Privacy by design

Privacy by design er princippet om at bygge databeskyttelse ind i systemer og processer fra starten. GDPR artikel 25 gør det til et juridisk krav. Du skal tænke databeskyttelse ind allerede på designstadiet, ikke som en eftertanke.

Tilbage til ordbog

Hvad er privacy by design?

Privacy by design (databeskyttelse gennem design) er kodificeret i GDPR artikel 25, stk. 1. Det kræver, at dataansvarlige implementerer passende tekniske og organisatoriske foranstaltninger, der er udformet med henblik på at gennemføre databeskyttelsesprincipperne effektivt.

Konceptet blev oprindeligt udviklet af den canadiske dataprivatlivs-kommissær Ann Cavoukian i 1990'erne. GDPR gjorde det til et bindende juridisk krav i 2018.

I praksis betyder det, at du skal overveje databeskyttelse fra starten af ethvert projekt, system eller proces, der involverer persondata. Det er billigere og mere effektivt at bygge korrekt fra begyndelsen end at reparere bagefter.

Privacy by default

Artikel 25, stk. 2 supplerer med privacy by default (databeskyttelse som standard). Det betyder, at standardindstillingerne i dine systemer skal være de mest privatlivsbeskyttende:

Kun de persondata, der er nødvendige for det specifikke formål, behandles som standard (dataminimering)
Data deles ikke med et ubegrænset antal personer som standard
Data opbevares ikke længere end nødvendigt som standard
Data er ikke offentligt tilgængelige som standard

Et praktisk eksempel: når en bruger opretter en profil, skal privathedsindstillingerne stå på "privat" som standard, ikke "offentlig". Brugeren kan selv vælge at åbne op.

Grundprincipperne

Privacy by design bygger på syv grundprincipper, som du kan bruge som tjekliste:

Proaktiv, ikke reaktiv: Forudse og forebyg privatlivsproblemer, inden de opstår.
Privatlivsbeskyttelse som standard: Maksimal beskyttelse uden brugerhandling.
Integreret i designet: Privatlivsbeskyttelse er en del af systemets kerne, ikke en tilføjelse.
Fuld funktionalitet: Privatlivsbeskyttelse skal ikke ske på bekostning af funktionalitet.
Sikkerhed fra start til slut: Beskyttelse gennem hele dataens livscyklus.
Synlighed og gennemsigtighed: Lad interessenter verificere, at privatlivsbeskyttelse er implementeret.
Respekt for brugeren: Sæt brugerens interesser i centrum.

Implementering i praksis

Konkrete tiltag til at implementere privacy by design:

Involvér din DPO tidligt i nye projekter og systemanskaffelser
Foretag en konsekvensanalyse (DPIA) ved nye systemer, der behandler persondata
Implementér dataminimering i alle formularer og dataindsamlingspunkter
Anvend pseudonymisering og kryptering som standardforanstaltninger
Byg automatiske sletterutiner ind fra starten
Sørg for adgangskontrol med "need-to-know"-princippet
Dokumentér dine designvalg i fortegnelsen

Privacy by design understøtter direkte behandlingssikkerhed og reducerer risikoen for databrud. Det gør det også lettere at overholde de registreredes rettigheder, fordi systemerne er designet til det fra starten.

Ofte stillede spørgsmål om privacy by design

Hvad er privacy by design?

Privacy by design er princippet om at integrere databeskyttelse i design og arkitektur af systemer og processer fra begyndelsen. Det er et juridisk krav i GDPR artikel 25, der kræver, at dataansvarlige implementerer passende tekniske og organisatoriske foranstaltninger allerede på designstadiet.

Hvad er forskellen på privacy by design og privacy by default?

Privacy by design handler om at tænke databeskyttelse ind fra starten af designprocessen. Privacy by default handler om, at standardindstillingerne altid er de mest privatlivsbeskyttende. Kun de data, der er nødvendige for det specifikke formål, skal behandles som standard.

Er privacy by design et juridisk krav?

Ja. GDPR artikel 25 gør privacy by design og privacy by default til juridiske krav. Dataansvarlige skal implementere passende tekniske og organisatoriske foranstaltninger, der er udformet med henblik på at gennemføre databeskyttelsesprincipperne effektivt.

Hvordan implementerer man privacy by design?

Start med at integrere databeskyttelse i din projektproces. Involvér din DPO tidligt, foretag konsekvensanalyser ved nye systemer, implementér dataminimering og pseudonymisering, og sørg for, at standardindstillinger er privatlivsbeskyttende.