sjekk
|
Personopplysninger skal være riktige i alle ledd av behandlingen, kvalitetstester bør utføres i kritiske trinn.
|
Oppdatert
|
Personopplysninger skal oppdateres om nødvendig for formålet.
|
Eksempel 7: riktighet
Et forsikringsselskap ønsker å bruke kunstig intelligens (KI) for å profilere kunder som kjøper forsikring som grunnlag for deres beslutningstaking når de beregner forsikringsrisiko. Når selskapet vurderer hvordan KI-løsningen skal utvikles, bestemmes midlene for behandlingen. De må ta høyde for innebygd personvern når de velger KI-applikasjon fra en leverandør og når de bestemmer seg for hvordan de skal trene KI-en.
Når man skal trene KI, bør den behandlingsansvarlige ha nøyaktige opplysninger for å oppnå presise resultater. Derfor bør den behandlingsansvarlige sørge for at opplysningene som brukes til å trene KI er riktige.
Gitt at virksomheten har et gyldig behandlingsgrunnlag for å trene KI ved bruk av personopplysningene til en gruppe av deres eksisterende kunder, velger den behandlingsansvarlige et representativt utvalg av kunder for å unngå skjevheter i algoritmen.
Kundeopplysningene blir samlet inn fra deres behandlingssystemer, inkludert opplysninger om forsikringstyper, for eksempel helseforsikring, boligforsikring, reiseforsikring osv., samt opplysninger fra offentlige kilder som de har rettslig grunnlag til å behandle. Alle personopplysningene blir pseudonymisert før overføring til systemet som brukes til opplæring av KI-modellen.
For å sikre at opplysningene som brukes til KI-opplæring er så riktige som mulig, samler den behandlingsansvarlige kun opplysninger fra datakilder med riktige og oppdaterte opplysninger.
Forsikringsselskapet tester om KI-en er pålitelig og gir ikke-diskriminerende resultater både under utviklingen og til slutt før produktet slippes. Når KI-en er fullt utlært og operativ, bruker selskapet resultatene i forsikringsrisikovurderinger uten at KI-en alene beslutter om de gir forsikring eller ei.
Forsikringsselskapet vil også regelmessig gjennomgå resultatene fra KI-en, for å vedlikeholde påliteligheten og om nødvendig justere algoritmen.
Eksempel 8: riktighet
Den behandlingsansvarlige er en helseinstitusjon som ønsker å finne metoder for å sikre integriteten og riktigheten til personopplysninger i sine pasientregistre.
I situasjoner der to personer ankommer institusjonen samtidig og får samme behandling, er det en risiko for å ta feil av personene hvis den eneste parameteren som skiller dem er navn. For å sikre riktighet trenger den behandlingsansvarlige en unik identifikator for hver person, og derfor mer informasjon enn bare navnet på pasienten.
Institusjonen bruker flere systemer som inneholder personopplysninger om pasienter, og må sørge for at informasjonen knyttet til klienten er korrekt, nøyaktig og konsistent på tvers av alle systemene til enhver tid. Institusjonen har identifisert flere risikoer som kan oppstå hvis informasjon endres i ett system, men ikke i et annet.
Den behandlingsansvarlige bestemmer seg for å redusere risikoen ved å bruke en hash-teknikk på unik identifikator for å sikre integriteten til opplysningene i behandlingsjournalen. Statistiske og uforanderlige kryptografiske tidsmerker opprettes tilknyttet pasientens journal, slik at eventuelle endringer kan gjenkjennes, korreleres og spores.
Lagringsbegrensning
Den behandlingsansvarlige må sørge for å ikke lagre personopplysninger i et personidentifiserende format lenger enn det som er nødvendig for formålet med behandlingen (åpnes i ny fane).
Det er viktig at den behandlingsansvarlige vet akkurat hvilke personopplysninger som behandles og hvorfor. Behandlingens formål skal være hovedkriteriet ved fastsettelse av hvor lenge personopplysninger skal lagres.
