Innebygd personvern og personvern som standard

Innebygd personvern og personvern som standard

Innebygd personvern er et sentralt krav i personopplysningsloven og betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter.

Innledning

Personvernforordningens artikkel 25 bestemmer at personvern skal bygges inn i behandlingsaktiviteter og at personvern skal være standardinnstilling i disse.

I vårt stadig mer digitaliserte samfunn er innebygd personvern og personvern som standardinnstilling helt essensielt for å sikre at enkeltindividet faktisk har reelt personvern i en «smartere» og digitalisert verden.

Vi har laget egen veiledning for deg som er programvareutvikler. Veiledningen skal hjelpe til med å forstå og etterleve kravet om innebygd personvern i personvernregelverket i praksis.

Om veiledningen 

Denne veiledningen er basert på Personvernrådets (EDBP) Guidelines for Data protection by design and by default (edpb.europa.eu). Den fokuserer på at tiltak skal sikre en effektiv implementering av personvernprinsippene og de registrertes rettigheter og friheter ved å bygge tiltakene inn i løsningene og tjenestene fra starten av. Veiledningen utdyper elementene i artikkel 25 som skal tas med i betraktning ved innebygd personvern og personvern som standardinnstilling.

Videre går veiledningen gjennom hvordan hvert personvernprinsipp kan implementeres ved bruk av nøkkelelementer og illustrerende eksempler. Veiledningen inkluderer også tips om hvordan ulike aktører kan bidra i utviklingen av innebygd personvern og personvern som standardinnstilling.

Veien frem mot kravet til innebygd personvern

Historisk, og før forordningen trådde i kraft, omtalte vi innebygd personvern som Privacy by design framfor Data Protection by Design and by default. Innebygd personvern ble først obligatorisk når personvernforordningen trådte i kraft.

Privacy by design ble utviklet av personvernmyndighetene i Ontario, Canada på 1990-tallet. Prinsippene, som er syv steg for å oppnå innebygd personvern og som ble kalt «privacy by design» på engelsk, ble vedtatt på en internasjonal personvernkonferanse i 2010. De syv stegene er som følger:

1. Vær i forkant, forebygg fremfor å reparere
2. Gjør personvern til standardinnstilling
3. Bygg personvern inn i designet
4. Skap full funksjonalitet
5. Ivareta informasjonssikkerheten fra start til slutt
6. Vis åpenhet
7. Respekter brukerens personvern

Last ned den engelske versjonen (pdf)

Programvareutvikling med innebygd personvern

Hvordan utvikle programvare med innebygd personvern? Vi har i samarbeid med sikkerhetseksperter og programutviklere i både privat og offentlig sektor, utviklet veiledning om temaet. Dette kan forhåpentligvis hjelpe norske virksomheter å forstå og etterleve kravet om innebygd personvern i personvernreglene.

Programvareutvikling med innebygd personvern

Hvem er ansvarlig for innebygd personvern og personvern som standard?

Behandlingsansvarlige virksomheter har et overordnet ansvar for at innebygd personvern og personvern som standard implementeres i deres behandlingsaktiviteter. 

Det vil si at alle behandlingsansvarlige, uansett størrelse, må sørge for at alle midler, eksempelvis et system eller en mobilapplikasjon, som tas i bruk ved behandling av personopplysninger har personvern innebygd i behandlingen.

I personvernforordningen brukes ordet "middel" om den tekniske innretningen som behandler personopplysningene, og kan være løsningen, programmet, app-en, infrastrukturen, algoritmen osv.

En forutsetning for å kunne lykkes med innebygd personvern er at den behandlingsansvarlige besitter grunnleggende forståelse av personvernprinsippene. Slik kunnskap er uunnværlig for å kunne ivareta personvernet i virksomheten på en ansvarlig måte.

Vi har samlet informasjon om alle personvernprinsippene på en egen side (åpnes i ny fane).

Tips

  • Sørg for at styringssystemer for utvikling og anskaffelse av nye løsninger og ved oppdatering av gamle løsninger inneholder krav om innebygd personvern.
  • Sørg for å ha tilstrekkelig personvernkompetanse.

Bruk av tredjepartsløsninger eller databehandlere

Behandlingsansvarlige må alltid vurdere om behandlingsmidler faktisk har innebygd personvern, også om de tar i bruk produkter og tjenester som er utviklet av tredjeparter. Produsenter bør derfor sikte på å utvikle sine produkter og tjenester i tråd med kravene om innebygd personvern for at behandlingsansvarlige skal kunne benytte seg av disse.  

Behandlingsansvarlige må også stille krav om, gjøre en vurdering av og forvisse seg om at databehandlere oppfyller kravene om innebygd personvern. Behandlingsansvarlige må foreta evalueringer av hvorvidt kravene er oppfylt med jevne mellomrom.

Den behandlingsansvarlige må ha tilstrekkelig kompetanse for å kunne vurdere om behandlingsmidler fra tredjeparter eller databehandlere har de nødvendige garantiene for innebygd personvern.

TIPS:

  • Still krav om innebygd personvern i anbudskonkurranser og i kontrakter
  • Sørg for å ha tilstrekkelig bestiller-kompetanse for å vurdere hvorvidt tilbudene oppfyller kravet om innebygd personvern
  • Velg databehandlere og produsenter som kan garantere for innebygd personvern i sine løsninger

Ansvarlighet og dokumentasjon

Behandlingsansvarlige skal kunne demonstrere at krav om innebygd personvern er oppfylt i løsninger som behandler personopplysninger. Det betyr at de skal kunne vise til hvordan personvernprinsippene og de registrertes rettigheter og friheter er implementert på en effektiv måte i behandlingen, for eksempel ved å vise til hvordan implementerte tiltak fører til godt personvern.

Enhver behandling må vurderes konkret, slik at tiltakene som tas i bruk reflekterer den konkrete behandlingen. Dersom man tar i bruk ferdig utviklede produkter eller tjenester, må man også kunne vise til hvordan disse ivaretar innebygd personvern.

TIPS:

  • Ta vare på vurderinger som er blitt gjort underveis slik at man også kan revidere og oppdatere disse
  • Ta vare på utarbeidede dokumenter som risikoanalyser, personvernkonsekvensvurderinger, personvernombudets synspunkter, ulike typer sikkerhetstester, m.m.

Hva er innebygd personvern?

Kravet til innebygd personvern inkluderer å implementere tilstrekkelige tekniske og organisatoriske tiltak, samt nødvendige garantier i behandlingen for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte i behandlingen.

Med andre ord er det et krav om at man bygger inn en effektiv ivaretakelse av personvernet i selve behandlingen.

Tekniske og organisatoriske tiltak og nødvendige garantier

Tiltak og nødvendige garantier er initiativ som iverksettes ved behandling av personopplysninger hvor formålet er å ivareta personvernet.

Tilstrekkelig betyr at tiltakene og garantiene må være egnede og hensiktsmessige for formålet, dvs. å implementere personvernet på en effektiv måte.

Tiltak kan være både tekniske og organisatoriske, og kan omfatte alt fra avansert kunstig intelligens til opplæring av ansatte.

TIPS:

  • Bruk en risikobasert tilnærming for å vurdere hva som er tilstrekkelige tiltak
  • Bruk standarder, «best practices» og anerkjente atferdsnormer til hjelp for vurdering av tilstrekkelige tiltak

Krav til effektivitet

Kjernen i innebygd personvern er at personvernet ivaretas på en effektiv måte i behandlingen. Tiltak iverksettes slik at personvernprinsippene faktisk blir implementert, at de registrerte kan håndheve sine rettigheter og at den behandlingsansvarlige ikke innskrenker individets friheter. Tiltakene skal med andre ord ha en reell virkning for å ivareta personvernet for at de skal kunne anses som effektive.

Hvorvidt et tiltak er effektivt må vurderes konkret for den enkelte behandlingen. Ett tiltak som gir godt personvern i én behandling vil ikke nødvendigvis gjøre det i en annen, da formålene og omstendighetene rundt behandlingene kan være ulike.  

Virksomheter må kunne påvise at tiltakene faktisk er effektive.

