Innebygd personvern og personvern som standard

Hva er innebygd personvern?

Kravet til innebygd personvern inkluderer å implementere tilstrekkelige tekniske og organisatoriske tiltak, samt nødvendige garantier i behandlingen for å sikre at personvernprinsippene og de registrertes rettigheter og friheter ivaretas på en effektiv måte i behandlingen.

Med andre ord er det et krav om at man bygger inn en effektiv ivaretakelse av personvernet i selve behandlingen.

Tekniske og organisatoriske tiltak og nødvendige garantier

Tiltak og nødvendige garantier er initiativ som iverksettes ved behandling av personopplysninger hvor formålet er å ivareta personvernet.

Tilstrekkelig betyr at tiltakene og garantiene må være egnede og hensiktsmessige for formålet, dvs. å implementere personvernet på en effektiv måte.

Tiltak kan være både tekniske og organisatoriske, og kan omfatte alt fra avansert kunstig intelligens til opplæring av ansatte.

TIPS:

  • Bruk en risikobasert tilnærming for å vurdere hva som er tilstrekkelige tiltak
  • Bruk standarder, «best practices» og anerkjente atferdsnormer til hjelp for vurdering av tilstrekkelige tiltak

Krav til effektivitet

Kjernen i innebygd personvern er at personvernet ivaretas på en effektiv måte i behandlingen. Tiltak iverksettes slik at personvernprinsippene faktisk blir implementert, at de registrerte kan håndheve sine rettigheter og at den behandlingsansvarlige ikke innskrenker individets friheter. Tiltakene skal med andre ord ha en reell virkning for å ivareta personvernet for at de skal kunne anses som effektive.

Hvorvidt et tiltak er effektivt må vurderes konkret for den enkelte behandlingen. Ett tiltak som gir godt personvern i én behandling vil ikke nødvendigvis gjøre det i en annen, da formålene og omstendighetene rundt behandlingene kan være ulike.  

Virksomheter må kunne påvise at tiltakene faktisk er effektive.

TIPS:

  • Definér egne nøkelltallsindikatorer og evaluér opp imot disse hvor effektivt personvernet er ivaretatt. Nøkkeltallsindikatorer kan baseres på kvantitative eller kvalitative vurderinger.
  • Demonstrér effektiveten av implementeringen av personvernet og vurdér regelmessig om tiltakene fungerer etter sin hensikt og at de er oppdaterte

Momenter i vurderingen av tiltak

Ved vurdering av hvilke tiltak som fremmer innebygd personvern skal momentene under tas i betraktning. Momentene er ikke kriterier i seg selv, men inngår i en samlet vurdering av hvorvidt tiltakene ivaretar personvernet på en effektiv måte.

«State of the art»

«State of the art» kan forstås som dagens status i den tekniske utviklingen. Det er et dynamisk konsept som er i stadig endring. Det stilles krav til at virksomheten må være oppdaterte på den tekniske utviklingen for å kunne vurdere hvorvidt tiltak er effektive i å ivareta personvernet.

Et tiltak som en gang sikret god konfidensialitet, kan for eksempel svekkes over tid. Det er viktig å holde seg oppdatert for å kunne vurdere hvorvidt iverksatte tiltak fremdeles gir et effektivt personvern, eller om et tiltak ikke lenger er tilstrekkelig.

Også organisatoriske tiltak må være oppdaterte i henhold til den tekniske utviklingen. En opplæring i hvordan ansatte kan oppdage og forhindre dataangrep må oppdateres i tråd med seneste angrepsvektorer og trusler. 

TIPS:

  • Bruk tiltak som er "fremtidssikre" med hensyn til den tekniske utviklingen
  • Vurdér jevnlig den tekniske utviklingen i/av tiltakene
  • Krev at produsenter og databehandlere holder virksomheten orientert og at tiltak er oppdaterte på den tekniske utviklingen

Gjennomføringskostnader

Gjennomføringskostnader inkluderer alle ressurser som bidrar til å sikre effektivt personvern i virksomheten. Dette kan være tid, penger og kompetanse.

Virksomheten bør ta i betraktning det totale kostnadsbildet av å implementere personvern i behandlingen, som blant annet inkluderer kostnader knyttet til implementering, drift, opplæring og vedlikehold.

Virksomheten trenger ikke å bruke mer ressurser enn det som er nødvendig for å innføre effektive personverntiltak. Enkle og billige tiltak kan være tilstrekkelig effektive, og dyre ressurskrevende tiltak er ingen garanti for effektivt personvern.

Imidlertid er høye kostnader ingen unnskyldning for å unnlate implementering av effektive tiltak i behandlingen for å få på plass innebygd personvern.

TIPS:

  • Få oversikt over det totale kostnadsbildet forbundet med ivaretakelse av personvern.
  • Estimér og budsjettér for kostnader forbundet med opplæring, oppdateringer, drift og vedlikehold

Behandlingens art, omfang, formål og sammenhengen den utføres i

Viktige momenter i vurderingen av innebygd personvern er behandlingens art, omfang, formål og sammenheng. Disse momentene må man også ta i betraktning i kravene om ansvarlighet ( artikkel 24), om informasjonssikkerhet (artikkel 32) og om vurdering av personvernkonsekvenser (artikkel 35), og er retningsgivende for hvilke tiltak som skal iverksettes for den gitte behandling. Behandlingens art, omfang, formål og sammenheng skal kartlegges fra start.

TIPS:

  • Art sier noe om behandlingens iboende karakteristikk, for eksempel  systematisk behandling, automatiserte avgjørelser, ny teknologi, skjevt maktforhold eller lignende.
  • Omfang sier noe om behandlingens størrelse og rekkevidde, for eksempel antall registrerte, volum av data, lagringstid, geografisk omfang eller lignende.
  • Formål sier noe om hva personopplysningene skal brukes til, for eksempel til kontrollformål, treffe avgjørelser som har betydning for den registrerte eller lignende.
  • Sammenheng sier noe om hvilke forventninger som omgir den konkrete behandlingen, for eksempel forventning om privatliv, konfidensialitet, deling med andre eller lignende.

Risiko og risikovurdering

Risikoene, av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, som behandlingen medfører er et moment som må tas hensyn til under hele behandlingen. Risikovurdering er et krav som fremkommer flere steder i personvernforordningen, for eksempel ved sikkerhetsvurdering og vurdering av personvernkonsekvenser.

Risiko er et sentralt moment i vurderingen av innebygd personvern. Virksomheten må ha oversikt over hvilken risiko behandlingen utgjør med tanke på personvernprinsippene og de registrertes rettigheter og friheter slik at tilstrekkelig tiltak implementeres for å imøtekomme risikoene. 

TIPS:

  • Foreta risikovurderinger og oppdater disse løpende. Forutsetter:
    • Systematisk oversikt over behandlingen
    • Vurdering av behandlingens nødvendighet og proporsjonalitet