Tiltak og garantier som implementerer prinsippet om lagringsbegrensning skal støtte opp under de registrertes rettigheter og friheter, særlig retten til sletting og til å protestere.
Nøkkelelementer:
Sletting og anonymisering
|
Behandlingsansvarlig skal ha klare interne rutiner og funksjoner for sletting og / eller anonymisering
|
Effektivitet av anonymisering / sletting
|
Behandlingsansvarlig skal sørge for at det ikke er mulig å gjenidentifisere anonymiserte data eller gjenopprette slettede data, og bør teste om dette er mulig.
|
Automatisering
|
Sletting av visse personopplysninger bør automatiseres.
|
Lagringskriterier
|
Behandlingsansvarlig skal bestemme hvilke data og lengden på lagringen som er nødvendig for formålet.
|
Begrunnelse
|
Den behandlingsansvarlige skal være i stand til å begrunne hvorfor lagringsperioden er nødvendig for formålet og for de aktuelle personopplysningene, og være i stand til å fremlegge begrunnelsen og rettsgrunnlaget for lagringsperioden.
|
Håndhevelse av oppbevaringsrutiner
|
Behandlingsansvarlig bør håndheve interne oppbevaringsrutiner og gjennomføre kontroller av om organisasjonen praktiserer sine egne rutiner.
|
Sikkerhetskopier / logger
|
Behandlingsansvarlig bør bestemme hvilke personopplysninger og hvilken lagringstid, som er nødvendig for sikkerhetskopier og logger.
|
Dataflyt
|
Behandlingsansvarlig bør være oppmerksom på strømmen av personopplysninger og lagring av kopier, og søke å begrense «midlertidige» lagringer.
|
Eksempel: lagringsbegrensning
Den behandlingsansvarlige behandler personopplysninger der formålet med behandlingen er å administrere medlemskap. Personopplysningene skal slettes når medlemskapet avsluttes og det ikke lenger er noe juridisk grunnlag for videre lagring av opplysningene.
Den behandlingsansvarlige utarbeider først en intern rutine for lagring og sletting av personopplysninger. I henhold til denne skal ansatte manuelt slette personopplysninger etter at oppbevaringsperioden er utløpt. De ansatte følger prosedyren for regelmessig sletting og retting av personopplysninger fra alle enheter, sikkerhetskopier, logger, e-poster og andre relevante lagringsmedier.
For å gjøre slettingen mer effektiv, pålitelig og regelmessig, implementerer den behandlingsansvarlige i stedet et system for å slette personopplysninger automatisk. Systemet konfigureres i tråd med sletterutinen, og fjerner personopplysninger fra alle selskapets lagringsmedier etter forhåndsdefinerte retningslinjer, kriterier og regelmessige intervaller. Den behandlingsansvarlige gjennomgår og tester sletterutinen med jevne mellomrom og sørger for at den stemmer overens med oppdaterte lagringsrutiner.
Integritet og konfidensialitet
Prinsippet om integritet og konfidensialitet omfatter beskyttelse mot uautorisert og lovstridig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske og organisatoriske tiltak (åpnes i ny fane). Personopplysningssikkerheten krever tiltak som er utformet for å forhindre og takle avvik; for å garantere riktig utførelse av behandlingsaktiviteter og etterlevelse av øvrige prinsipper; og for å legge til rette for effektiv utøvelse av de registrertes rettigheter.
Ett av tiltakene for innebygd personvern kan være å gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og forbedre dem, jfr. personvernforordningens fortalepunkt 78 (lovdata.no). Det antydes med dette en ansvarlighet for å kontinuerlig vurdere hvorvidt iverksatte tiltak er egnede til å motvirke eksisterende sårbarheter. Videre skal den behandlingsansvarlige, med jevne mellomrom, gjennomgå de implementerte sikkerhetstiltakene for å påse at de fungerer etter sin hensikt, samt etablere retningslinjer for å håndtere brudd på personopplysningssikkerheten for å gjøre systemene robuste.