TIPS:

  • Definér egne nøkelltallsindikatorer og evaluér opp imot disse hvor effektivt personvernet er ivaretatt. Nøkkeltallsindikatorer kan baseres på kvantitative eller kvalitative vurderinger.
  • Demonstrér effektiveten av implementeringen av personvernet og vurdér regelmessig om tiltakene fungerer etter sin hensikt og at de er oppdaterte

Momenter i vurderingen av tiltak

Ved vurdering av hvilke tiltak som fremmer innebygd personvern skal momentene under tas i betraktning. Momentene er ikke kriterier i seg selv, men inngår i en samlet vurdering av hvorvidt tiltakene ivaretar personvernet på en effektiv måte.

«State of the art»

«State of the art» kan forstås som dagens status i den tekniske utviklingen. Det er et dynamisk konsept som er i stadig endring. Det stilles krav til at virksomheten må være oppdaterte på den tekniske utviklingen for å kunne vurdere hvorvidt tiltak er effektive i å ivareta personvernet.

Et tiltak som en gang sikret god konfidensialitet, kan for eksempel svekkes over tid. Det er viktig å holde seg oppdatert for å kunne vurdere hvorvidt iverksatte tiltak fremdeles gir et effektivt personvern, eller om et tiltak ikke lenger er tilstrekkelig.

Også organisatoriske tiltak må være oppdaterte i henhold til den tekniske utviklingen. En opplæring i hvordan ansatte kan oppdage og forhindre dataangrep må oppdateres i tråd med seneste angrepsvektorer og trusler. 

TIPS:

  • Bruk tiltak som er "fremtidssikre" med hensyn til den tekniske utviklingen
  • Vurdér jevnlig den tekniske utviklingen i/av tiltakene
  • Krev at produsenter og databehandlere holder virksomheten orientert og at tiltak er oppdaterte på den tekniske utviklingen

Gjennomføringskostnader

Gjennomføringskostnader inkluderer alle ressurser som bidrar til å sikre effektivt personvern i virksomheten. Dette kan være tid, penger og kompetanse.

Virksomheten bør ta i betraktning det totale kostnadsbildet av å implementere personvern i behandlingen, som blant annet inkluderer kostnader knyttet til implementering, drift, opplæring og vedlikehold.

Virksomheten trenger ikke å bruke mer ressurser enn det som er nødvendig for å innføre effektive personverntiltak. Enkle og billige tiltak kan være tilstrekkelig effektive, og dyre ressurskrevende tiltak er ingen garanti for effektivt personvern.

Imidlertid er høye kostnader ingen unnskyldning for å unnlate implementering av effektive tiltak i behandlingen for å få på plass innebygd personvern.

TIPS:

  • Få oversikt over det totale kostnadsbildet forbundet med ivaretakelse av personvern.
  • Estimér og budsjettér for kostnader forbundet med opplæring, oppdateringer, drift og vedlikehold

Behandlingens art, omfang, formål og sammenhengen den utføres i

Viktige momenter i vurderingen av innebygd personvern er behandlingens art, omfang, formål og sammenheng. Disse momentene må man også ta i betraktning i kravene om ansvarlighet ( artikkel 24), om informasjonssikkerhet (artikkel 32) og om vurdering av personvernkonsekvenser (artikkel 35), og er retningsgivende for hvilke tiltak som skal iverksettes for den gitte behandling. Behandlingens art, omfang, formål og sammenheng skal kartlegges fra start.

TIPS:

  • Art sier noe om behandlingens iboende karakteristikk, for eksempel  systematisk behandling, automatiserte avgjørelser, ny teknologi, skjevt maktforhold eller lignende.
  • Omfang sier noe om behandlingens størrelse og rekkevidde, for eksempel antall registrerte, volum av data, lagringstid, geografisk omfang eller lignende.
  • Formål sier noe om hva personopplysningene skal brukes til, for eksempel til kontrollformål, treffe avgjørelser som har betydning for den registrerte eller lignende.
  • Sammenheng sier noe om hvilke forventninger som omgir den konkrete behandlingen, for eksempel forventning om privatliv, konfidensialitet, deling med andre eller lignende.

Risiko og risikovurdering

Risikoene, av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, som behandlingen medfører er et moment som må tas hensyn til under hele behandlingen. Risikovurdering er et krav som fremkommer flere steder i personvernforordningen, for eksempel ved sikkerhetsvurdering og vurdering av personvernkonsekvenser.

Risiko er et sentralt moment i vurderingen av innebygd personvern. Virksomheten må ha oversikt over hvilken risiko behandlingen utgjør med tanke på personvernprinsippene og de registrertes rettigheter og friheter slik at tilstrekkelig tiltak implementeres for å imøtekomme risikoene. 

TIPS:

  • Foreta risikovurderinger og oppdater disse løpende. Forutsetter:
    • Systematisk oversikt over behandlingen
    • Vurdering av behandlingens nødvendighet og proporsjonalitet

Når må personvern bygges inn i behandlingen?

Innebygd personvern må være på plass før behandlingen finner sted, og i løpet av behandlingen. Det vil si at man må sørge for at innebygd personvern implementeres før behandlingen settes i gang og at det vedlikeholdes kontinuerlig.

Før behandlingen finner sted

Idét man fastsetter midler som skal tas i bruk i behandlingen, må man planlegge hvordan personvern bygges inn for at personvernprinsippene og de registrertes rettigheter og friheter blir implementert i løsningen/appen/programmet/eller lignende. Det vil si at ved anskaffelse, vurdering, utforming, valg og innstillinger av behandlingssystemer, plikter virksomheter å ha innbygd personvern.

Etter at behandlingen er satt i gang – krav om vedlikehold

Når behandlingssystemet er rullet ut og behandlingen er satt i gang, plikter virksomheter å sørge for at behandlingen forsetter å tilfredsstille kravene om innebygd personvern. Det vil si at virksomheter må ha oversikt over hvor godt behandlingen ivaretar personvernet i praksis, og om det fortsetter å ivareta personvernet på en tilstrekkelig effektiv måte.

Med andre ord stilles det krav til vedlikehold av et effektivt personvern i behandlingssystemet underveis i behandlingen.

Krav om vedlikehold gjelder også ved bruk av databehandlere. Behandlingsansvarlige skal vurdere behandlingsaktivitetene med jevne mellomrom for å sørge for kontinuerlig etterlevelse av personvernprinsippene slik at de opprettholder kravene til innebygd personvern.

Også for behandlingssystemer utviklet før krav om innebygd personvern trådte i kraft

Kravet om innebygd personvern gjelder også for systemer og løsninger som ble utviklet før personvernregelforordningen av 2018 trådte i kraft, og som fremdeles er i bruk. Dette innebærer at behandlingsansvarlige plikter å oppdatere og iverksette tiltak for å ivareta personvernet på en effektiv måte i tråd med kravet.

TIPS:

  • Gjør en GAP-analyse av systemet opp mot kravene til innebygd personvern
  • Identifiser tiltak som effektivt implementerer krav som ikke er ivaretatt i løsningen.
  • Foreta jevnlige vurderinger og oppdateringer for å sikre fortsatt ivaretakelse av personvernkravene.

Hva er personvern som standard?

Innebygd personvern inkluderer krav om personvern som standard. Artikkelen understreker at alle behandlingsmidler må ha bygget inn standardinnstillinger slik at løsningen alltid skal være mest mulig personvernfremmende og minst mulig inngripende med tanke på de registrertes rettigheter og friheter.

Som standard skal de registrerte kunne håndheve sine rettigheter og friheter på en effektiv måte. Som standard skal behandlingsansvarlige kun samle inn og behandle personopplysninger som er nødvendige og i tråd med det rettslige grunnlaget for behandlingen (åpnes i ny fane). 

Eksempel: samtykke i avkrysningsboks

Et eksempel på dette er innsamling av samtykke ved bruk av avkrysningsbokser. Som standardinnstilling må avkrysningsboksen ikke være forhåndsavkrysset for at den registrerte skal selv kunne avgi sitt samtykke ved en aktiv handling, dvs. ved å krysse av for samtykket. Les mer om aktivt samtykke (åpnes i ny fane).

