Hvem er ansvarlig for innebygd personvern og personvern som standard?
Behandlingsansvarlige virksomheter har et overordnet ansvar for at innebygd personvern og personvern som standard implementeres i deres behandlingsaktiviteter.
Det vil si at alle behandlingsansvarlige, uansett størrelse, må sørge for at alle midler, eksempelvis et system eller en mobilapplikasjon, som tas i bruk ved behandling av personopplysninger har personvern innebygd i behandlingen.
I personvernforordningen brukes ordet "middel" om den tekniske innretningen som behandler personopplysningene, og kan være løsningen, programmet, app-en, infrastrukturen, algoritmen osv.
En forutsetning for å kunne lykkes med innebygd personvern er at den behandlingsansvarlige besitter grunnleggende forståelse av personvernprinsippene. Slik kunnskap er uunnværlig for å kunne ivareta personvernet i virksomheten på en ansvarlig måte.
Vi har samlet informasjon om alle personvernprinsippene på en egen side (åpnes i ny fane).
Tips
- Sørg for at styringssystemer for utvikling og anskaffelse av nye løsninger og ved oppdatering av gamle løsninger inneholder krav om innebygd personvern.
- Sørg for å ha tilstrekkelig personvernkompetanse.
Bruk av tredjepartsløsninger eller databehandlere
Behandlingsansvarlige må alltid vurdere om behandlingsmidler faktisk har innebygd personvern, også om de tar i bruk produkter og tjenester som er utviklet av tredjeparter. Produsenter bør derfor sikte på å utvikle sine produkter og tjenester i tråd med kravene om innebygd personvern for at behandlingsansvarlige skal kunne benytte seg av disse.
Behandlingsansvarlige må også stille krav om, gjøre en vurdering av og forvisse seg om at databehandlere oppfyller kravene om innebygd personvern. Behandlingsansvarlige må foreta evalueringer av hvorvidt kravene er oppfylt med jevne mellomrom.
Den behandlingsansvarlige må ha tilstrekkelig kompetanse for å kunne vurdere om behandlingsmidler fra tredjeparter eller databehandlere har de nødvendige garantiene for innebygd personvern.
TIPS:
- Still krav om innebygd personvern i anbudskonkurranser og i kontrakter
- Sørg for å ha tilstrekkelig bestiller-kompetanse for å vurdere hvorvidt tilbudene oppfyller kravet om innebygd personvern
- Velg databehandlere og produsenter som kan garantere for innebygd personvern i sine løsninger
Ansvarlighet og dokumentasjon
Behandlingsansvarlige skal kunne demonstrere at krav om innebygd personvern er oppfylt i løsninger som behandler personopplysninger. Det betyr at de skal kunne vise til hvordan personvernprinsippene og de registrertes rettigheter og friheter er implementert på en effektiv måte i behandlingen, for eksempel ved å vise til hvordan implementerte tiltak fører til godt personvern.
Enhver behandling må vurderes konkret, slik at tiltakene som tas i bruk reflekterer den konkrete behandlingen. Dersom man tar i bruk ferdig utviklede produkter eller tjenester, må man også kunne vise til hvordan disse ivaretar innebygd personvern.
TIPS:
- Ta vare på vurderinger som er blitt gjort underveis slik at man også kan revidere og oppdatere disse
- Ta vare på utarbeidede dokumenter som risikoanalyser, personvernkonsekvensvurderinger, personvernombudets synspunkter, ulike typer sikkerhetstester, m.m.