Nøkkelelementer:
Informasjonssikkerhets-styringssystem (ISMS)
|
Ha et operativt middel til å administrere policyer og prosedyrer for informasjonssikkerhet.
|
Risikoanalyse
|
Vurder risikoen mot sikkerheten til personopplysninger ved å vurdere virkningen på enkeltpersoners rettigheter opp mot identifiserte risikoer. For bruk i risikovurdering: utvikle og vedlikeholde en omfattende, systematisk og realistisk «trusselmodellering» og en angrepsoverflate-analyse av den designede programvaren for å redusere angrepsvektorer og muligheter for å utnytte svake punkter og sårbarheter.
|
Sikkerhet ved design
|
Vurder sikkerhetskrav så tidlig som mulig i systemdesign og utvikling og kontinuerlig integrere og utføre relevante tester.
|
Vedlikehold
|
Regelmessig gjennomgå og teste programvare, maskinvare, systemer og tjenester, etc. for å avdekke sårbarheter i systemene som støtter behandlingen.
|
Styring av adgangskontroll
|
Bare autorisert personell med tjenstlig behov, skal ha tilgang til personopplysningene, og behandlingsansvarlig skal skille mellom ulike tilgangsrettigheter for autorisert personell.
|
|
Begrensning av tilgang (personell) - design databehandlingen på en måte slik at et minimalt antall mennesker trenger tilgang til personopplysninger for å utføre sine plikter, og begrense tilgangen deretter.
|
|
Begrensning av tilgang (innhold) - i sammenheng med hver behandlingsoperasjon, begrens tilgangen til bare de attributtene per datasett som er nødvendige for å utføre denne operasjonen. Videre begrense tilgangen til data som gjelder de registrerte som er under den respektive ansattes ansvarsområde.
|
|
Tilgangsdifferensiering – type tilgang differensieres og tildeles etter tjenstlig behov, for eksempel lese, skrive, slette, rette osv.
|
Sikker overføring
|
Overføringer skal sikres mot uautorisert og utilsiktet tilgang og endringer.
|
Sikker lagring
|
Datalagring skal være sikret mot uautorisert tilgang og endringer. Det bør være prosedyrer for å vurdere risikoen for sentralisert eller desentralisert lagring, og hvilke kategorier personopplysninger dette gjelder. Noen data kan trenge ytterligere sikkerhetstiltak enn andre eller isolasjon fra andre.
|
Pseudonymisering
|
Personopplysninger og sikkerhetskopier / logger bør pseudonymiseres som et sikkerhetstiltak for å minimere risikoen for potensielle datainnbrudd, for eksempel ved bruk av hashing eller kryptering.
|
Sikkerhetskopier / logger
|
Oppbevar sikkerhetskopier og logger i den grad det er nødvendig for informasjonssikkerhet, bruk revisjonsspor og hendelsesovervåking som en rutinemessig sikkerhetskontroll. Disse skal beskyttes mot uautorisert og utilsiktet tilgang og endring og gjennomgås regelmessig, og hendelser bør håndteres raskt.
|
Katastrofe-gjenoppretting / forretnings-kontinuitet
|
Adresser informasjonssystemets katastrofegjenoppretting og forretningskontinuitetskrav for å gjenopprette tilgjengeligheten av personopplysninger som følger opp større hendelser.
|
Beskyttelse i henhold til risiko
|
Alle kategorier av personopplysninger bør beskyttes med tilstrekkelige tiltak med hensyn til risikoen for sikkerhetsbrudd. Data som gir spesielle risikoer bør, når det er mulig, holdes atskilt fra resten av personopplysningene.
|
Sikkerhetshendelses-responshåndtering
|
Ha på plass rutiner, prosedyrer og ressurser for å oppdage, begrense, håndtere, rapportere og lære av sikkerhetshendelser og brudd på personopplysningssikkerheten.