Fokus rettes videre mot dataminimeringsprinsippet, som tilsier at man ikke skal behandle mer personopplysninger enn det som er nødvendig for formålet. Dataminimering skal gjelde ved innsamling av personopplysninger, men også ved antall behandlinger som gjøres på opplysningene, lagringen av opplysningene og eventuell gjenbruk av opplysningene til nye formål. Dataminimeringen skal være standard utgangspunkt ved utforming av alle behandlingsaktiviteter.

Ved bruk av programvare som er ferdig utviklet, må behandlingsansvarlig konfigurere programvaren slik at funksjoner som ikke er strengt nødvendig for behandlingen skrus av før programvaren tas i bruk. Innstillingene som effektivt ivaretar de registrertes rettigheter skrus på.

Kravet om personvern som standard gjelder også for organisatoriske tiltak.

TIPS:

  • Test om formålet kan oppnås med de mest personvernfremmende og minst inngripende tiltakene. Funksjonalitet og behandling kan endres etter hvert dersom det viser seg at dette er nødvendig for formålene som er satt og at eventuell økt behandling kan forankres i det rettslige grunnlaget for behandlingen.
  • All intern behandling, som for eksempel oppslag, overføring, viderebehandling, osv., må ha rettslig grunnlag og kunne forankres i nødvendighetsprinsippet.
  • Ved dynamiske kontrakter plikter den behandlingsansvarlige å påse at personvern som standardinnstilling ivaretas.
  • Typer tilgang til personopplysninger baseres på tjenstlig behov.

Under presenterer vi nærmere ulike sider av dataminimeringsprinsippet som er særlig relevante for innebygd personvern som standard.

Innsamling av personopplysninger

Virksomheter skal kun samle inn personopplysninger som er nødvendige for formålet med behandlingen. Det gir økt risiko å samle inn flere personopplysninger både for virksomheten og for den registrerte. Det må derfor foretas en nøye vurdering av hvilke mengder, kategorier, og detaljnivå av personopplysninger som trengs for å oppnå formålet man har satt for behandlingen.

Dersom det samme formålet kan oppnås ved bruk av færre eller mindre inngripende personopplysninger, skal man ikke samle inn tilleggsopplysninger. 

TIPS:

  • Minimér og begrens mengden av innsamlede og behandlede personopplysninger til det tillatte og kun det som er absolutt nødvendig. 
  • «Select before you collect»

Behandlingens omfang

Behandlingene som utføres på personopplysningene skal begrenses til det som er nødvendig. Med behandling menes innsamling, lagring, aksessering, og sletting, m.m. Behandlingen kan bestå av flere steg, men man skal begrense antallet behandlinger til det minimale. Eventuell viderebehandling skal være forenlig med opprinnelig formål. Les mer om formålsbegrensning (åpnes i ny fane). 

TIPS:

  • Minimér og skjul:
    • Kan personopplysningene behandles mer granulert, f.eks. som aggregerte eller pseudonymiserte personopplysninger?
  • Separér:
    • Kan personopplysningene lagres separat slik at man kan unngå urettmessig kobling og lenking mellom ulike datasett?
    • Kan personopplysninger separeres og lagres ulikt etter beskyttelsesgrad

Lagringstid

Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet. Virksomheter må fastsette hvor lenge personopplysninger kan lagres i henhold til prinsippet om nødvendighet og begrunne lagringstiden i henhold til kravet om ansvarlighet. Standardinnstillinger eller rutiner skal innrettes slik at personopplysninger automatisk eller manuelt slettes etter fastsatt tid.

TIPS:

  • Slett personopplysninger når de ikke er lenger er nødvendig for formålet.
    • Dette gjelder for all lagring, også i backup, hos databehandlere, o.l.

Anonymisér dersom det fremdeles er behov for opplysningene, uten at disse behøver å være tilknyttet personer. Anonymisering likestilles med sletting av personopplysninger (åpnes i ny fane).

Tilgangsstyring

Tilgang regulerer hvem som skal ha hvilken type tilgang til personopplysninger. Tilgang skal som standard være basert på tjenstlig behov ut ifra en nødvendighetsvurdering. Tilgangsstyringen skal ivaretas i alle ledd av dataflyten.

De registrerte må som standard kunne påvirke eller intervenere dersom personopplysningene gjøres tilgjengelig for et ubegrenset antall personer. Ved slik tilgjengeliggjøring økes risikoen for den registrerte, særlig med hensyn til spredning på internett og via søkemotorer. Det er spesielt viktig når det er snakk om barn og andre sårbare grupper.

Hva som anses som muligheten til å intervenere varierer basert på konteksten av behandlingen. Et eksempel på muligheten til å intervenere kan være å be om samtykke før publisering, et annet er å ha personverninnstillinger der de registrerte selv kan velge ytterligere grad av tilgjengeliggjøring.

TIPS:

  • Etablér prosedyrer eller rutiner for hvilke roller som skal ha tilgang til ulike typer personopplysninger og hvilken type tilgang den enkelte har behov for i sitt arbeid.
  • Revidér tilgangsstyringen regelmessig
  • Sørg for gode prosedyrer og rutiner ved offentliggjøring av personopplysninger, og vurder regelmessig om den registrerte har reell mulighet til intervenering.

Eksempler på implementering av prinsippene

Eksemplene under illustrerer hvordan innebygd personvern kan ivaretas ved utforming av behandlingen, i lys av personvernprinsippene.

Den behandlingsansvarlige skal bygge inn personvern ved utformingen av behandlingsaktiviteter. Dette inkluderer planlegging, anskaffelse, utvikling, drift, vedlikehold, lagring, sletting osv.

Behandlingsansvarlige må tenke helhetlig og implementere alle prinsippene underveis ved utforming av behandlingsaktiviteten. God forståelse av de underliggende personvernprinsippene er en forutsetning for å kunne lykkes med innebygd personvern.

Vi har laget en liste over nøkkelelementer for hvert prinsipp. De tilhørende eksemplene fremhever det gjeldende prinsippet. Det kan også være overlapp med andre prinsipper. Nøkkelelementene og eksemplene er veiledende og ikke uttømmende. Virksomheter må selv vurdere hvordan de best kan ivareta etterlevelse av prinsippene konkret i kontekst av egen behandling.

Eksemplene illustrerer personvernprinsippene, men virksomheter må også implementere tilstrekkelige og effektive tiltak for å ivareta de registrertes rettigheter og friheter (åpnes i ny fane).

Lovlighet

Lovlighetsprinsippet (åpnes i ny fane) krever at virksomheten må ha rettslig grunnlag for behandlingen av personopplysninger. Tiltak og garantier som iverksettes må sørge for at hele behandlingen utføres i tråd med det gjeldende rettslige grunnlaget for behandlingen. 

Nøkkelelementer:

Relevans

Rett behandlingsgrunnlag skal brukes på behandlingen.

Differensiering

Behandlingsgrunnlaget som brukes for hver behandlingsaktivitet skal være differensiert

Spesifisert formål

Det aktuelle behandlingsgrunnlaget må være tydelig knyttet til det spesifikke formålet med behandlingen.

Nødvendighet

Behandling må være nødvendig og ubetinget for at formålet skal være lovlig.

Selvbestemmelse

Den registrerte skal gis den høyeste grad av selvbestemmelse som mulig med hensyn til kontroll over personopplysninger innenfor rammene av det juridiske grunnlaget

Samtykke

Samtykke må være frivillig, spesifikt, informert og utvetydig. Det bør tas særlig hensyn til barn og unges evne til å gi samtykke.

Trekke samtykke

Der behandlingsgrunnlaget er samtykke, skal det være like enkelt å trekke tilbake samtykke som å gi det. Hvis ikke, er samtykke ikke gyldig i tråd med personvernforordningen.

Interesseavveining

Der behandlingsgrunnlaget er legitime interesser, må den behandlingsansvarlige foreta en vektet interesseavveining, med særlig vekt på maktbalanse, spesielt barn under 18 år og andre sårbare grupper. Det skal være tiltak og garantier på plass for å redusere den negative innvirkningen på de registrerte.

Forutbestemmelse

Lovhjemmelen for behandlingen skal være etablert før behandlingen finner sted.

Opphør

Dersom lovhjemmelen, som den rettslige forpliktelsen baserer seg på, opphører, skal behandlingen basert på dette grunnlaget også opphøre.

Justering

Dersom en gyldig endring av behandlingsgrunnlag inntreffer, må den faktiske behandlingen justeres i samsvar med det nye behandlingsgrunnlaget.

Ansvarstildeling

Ved felles behandlingsansvar, må partene fordele ansvaret på en tydelig og gjennomsiktig måte overfor den registrerte, og utforme tiltakene for behandlingen i samsvar med denne tildelingen

Eksempel 1: bank og lånesøknader

En bank planlegger å tilby en tjeneste for å effektivisere behandlingen av lånesøknader. Banken ønsker å be om tillatelse fra kunden til å hente ligningsopplysninger direkte fra Skatteetaten.

Innhenting av personopplysninger om den registrertes økonomiske situasjon er nødvendig for å gjennomføre tiltak på den registrertes anmodning før inngåelse av lånekontrakt. Imidlertid anses ikke innsamling av personopplysninger direkte fra Skatteetaten som nødvendig, fordi kunden er i stand til å inngå kontrakten ved å oppgi informasjon hentet fra Skatteetaten selv. Selv om banken kan ha en legitim interesse i å innhente dokumentasjonen fra skattemyndighetene direkte, for eksempel for å sikre effektivitet i lånebehandlingen, innebærer det å gi banker direkte tilgang til personopplysningene til søkerne en risiko knyttet til bruk eller potensielt misbruk av tilgangen.

Ved implementering av lovlighetsprinsippet innser den behandlingsansvarlige at de i denne sammenhengen ikke kan bruke grunnlaget «nødvendig for kontraktsinngåelse» for den delen av behandlingen som innebærer innsamling av personopplysninger direkte fra skattemyndighetene. Det faktum at denne spesifikke behandlingen utgjør en risiko for at den registrerte blir mindre involvert i behandlingen av deres opplysninger er også en relevant faktor ved vurdering av lovligheten av behandlingen. Banken konkluderer med dette at innhenting av ligningsopplysninger må basere seg på et annet rettslig grunnlag. Banken kan imidlertid hente informasjon fra Skatteetaten direkte der den registrerte samtykker til dette på forhånd.

Banken presenterer derfor informasjon om behandlingen på den elektroniske søknadsportalen på en slik måte at det er enkelt for den registrerte å forstå hvilken behandling som er nødvendig og hvilke som er valgfrie. Behandlingsalternativene tillater som standard ikke innhenting av andre opplysninger enn kredittsjekker fra andre kilder enn den registrerte selv, og muligheten for direkte informasjonsinnhenting presenteres på en måte som ikke hindrer den registrerte i å ikke samtykke. Ethvert samtykke gitt til å samle inn opplysning direkte fra andre behandlingsansvarlige i forbindelse med lånesøknaden skal være en midlertidig rett til tilgang, til et bestemt sett med informasjon.

Ethvert samtykke må kunne dokumenteres og den registrerte skal få en enkel måte å kontrollere det de har gitt samtykke til og å trekke det tilbake.

Den behandlingsansvarlige har på forhånd vurdert disse kravene til innebygd personvern og inkluderer disse kriteriene i deres kravspesifikasjon i anbudet for å anskaffe plattformen. Den behandlingsansvarlige er klar over at hvis de ikke inkluderer innebygd personvern-kravene i anbudet, kan det enten være for sent eller bli en veldig dyr prosess å implementere personvern på et senere tidspunkt.

Rettferdighet

Rettferdighetsprinsippet (åpnes i ny fane) er et overordnet prinsipp som krever at personopplysninger ikke skal behandles på en måte som er urettmessig, ugunstig, diskriminerende, usant eller på annet vis misvisende for den registrerte. Tiltak og garantier som implementerer rettferdighetsprinsippet skal også implementere de registrertes rettigheter og friheter, særlig retten til informasjon, retten til selvbestemmelse og retten til å begrense behandlingen.

Nøkkelelementer:

Selvbestemmelse

Den registrerte bør gis den høyeste grad av selvbestemmelse som er mulig for å bestemme bruken av deres personlige data, så vel som over omfanget og vilkårene for den bruken eller behandlingen.

Interaksjon

Den registrerte må kunne kommunisere og utøve sine rettigheter med hensyn til personopplysningene som behandles av den behandlingsansvarlige.

Forventning

Behandlingen skal stemme overens med de registrertes rimelige forventninger

Ikke-diskriminering

Den behandlingsansvarlige skal ikke urettferdig diskriminere de registrerte

Ikke-utnyttelse

Behandlingsansvarlig skal ikke utnytte behovene eller sårbarhetene til registrerte

Forbrukervalg

Behandlingsansvarlig skal ikke «låse» brukerne på en urettferdig måte. Hver gang en tjeneste som behandler personopplysninger er proprietær, kan den opprette en innlåsing i tjenesten, noe som kanskje ikke er rettferdig, hvis det forringer den registrertes mulighet til å utøve sin rett til dataportabilitet i samsvar med artikkel 20.

Maktbalanse

Maktbalanse bør være et sentralt mål for forholdet mellom den behandlingsansvarlige og den registrerte. Ubalanser i makt bør unngås. Når dette ikke er mulig, bør de anerkjennes og motvirkes med passende mottiltak.

Ingen risikooverføring

Behandlingsansvarlig bør ikke overføre risikoen ved behandlingen til de registrerte.

Ingen bedrag

Informasjonsbehandling og alternativer for databehandling skal gis på en objektiv og nøytral måte, og unngå villedende eller manipulerende språk eller design.

Respekter rettigheter

Den behandlingsansvarlige må respektere de registrertes grunnleggende rettigheter og iverksette passende tiltak og garantier, og ikke berøre disse rettighetene med mindre det er uttrykkelig begrunnet i loven.

Etisk

Den behandlingsansvarlige bør se prosessens bredere innvirkning på enkeltpersoners rettigheter og verdighet.

Sannferdig

Den behandlingsansvarlige må gjøre informasjon om hvordan de behandler personopplysninger tilgjengelig. Den behandlingsansvarlige skal oppføre seg i samsvar med det de har erklært at de vil og ikke villede de registrerte.

Menneskelig inngripen

Behandlingsansvarlig må innlemme kvalifisert menneskelig inngripen som er i stand til å avdekke skjevheter som maskiner kan skape i samsvar med retten til ikke å bli gjenstand for automatisert individuell beslutningstaking i artikkel 22.

Rettferdige algoritmer

Vurder regelmessig om algoritmer fungerer i tråd med formålene, og juster algoritmene for å redusere avdekkede skjevheter og sikre rettferdighet i behandlingen. De registrerte bør informeres om hvordan behandlingen av personopplysninger fungerer, basert på algoritmer som analyserer eller predikere om dem, for eksempel arbeidsytelse, økonomisk situasjon, helse, personlige preferanser, pålitelighet eller atferd, plassering eller bevegelse.

Eksempel 2: rettferdighet

En behandlingsansvarlig driver en søkemotor som for det meste behandler bruker-genererte personopplysninger. Den behandlingsansvarlige har fordeler av å ha store mengder personopplysninger og av å kunne bruke disse personopplysningene til å vise målrettede annonser. Den behandlingsansvarlige ønsker derfor å påvirke de registrerte til å tillate mer omfattende innsamling og bruk av deres personopplysninger. Samtykke skal samles inn ved å presentere behandlingsalternativer for den registrerte.

Ved implementering av rettferdighetsprinsippet, med tanke på arten, omfanget, konteksten og formålet med behandlingen, innser den behandlingsansvarlige at de ikke kan presentere alternativene på en måte som skyver den registrerte i retning av å la den behandlingsansvarlige samle inn mer personopplysninger enn om alternativene ble presentert på en lik og nøytral måte. Det betyr at de ikke kan presentere behandlingsalternativene på en måte som gjør det vanskelig for de registrerte i å ikke samtykke, eller gjøre det vanskelig for de registrerte å justere personverninnstillingene og begrense behandlingen på et senere tidspunkt.