|
Hendelseshåndtering
|
Behandlingsansvarlig bør ha prosesser på plass for å håndtere brudd og hendelser for å gjøre prosesseringssystemet mer robust. Dette inkluderer varslingsprosedyrer, som forvaltning av varsling (til tilsynsmyndigheten) og informasjon (til registrerte).
|
Eksempel 10: integritet og konfidensialitet
En behandlingsansvarlig ønsker å hente ut store mengder personopplysninger fra en medisinsk database som inneholder elektroniske pasient-helseregistre til en dedikert databaseserver i selskapet for kvalitetssikringsformål. Selskapet har vurdert risikoen for å overføre dataene til en server som er tilgjengelig for alle selskapets ansatte som høy for de registrertes rettigheter og friheter. Siden det kun er én avdeling i selskapet som har tjenstlig behov for å behandle pasientdataene, bestemmer den behandlingsansvarlige seg for å begrense tilgangen til den dedikerte serveren kun til ansatte i denne avdelingen. For å redusere risikoen ytterligere, vil opplysningene pseudonymiseres før de overføres.
For å regulere tilgang og redusere mulig skade fra skadelig programvare, bestemmer selskapet seg for å adskille nettverket og etablere tilgangskontroll til serveren. I tillegg setter de opp sikkerhetsovervåking og et system for påvisning og forebygging av inntrenging og isolerer det fra vanlig drift. Et automatisert revisjonssystem er på plass for å overvåke tilgang og endringer. Rapportering og automatiserte varsler genereres fra dette når visse hendelser knyttet til bruk er fastsatt. Den behandlingsansvarlige sørger for at brukere som har behov skal ha tilgang, og at hver enkelt har riktig tilgangsnivå. Utilsiktet bruk skal raskt og enkelt kunne oppdages.
Noen av dataekstraktene må sammenlignes med nye dataekstrakter, og må derfor lagres i tre måneder. Den behandlingsansvarlige bestemmer seg for å plassere dem i separate databaser på samme server, og bruker både transparent kryptering og kolonne-kryptering ved lagring. Nøkler for dekryptering av kolonneopplysning lagres i dedikerte sikkerhetsmoduler som bare kan brukes av autorisert personell, og kan ikke hentes ut.
Hendelseshåndtering bidrar i å gjøre systemet mer robust og pålitelig. Den behandlingsansvarlige forstår at forebyggende og effektive tiltak og garantier bør bygges inn i all behandling av personopplysninger, og at det kan bidra til å forhindre fremtidige datainnbrudd.
Den behandlingsansvarlige implementerer disse sikkerhetstiltakene både for å sikre nøyaktighet, integritet og konfidensialitet, men også for å forhindre spredning av skadelig programvare samt for å herde løsningen. Robuste sikkerhetstiltak og løsninger bidrar til å bygge tillit hos de registrerte.
Ansvarlighet
Ansvarlighetsprinsippet er et overordnet prinsipp som fastslår at den behandlingsansvarlige skal være ansvarlig for å kunne demonstrere etterlevelse av alle personvernprinsippene. Av ansvarlighetsprinsippet bør behandlingsansvarlig gi føringer for at kravet om innebygd personvern håndheves i alle virksomhetenes behandlinger av personopplysninger, og at dette kan dokumenteres.
Den behandlingsansvarlige må kunne demonstrere etterlevelse ved å vise til de implementerte tiltakenes påvirkning på de registrertes rettigheter og friheter, og hvorfor disse er tilstrekkelige og effektive. For eksempel, ved å påvise hvorfor et tiltak er tilstrekkelig for å ivareta lagringsbegrensningsprinsippet på en effektiv måte.
For å kunne behandle personopplysninger på en ansvarlig måte, må den behandlingsansvarlige ha god forståelse av sine forpliktelser etter personvernforordningen og makte å kunne etterleve disse.