Dette er eksempler på manipulerende design, såkalte «dark patterns» (Dark patterns er når designere bruker sin kunnskap om menneskelig oppførsel til å manipulere brukere inn i valg som ikke er i deres beste interesser), hvilket er i strid med forpliktelsene i innebygd personvern. Standardalternativene for behandlingen bør ikke være inngripende, og valget for videre behandling bør presenteres på en måte som ikke utgjør press for at den registrerte skal gi samtykke.

Den behandlingsansvarlige presenterer dermed alternativene for å samtykke eller avstå som to like synlige valg, som nøyaktig representerer konsekvensene av hvert valg for den registrerte.

Eksempel 3: rettferdighet

En annen behandlingsansvarlig behandler personopplysninger for levering av en strømmetjeneste, der brukere kan velge mellom et vanlig abonnement av standard kvalitet og et premium-abonnement med høyere kvalitet. Som en del av premium-abonnementet får abonnenter prioritert kundeservice.

Når det gjelder rettferdighetsprinsippet, kan ikke den prioriterte kundeservicen som gis til premium-abonnenter, diskriminere de vanlige abonnentenes tilgang til å utøve sine personvernrettigheter i henhold til personvernforordningen artikkel 12 punkt 5 (lovdata.no). Det betyr at selv om premium-abonnentene får prioritert tjeneste, kan slik prioritering ikke resultere i mangel på passende tiltak for å svare på forespørsler fra vanlige abonnenter uten unødig forsinkelse og under all omstendighet innen én måned etter mottakelse av forespørslene.

Prioriterte kunder kan betale for å få bedre service, men alle registrerte skal ha lik og udiskriminert tilgang til å håndheve sine rettigheter og friheter i henhold til personvernforordningen.

Åpenhet

Behandlingsansvarlige må være tydelige og åpne med de registrerte om hvordan de samler inn, bruker og deler personopplysninger. Prinsippet om åpenhet (åpnes i ny fane) handler om å sette den registrerte i stand til å forstå, og hvis nødvendig, utøve sine rettigheter i henhold til artikkel 15 til 22 i personvernforordningen. Tiltak som skal implementere prinsippet om åpenhet bør også støtte implementering av disse rettighetene.

Nøkkelelementer:

Klarhet

Informasjonen skal være på klart og tydelig språk, kortfattet og forståelig.

Semantisk

Kommunikasjon skal ha en klar betydning for det aktuelle publikum.

Tilgjengelig

Informasjonen skal være lett tilgjengelig for den registrerte.

Kontekstuell

Informasjon skal gis på det aktuelle tidspunktet og i riktig form.

Relevant

Informasjonen skal være relevant og gjeldende for den spesifikke registrerte.

Universell utforming

Informasjonen skal være tilgjengelig for alle registrerte, inkludert bruk av maskinlesbare språk for å lette og automatisere lesbarhet og klarhet.

Forståelig

Registrerte bør ha en god forståelse av hva de kan forvente med hensyn til behandling av deres personlige data, spesielt når de registrerte er barn eller del av andre sårbare grupper.

Flere medier/kanaler

Informasjon bør gis i forskjellige kanaler og medier, ikke bare i teksten, for å øke sannsynligheten for at informasjonen effektivt når den registrerte.

Lagdelt

Informasjonen skal lagdeles på en måte som løser spenningen mellom fullstendighet og forståelse, mens den tar hensyn til de registreredes rimelige forventninger.

Eksempel 4: personvernerklæring

En behandlingsansvarlig utformer en personvernerklæring på deres nettside for å etterleve kravene om åpenhet.

En personvernerklæring bør ikke inneholde en bolk med informasjon som er vanskelig for den gjennomsnittlige registrerte å forstå. Det skal skrives på et klart og kortfattet språk og gjøre det enkelt for brukeren av nettstedet å forstå hvordan deres personopplysninger blir behandlet. Den behandlingsansvarlige beslutter derfor å gi informasjon på en lagvis måte, der de viktigste punktene blir uthevet, mer detaljert informasjon gjøres lett tilgjengelig ved bruk av rullegardinmenyer, og lenker til andre sider benyttes, for å forklare de forskjellige elementene og konseptene som brukes i erklæringen. Den behandlingsansvarlige sørger også for at informasjonen blir gitt i flere kanaler, og har videoklipp som forklarer de viktigste punktene. God flyt mellom de forskjellige nettsidene er viktig for å sikre at den lagdelte tilnærmingen ikke øker forvirring, men heller reduserer den.

Personvernerklæringer bør være lett tilgjengelig for de registrerte. Den gjøres derfor tilgjengelig og synlig på alle nettsider på det aktuelle nettstedet, slik at den registrerte alltid bare er ett klikk unna å få tilgang til informasjonen. Informasjonen som er gitt er også utformet i samsvar med beste praksis og standarder for universell utforming slik at den blir tilgjengelig for alle.

Videre bør nødvendig informasjon også gis i riktig sammenheng og til riktig tid for å gjøre det enklere for den registrerte å forstå relevansen av behandlingen av ulike typer personopplysninger. Ettersom denne virksomheten utfører mange behandlinger ved bruk av opplysningene som er samlet inn på nettstedet, er en generell personvernerklæring alene ikke tilstrekkelig for å oppfylle kravet om åpenhet. Den behandlingsansvarlige utformer derfor et informasjonsflytdiagram som presenterer den registrerte med relevante opplysninger innenfor de relevante sammenhengene ved å bruke informasjons- eller forklaringsbokser og pop-up-vinduer. For eksempel, når nettsiden ber den registrerte om å legge inn personopplysninger, informeres den registrerte om hvordan personopplysningene blir behandlet og hvorfor disse personopplysningene er nødvendige for behandlingen.

Formålsbegrensning

Den behandlingsansvarlige må ha forhåndsdefinerte, eksplisitte og legitime formål for å samle inn personopplysninger, og ikke viderebehandle personopplysninger på en måte som er uforenlig med det opprinnelige formålet med innsamlingen (åpnes i ny fane). 

Utformingen av behandlingsaktiviteten bør derfor formes ut ifra hva som er nødvendig for å oppnå formålene. For å kunne viderebehandle personopplysninger må den behandlingsansvarlige vurdere formålenes forenlighet i henhold til artikkel 6(4) om formålsbegrensning (åpnes i ny fane).

Nøkkelelementer:

Forhåndsbestemt

De legitime formålene skal bestemmes før utformingen av behandlingen.

Spesifisert

Formålet skal spesifiseres og eksplisitt angi hvorfor personopplysninger behandles

Formålsrettet

Formålet skal bestemme utformingen av og sette grenser for behandlingen.

Nødvendig

Formålet bestemmer hvilke personopplysninger som er nødvendige for behandlingen.

Kompatibilitet

Ethvert nytt formål må være kompatibelt med det opprinnelige formålet som opplysningene ble samlet inn for, og er førende for eventuelle endringer i design.

Begrens viderebehandling

Behandlingsansvarlig skal ikke koble datasett eller utføre viderebehandling for nye, inkompatible formål.

Begrensninger for gjenbruk

Behandlingsansvarlig bør bruke tekniske tiltak, inkludert hashing og kryptering, for å begrense muligheten for gjenbruk av personopplysninger (Hovedforskjell mellom hashing og kryptering er at resultatet fra hashing ikke kan konverteres tilbake til den opprinnelige meldingen mens den krypterte meldingen kan konverteres tilbake til den opprinnelige meldingen). Den behandlingsansvarlige bør også ha organisatoriske tiltak, som policyer og kontraktsforpliktelser, som begrenser gjenbruk av personopplysninger.

Evaluering

Den behandlingsansvarlige bør regelmessig vurdere om behandlingen er nødvendig for formålene dataene ble samlet inn for, samt vurdere behandlingens utforming opp mot formålsbegrensningen.

Eksempel 5: formålsbegrensning

Den behandlingsansvarlige har en nettbutikk som behandler personopplysninger om sine kunder.

Formålet med behandlingen er å oppfylle kontrakter, dvs. å kunne levere varer til riktig adresse og ta betaling. Personopplysningene som er lagret er kjøpshistorikk, navn, adresse, e-postadresse og telefonnummer.

Den behandlingsansvarlige vurderer å kjøpe et produkt for kunderelasjonshåndtering (CRM- Customer Relationship Management) som samler alle kundeopplysninger om salg, markedsføring og kundeservice på ett sted for å få en helhetlig oversikt over kunderelasjonen. Videre er CRM i stand til automatisk å analysere kundenes kjøpekraft ved bruk av offentlig tilgjengelig informasjon. Formålet med analysen er å forbedre målrettede annonseringer. Markedsføring og analyse av kjøpekraft er ikke del av det opprinnelige formålet med behandlingen av kundeopplysningene.

For å opptre i tråd med prinsippet om formålsbegrensning, krever den behandlingsansvarlige at leverandøren av CRM-produktet kartlegger hvordan de forskjellige behandlingsaktivitetene bruker personopplysninger til de formålene som er relevante for den behandlingsansvarlige.

Etter å ha mottatt resultatene av kartleggingen, vurderer den behandlingsansvarlige om det nye markedsføringsformålet og det målrettede annonseringsformålet er kompatible med de opprinnelige formålene som ble definert da opplysningene ble samlet inn, og om det er tilstrekkelig juridisk grunnlag for den respektive behandlingen. Hvis vurderingen ikke gir et positivt svar, skal den behandlingsansvarlige ikke fortsette å bruke disse funksjonalitetene. Alternativt kan den behandlingsansvarlige velge å avstå fra vurderingen og ganske enkelt ikke bruke tilleggsfunksjonene i CRM-en.

Dataminimering

Kun personopplysninger som er nødvendige for behandlingen skal behandles (åpnes i ny fane). Dataminimeringsprinsippet manifesterer og operasjonaliserer nødvendighetskriteriet ved å begrense innsamling og viderebehandling av personopplysninger til kun det som er nødvendig for formålet.

Det krever at behandlingsansvarlige fastsetter hvorvidt det relevante formålet kan oppnås uten bruk av personopplysninger i det hele tatt, eller kun ved begrenset bruk av personopplysninger, slik som aggregerte personopplysninger.

Den behandlingsansvarlige må på forhånd fastsette hvilke funksjonaliteter og parametere som er nødvendige for formålet og iverksette dette i behandlingen.

Dataminimering referer også til graden av identifisering. Hvis formålet med behandlingen ikke krever at det endelige datasettet inneholder identifikatorer som knytter opplysninger til fysiske personer (for eksempel statistikk), men den opprinnelige innsamlingen krevde dette (dvs. før data-aggregering), skal virksomheten slette eller anonymisere personopplysninger idet identifikasjon ikke lenger er nødvendig. Hvis fortsatt identifikasjon av de registrerte er nødvendig, skal personopplysningene pseudonymiseres for å minske risiko knyttet til behandlingen.

Nøkkelelementer: 

Unngå innsamling

Unngå å behandle personopplysninger i det hele tatt dersom dette er mulig for det aktuelle formålet.

Begrensning

Begrens mengden personopplysninger som er samlet inn til det som er nødvendig for formålet.

Begrensning av tilgang

Form databehandlingen slik at et minimalt antall mennesker trenger tilgang til personopplysninger for å utføre sine oppgaver, og begrense tilgangen deretter.

Relevans

Personopplysninger skal være relevante for den aktuelle behandlingen, og behandlingsansvarlig skal kunne demonstrere denne relevansen.

Nødvendighet

Hver personopplysningskategori skal være nødvendig for de spesifiserte formålene og skal bare behandles hvis det ikke er mulig å oppfylle formålet på annen måte.

Aggregering

Bruk aggregerte data når det er mulig.

Pseudonymisering

Pseudonymiser personopplysninger så snart det ikke lenger er nødvendig å ha direkte identifiserbare personopplysninger, og lagre identifikasjonsnøkler separat.

Anonymisering og sletting

Når personopplysninger ikke er eller ikke lenger er nødvendige for formålet, skal personopplysninger anonymiseres eller slettes.

Dataflyt

Datastrømmen bør gjøres effektiv nok til ikke å lage flere kopier enn nødvendig.

“State of the art” / teknikkens tilstand

Behandlingsansvarlig bør bruke oppdatert og passende teknologi for å unngå bruk av og minimere data.

Eksempel 6: dataminimering

En bokhandel ønsker å starte salg av bøker på nett. Eieren ønsker å sette opp et standardisert skjema for bestillingsprosessen. For å sikre at kunder fyller ut all etterspurt informasjon gjøres alle feltene i skjemaet obligatoriske (hvis man ikke fyller ut alle feltene, går bestillingen ikke gjennom). De har et standard kontaktskjema som ber om opplysninger som kundens fødselsdato, telefonnummer og hjemmeadresse.

Imidlertid er ikke alle feltene i skjemaet nødvendige for å selge og levere bøker. I dette tilfellet er ikke den registrertes fødselsdato og telefonnummer nødvendig for å gjennomføre kjøpet hvis kunden har betalt og leveringsadressen er bekreftet. Disse feltene bør dermed ikke være obligatoriske i bestillingsskjemaet, med mindre den behandlingsansvarlige tydelig kan demonstrere at det ellers er nødvendig. Videre kan det være tilfeller der adressen heller ikke vil være nødvendig, for eksempel ved salg av e-bok kan kunden laste ned boken direkte til enheten.

Butikkinnehaveren bestemmer seg derfor for å lage to nettskjemaer: ett for bestilling av bøker, med et felt for kundens leveringsadresse, og ett skjema for bestilling av e-bøker som ikke krever kundens adresse.

Riktighet

Personopplysninger skal være riktige og oppdaterte, og det skal tas rimelige steg for å sikre at uriktige opplysninger, med hensyn til formålet med behandlingen, blir slettet eller rettet (åpnes i ny fane).

Riktighetsprinsippet bør sees i sammenheng med risikoene og konsekvensene av den konkrete bruken av personopplysningene. Uriktige personopplysninger kan utgjøre en risiko for de registrertes rettigheter og friheter, for eksempel når det står feil i helsejournalen, eller at et uriktig bilde av en person kan lede til at beslutninger fattes på feil grunnlag, enten manuelt, automatisert eller ved bruk av kunstig intelligens.

Nøkkelelementer:

Datakilder

For å oppnå høy datakvalitet, bør kilder til personopplysninger være pålitelige.

Nøyaktighetsgrad

Hvert personopplysningselement skal være så nøyaktig som det er nødvendig for det spesifiserte formålet.

Målbart

Redusér antall falske positiver / negativer, for eksempel skjevhet (bias) i automatiserte beslutninger og kunstig intelligens.

Verifisering

Avhengig av personopplysningenes art, med tanke på hvor ofte de endres, bør behandlingsansvarlige verifisere riktigheten av personopplysningene før, og på forskjellige stadier av, behandlingen (f.eks. alderskrav).

Sletting / retting

Behandlingsansvarlig skal straks slette eller rette opp uriktige personopplysninger. Den behandlingsansvarlige skal særlig legge til rette for dette der den registrerte er eller var barn, og senere ønsker å fjerne slike personopplysninger.

Unngå feilutbredelse

Behandlingsansvarlig bør redusere effekten av akkumulerte feil i behandlingskjeden.

Tilgang

De registrerte bør gis informasjon om og effektiv tilgang til personopplysninger i samsvar med personvernforordningens artikkel 12 til og med 15, for å kontrollere nøyaktigheten og be om retting etter behov.

Kontinuerlig sjekk

Personopplysninger skal være riktige i alle ledd av behandlingen, kvalitetstester bør utføres i kritiske trinn.

Oppdatert

Personopplysninger skal oppdateres om nødvendig for formålet.

Eksempel 7: riktighet

Et forsikringsselskap ønsker å bruke kunstig intelligens (KI) for å profilere kunder som kjøper forsikring som grunnlag for deres beslutningstaking når de beregner forsikringsrisiko. Når selskapet vurderer hvordan KI-løsningen skal utvikles, bestemmes midlene for behandlingen. De må ta høyde for innebygd personvern når de velger KI-applikasjon fra en leverandør og når de bestemmer seg for hvordan de skal trene KI-en.

Når man skal trene KI, bør den behandlingsansvarlige ha nøyaktige opplysninger for å oppnå presise resultater. Derfor bør den behandlingsansvarlige sørge for at opplysningene som brukes til å trene KI er riktige.

Gitt at virksomheten har et gyldig behandlingsgrunnlag for å trene KI ved bruk av personopplysningene til en gruppe av deres eksisterende kunder, velger den behandlingsansvarlige et representativt utvalg av kunder for å unngå skjevheter i algoritmen.

Kundeopplysningene blir samlet inn fra deres behandlingssystemer, inkludert opplysninger om forsikringstyper, for eksempel helseforsikring, boligforsikring, reiseforsikring osv., samt opplysninger fra offentlige kilder som de har rettslig grunnlag til å behandle. Alle personopplysningene blir pseudonymisert før overføring til systemet som brukes til opplæring av KI-modellen.

For å sikre at opplysningene som brukes til KI-opplæring er så riktige som mulig, samler den behandlingsansvarlige kun opplysninger fra datakilder med riktige og oppdaterte opplysninger.

Forsikringsselskapet tester om KI-en er pålitelig og gir ikke-diskriminerende resultater både under utviklingen og til slutt før produktet slippes. Når KI-en er fullt utlært og operativ, bruker selskapet resultatene i forsikringsrisikovurderinger uten at KI-en alene beslutter om de gir forsikring eller ei.

Forsikringsselskapet vil også regelmessig gjennomgå resultatene fra KI-en, for å vedlikeholde påliteligheten og om nødvendig justere algoritmen.

Eksempel 8: riktighet

Den behandlingsansvarlige er en helseinstitusjon som ønsker å finne metoder for å sikre integriteten og riktigheten til personopplysninger i sine pasientregistre.

I situasjoner der to personer ankommer institusjonen samtidig og får samme behandling, er det en risiko for å ta feil av personene hvis den eneste parameteren som skiller dem er navn. For å sikre riktighet trenger den behandlingsansvarlige en unik identifikator for hver person, og derfor mer informasjon enn bare navnet på pasienten.

Institusjonen bruker flere systemer som inneholder personopplysninger om pasienter, og må sørge for at informasjonen knyttet til klienten er korrekt, nøyaktig og konsistent på tvers av alle systemene til enhver tid. Institusjonen har identifisert flere risikoer som kan oppstå hvis informasjon endres i ett system, men ikke i et annet.

Den behandlingsansvarlige bestemmer seg for å redusere risikoen ved å bruke en hash-teknikk på unik identifikator for å sikre integriteten til opplysningene i behandlingsjournalen. Statistiske og uforanderlige kryptografiske tidsmerker opprettes tilknyttet pasientens journal, slik at eventuelle endringer kan gjenkjennes, korreleres og spores.

Lagringsbegrensning

Den behandlingsansvarlige må sørge for å ikke lagre personopplysninger i et personidentifiserende format lenger enn det som er nødvendig for formålet med behandlingen (åpnes i ny fane).

Det er viktig at den behandlingsansvarlige vet akkurat hvilke personopplysninger som behandles og hvorfor. Behandlingens formål skal være hovedkriteriet ved fastsettelse av hvor lenge personopplysninger skal lagres.

Tiltak og garantier som implementerer prinsippet om lagringsbegrensning skal støtte opp under de registrertes rettigheter og friheter, særlig retten til sletting og til å protestere.

Nøkkelelementer:

Sletting og anonymisering

Behandlingsansvarlig skal ha klare interne rutiner og funksjoner for sletting og / eller anonymisering

Effektivitet av anonymisering / sletting

Behandlingsansvarlig skal sørge for at det ikke er mulig å gjenidentifisere anonymiserte data eller gjenopprette slettede data, og bør teste om dette er mulig.

Automatisering

Sletting av visse personopplysninger bør automatiseres.

Lagringskriterier

Behandlingsansvarlig skal bestemme hvilke data og lengden på lagringen som er nødvendig for formålet.

Begrunnelse

Den behandlingsansvarlige skal være i stand til å begrunne hvorfor lagringsperioden er nødvendig for formålet og for de aktuelle personopplysningene, og være i stand til å fremlegge begrunnelsen og rettsgrunnlaget for lagringsperioden.

Håndhevelse av oppbevaringsrutiner

Behandlingsansvarlig bør håndheve interne oppbevaringsrutiner og gjennomføre kontroller av om organisasjonen praktiserer sine egne rutiner.

Sikkerhetskopier / logger

Behandlingsansvarlig bør bestemme hvilke personopplysninger og hvilken lagringstid, som er nødvendig for sikkerhetskopier og logger.

Dataflyt

Behandlingsansvarlig bør være oppmerksom på strømmen av personopplysninger og lagring av kopier, og søke å begrense «midlertidige» lagringer.

Eksempel: lagringsbegrensning

Den behandlingsansvarlige behandler personopplysninger der formålet med behandlingen er å administrere medlemskap. Personopplysningene skal slettes når medlemskapet avsluttes og det ikke lenger er noe juridisk grunnlag for videre lagring av opplysningene.

Den behandlingsansvarlige utarbeider først en intern rutine for lagring og sletting av personopplysninger. I henhold til denne skal ansatte manuelt slette personopplysninger etter at oppbevaringsperioden er utløpt. De ansatte følger prosedyren for regelmessig sletting og retting av personopplysninger fra alle enheter, sikkerhetskopier, logger, e-poster og andre relevante lagringsmedier.

For å gjøre slettingen mer effektiv, pålitelig og regelmessig, implementerer den behandlingsansvarlige i stedet et system for å slette personopplysninger automatisk. Systemet konfigureres i tråd med sletterutinen, og fjerner personopplysninger fra alle selskapets lagringsmedier etter forhåndsdefinerte retningslinjer, kriterier og regelmessige intervaller. Den behandlingsansvarlige gjennomgår og tester sletterutinen med jevne mellomrom og sørger for at den stemmer overens med oppdaterte lagringsrutiner.

Integritet og konfidensialitet

Prinsippet om integritet og konfidensialitet omfatter beskyttelse mot uautorisert og lovstridig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske og organisatoriske tiltak (åpnes i ny fane). Personopplysningssikkerheten krever tiltak som er utformet for å forhindre og takle avvik; for å garantere riktig utførelse av behandlingsaktiviteter og etterlevelse av øvrige prinsipper; og for å legge til rette for effektiv utøvelse av de registrertes rettigheter.

Ett av tiltakene for innebygd personvern kan være å gjøre det mulig for den behandlingsansvarlige å iverksette sikkerhetsfunksjoner og forbedre dem, jfr. personvernforordningens fortalepunkt 78 (lovdata.no). Det antydes med dette en ansvarlighet for å kontinuerlig vurdere hvorvidt iverksatte tiltak er egnede til å motvirke eksisterende sårbarheter. Videre skal den behandlingsansvarlige, med jevne mellomrom, gjennomgå de implementerte sikkerhetstiltakene for å påse at de fungerer etter sin hensikt, samt etablere retningslinjer for å håndtere brudd på personopplysningssikkerheten for å gjøre systemene robuste.

Nøkkelelementer:

Informasjonssikkerhets-styringssystem (ISMS)

Ha et operativt middel til å administrere policyer og prosedyrer for informasjonssikkerhet.

Risikoanalyse

Vurder risikoen mot sikkerheten til personopplysninger ved å vurdere virkningen på enkeltpersoners rettigheter opp mot identifiserte risikoer. For bruk i risikovurdering: utvikle og vedlikeholde en omfattende, systematisk og realistisk «trusselmodellering» og en angrepsoverflate-analyse av den designede programvaren for å redusere angrepsvektorer og muligheter for å utnytte svake punkter og sårbarheter.

Sikkerhet ved design

Vurder sikkerhetskrav så tidlig som mulig i systemdesign og utvikling og kontinuerlig integrere og utføre relevante tester.

Vedlikehold

Regelmessig gjennomgå og teste programvare, maskinvare, systemer og tjenester, etc. for å avdekke sårbarheter i systemene som støtter behandlingen.

Styring av adgangskontroll

Bare autorisert personell med tjenstlig behov, skal ha tilgang til personopplysningene, og behandlingsansvarlig skal skille mellom ulike tilgangsrettigheter for autorisert personell.

 

Begrensning av tilgang (personell) - design databehandlingen på en måte slik at et minimalt antall mennesker trenger tilgang til personopplysninger for å utføre sine plikter, og begrense tilgangen deretter.

 

Begrensning av tilgang (innhold) - i sammenheng med hver behandlingsoperasjon, begrens tilgangen til bare de attributtene per datasett som er nødvendige for å utføre denne operasjonen. Videre begrense tilgangen til data som gjelder de registrerte som er under den respektive ansattes ansvarsområde.

 

Tilgangsdifferensiering – type tilgang differensieres og tildeles etter tjenstlig behov, for eksempel lese, skrive, slette, rette osv.

Sikker overføring

Overføringer skal sikres mot uautorisert og utilsiktet tilgang og endringer.

Sikker lagring

Datalagring skal være sikret mot uautorisert tilgang og endringer. Det bør være prosedyrer for å vurdere risikoen for sentralisert eller desentralisert lagring, og hvilke kategorier personopplysninger dette gjelder. Noen data kan trenge ytterligere sikkerhetstiltak enn andre eller isolasjon fra andre.

Pseudonymisering

Personopplysninger og sikkerhetskopier / logger bør pseudonymiseres som et sikkerhetstiltak for å minimere risikoen for potensielle datainnbrudd, for eksempel ved bruk av hashing eller kryptering.

Sikkerhetskopier / logger

Oppbevar sikkerhetskopier og logger i den grad det er nødvendig for informasjonssikkerhet, bruk revisjonsspor og hendelsesovervåking som en rutinemessig sikkerhetskontroll. Disse skal beskyttes mot uautorisert og utilsiktet tilgang og endring og gjennomgås regelmessig, og hendelser bør håndteres raskt.

Katastrofe-gjenoppretting / forretnings-kontinuitet

Adresser informasjonssystemets katastrofegjenoppretting og forretningskontinuitetskrav for å gjenopprette tilgjengeligheten av personopplysninger som følger opp større hendelser.

Beskyttelse i henhold til risiko

Alle kategorier av personopplysninger bør beskyttes med tilstrekkelige tiltak med hensyn til risikoen for sikkerhetsbrudd. Data som gir spesielle risikoer bør, når det er mulig, holdes atskilt fra resten av personopplysningene.

Sikkerhetshendelses-responshåndtering

Ha på plass rutiner, prosedyrer og ressurser for å oppdage, begrense, håndtere, rapportere og lære av sikkerhetshendelser og brudd på personopplysningssikkerheten.

Hendelseshåndtering

Behandlingsansvarlig bør ha prosesser på plass for å håndtere brudd og hendelser for å gjøre prosesseringssystemet mer robust. Dette inkluderer varslingsprosedyrer, som forvaltning av varsling (til tilsynsmyndigheten) og informasjon (til registrerte).

Eksempel 10: integritet og konfidensialitet

En behandlingsansvarlig ønsker å hente ut store mengder personopplysninger fra en medisinsk database som inneholder elektroniske pasient-helseregistre til en dedikert databaseserver i selskapet for kvalitetssikringsformål. Selskapet har vurdert risikoen for å overføre dataene til en server som er tilgjengelig for alle selskapets ansatte som høy for de registrertes rettigheter og friheter. Siden det kun er én avdeling i selskapet som har tjenstlig behov for å behandle pasientdataene, bestemmer den behandlingsansvarlige seg for å begrense tilgangen til den dedikerte serveren kun til ansatte i denne avdelingen. For å redusere risikoen ytterligere, vil opplysningene pseudonymiseres før de overføres.

For å regulere tilgang og redusere mulig skade fra skadelig programvare, bestemmer selskapet seg for å adskille nettverket og etablere tilgangskontroll til serveren. I tillegg setter de opp sikkerhetsovervåking og et system for påvisning og forebygging av inntrenging og isolerer det fra vanlig drift. Et automatisert revisjonssystem er på plass for å overvåke tilgang og endringer. Rapportering og automatiserte varsler genereres fra dette når visse hendelser knyttet til bruk er fastsatt. Den behandlingsansvarlige sørger for at brukere som har behov skal ha tilgang, og at hver enkelt har riktig tilgangsnivå. Utilsiktet bruk skal raskt og enkelt kunne oppdages.

Noen av dataekstraktene må sammenlignes med nye dataekstrakter, og må derfor lagres i tre måneder. Den behandlingsansvarlige bestemmer seg for å plassere dem i separate databaser på samme server, og bruker både transparent kryptering og kolonne-kryptering ved lagring. Nøkler for dekryptering av kolonneopplysning lagres i dedikerte sikkerhetsmoduler som bare kan brukes av autorisert personell, og kan ikke hentes ut.

Hendelseshåndtering bidrar i å gjøre systemet mer robust og pålitelig. Den behandlingsansvarlige forstår at forebyggende og effektive tiltak og garantier bør bygges inn i all behandling av personopplysninger, og at det kan bidra til å forhindre fremtidige datainnbrudd.

Den behandlingsansvarlige implementerer disse sikkerhetstiltakene både for å sikre nøyaktighet, integritet og konfidensialitet, men også for å forhindre spredning av skadelig programvare samt for å herde løsningen. Robuste sikkerhetstiltak og løsninger bidrar til å bygge tillit hos de registrerte.

Ansvarlighet

Ansvarlighetsprinsippet er et overordnet prinsipp som fastslår at den behandlingsansvarlige skal være ansvarlig for å kunne demonstrere etterlevelse av alle personvernprinsippene. Av ansvarlighetsprinsippet bør behandlingsansvarlig gi føringer for at kravet om innebygd personvern håndheves i alle virksomhetenes behandlinger av personopplysninger, og at dette kan dokumenteres.

Den behandlingsansvarlige må kunne demonstrere etterlevelse ved å vise til de implementerte tiltakenes påvirkning på de registrertes rettigheter og friheter, og hvorfor disse er tilstrekkelige og effektive. For eksempel, ved å påvise hvorfor et tiltak er tilstrekkelig for å ivareta lagringsbegrensningsprinsippet på en effektiv måte.

For å kunne behandle personopplysninger på en ansvarlig måte, må den behandlingsansvarlige ha god forståelse av sine forpliktelser etter personvernforordningen og makte å kunne etterleve disse.

Sertifiseringsmuligheter

Sertifisering kan brukes som et element for å påvise etterlevelse av kravet om innebygd personvern. I tillegg kan dokumentering av god innebygd personvernpraksis være fordelaktig i andre sertifiseringsprosesser.

Sertifiserte prosesser blir hensyntatt når tilsynsmyndigheter vurderer etterlevelse av personvernforordningen, særlig når det gjelder innebygd personvern.

Ved sertifisering av innebygd personvern er det særlig elementer i design-prosessen som skal tas hensyn til. Dette kan omfatte prosesser ved valg av behandlingsmidler, tekniske og organisatoriske tiltak for å implementere personvernprinsippene samt forvaltningen av tiltakene, prosess for kontinuerlig vurdering av etterlevelse av kriteriene for innebygd personvern mm.

Mer informasjon om sertifiseringsmekanismene kommer fortløpende.

Håndhevelse

Datatilsynet kan føre tilsyn med etterlevelse av kravene om innebygd personvern. 

Datatilsynet kan føre tilsyn med etterlevelse av kravene om innebygd personvern i tråd med kravene som er oppstilt i artikkel 58 (lovdata.no), hvor korrigerende tiltak i henhold til artikkel 58 annet ledd kan være utstedelser av overtredelsesgebyr eller pålegg om å innrette seg etter lovens krav. Ved ileggelse av overtredelsesgebyr, er vurderingen av brudd på innebygd personvern et spesielt viktig moment som skal vektlegges ved utmåling av gebyrets størrelse.