Privacy by Design: Risikostyring og persondata

Privacy by Design skal sikre, at behandling af personoplysninger og datasikkerheden. Det kan være en sværere ting at forstå, så vi gennemgår grundstenene i PbD.

09-05-2023 - 6 minutters læsning. Under kategorien: gdpr.

Privacy by Design: Risikostyring og persondata

Når det kommer til GDPR, er der mange ting, man som virksomhed og medarbejder, skal forholde sig til. Dette gælder bl.a. Privacy by Design (PbD). PbD blev oprindeligt udviklet af den canadiske Ann Cavoukian, der arbejdede med informationssikkerhed. PbD refererer til GDPR-reglernes Artikel 25, hvor begrebet indgår. Cavoukian deler PbD ind i 7 grundsten eller principper, for at gøre dem mere håndgribelige.

Privacy by Design er i bund og grund databeskyttelse gennem design hvilket omfatter både arbejdsprocesser, IT-systemer og den fysiske infrastruktur, der danner rammer for informationssikkerheden - og behandling af persondata.

PbD har fokus på risikostyring, og hvordan man bedst beskytter persondata igennem hele dens behandling og håndtering. Det er lige fra persondataen bliver indsamlet, og til den er slettet i systemerne igen. Dette gælder både data i hardware og software, håndtering af processer eller tjenester.

Første grundsten: Den proaktive vej

Som man kender det fra cybersikkerhed, så er den proaktive indstilling til bekæmpelse af fejlbehandling af persondata den mest effektive og indbringende indstilling. Man skal altså være der, før en risiko dukker op.

Derfor handler den første grundsten i PbD om, at man skal være på forkant. Dette gælder alt mellem processer, procedurer, behandling og infrastrukturer i virksomheden. Persondatasikkerheden skal sikres bedst muligt, og dette gøres ved at være proaktiv og forberedt på risici.

Hvis man skal se det i praksis, kan man:

  • Lave klare og tydelige retningslinjer om, at ledelsen stræber efter at fremme den proaktive tilgang til beskyttelsen af personoplysningerne - dette indebærer en forbedring af behandlingen.
  • Man skal gøre det til en selvfølge at forbedre tilgangen, så den bliver proaktiv og ikke reaktiv.
  • Lave tydeligere ansvarsområder i behandling af personoplysninger - så er medarbejderne klar over, hvordan personoplysningerne er blevet behandlet og skal behandles.

Anden grundsten: Default indstillingen

Den anden grundsten går ud på, at databeskyttelsen skal være en standard proces og inkorporeret i dine systemer. Derfor skal det være en del af jeres PbD.

Når databeskyttelsen skal være en del af jeres processer betyder det også, at den skal være en default i jeres systemer - altså en standard, som ikke skal slækkes på. Hvis den ikke allerede står som standarden, skal jeres databeskyttelse altså være i absolut top. Det skal den, fordi man behandler personoplysninger, der er uvurderlige for kundernes såvel som for virksomheden.

Hvis man ser på det i funktion, så skal man:

  • Begrænse og simplificere kriterierne for indsamling af data.
  • Kun bruge persondataen til det specifikke formål - og ikke til andre formål end det indledningsvist blev indsamlet til.
  • Huske at det kun er relevante sagsbehandlere, der skal have adgang til personoplysningerne - husk hvad der er “need to know”, og hvad der er “nice to know”.
  • Have tiden for opbevaring in mente, når man har med personoplysninger at gøre. Det er en overtrædelse af GDPR, at besidde persondata længere end nødvendigt.

Tredje grundsten: En del af designet

Når man har med personoplysninger at gøre, skal man huske privatliv og fortrolighedsprincipper. Dette skal være integreret i designet af processer og procedurer, da det er noget af det allervigtigste, man skal huske som virksomhed. Det går ikke kun ud over virksomheden at fejlbehandle personoplysninger og privatliv, det går også stærkt ud over kunderne, hvis data man behandler.

Virksomheden kan gøre det obligatorisk at have integreret privatlivsbeskyttelse, så det ikke kun bliver en ekstra tilføjelse til procedurerne - det bør sidde på rygraden. Derudover kan man sørge for at udføre risikovurderinger, hvor man gennemgår IT-systemer og opbevaring af data. Til sidst bør man overveje at dokumentere de beslutninger, der bliver taget, og referere til PbD, så der ikke opstår forvirring eller konflikter.

Fjerde grundsten: Funktionsevne til det yderste

I en virksomhed skal man sikre, at PbD inkluderer en sikker brugeroplevelse. Det er vigtigt at huske, at man ikke skal erstatte andre vigtige funktioner med persondatasikkerhed.

På den måde kan man sikre, at medarbejderne i virksomheden har den fulde funktionsevne af systemer og Privacy by Design. Når de kan bruge alle funktioner, kan man også få den bedste oplevelse af behandlingen af personoplysninger.

Så, når man sidder med persondata, skal man huske at de forskellige interesser, der er i personoplysningsikkerhed, altså kan være der på samme tid i samme system. Man kan altså sagtens være interesseret i at behandle persondata korrekt og ordentligt, samtidig med, at man fokuserer på de essentielle forretningshensyn.

Femte grundsten: Vi er der hele vejen

Ved databehandling, skal man have integreret databeskyttelsen i løbet af hele behandlingstiden. Det er altså fra første øjekast man sidder med persondata, at databeskyttelsen træder i kraft. I forlængelse af dette, skal man også opretholde en store opmærksomhed på korrekt behandling af persondataen, indtil man sletter dataen, når det er færdigbehandlet.

Et element man kan implementere i persondatasikkerheden er kryptering og anonymisering af data. På den måde begrænser man naturligt, hvem der kan læse og forstå dataen. Man holder altså uvedkommende væk.

Derudover skal man også have en sikker og grundig sletning af persondataen, så snart man er færdig med at behandle den. Hvis ikke det bliver slettet korrekt, risikerer man at man opbevarer personoplysningerne forkert - og dette resulterer i en GDPR-bøde.

Sjette grundsten: Transparens

Et vigtigt element i korrekt behandling af personoplysninger er at have en transparent og synlig behandling. Dette kommer eksterne parter ved, da dette sikrer, at I i virksomheden rent faktisk behandler dataen ordentligt.

Derudover understøtter det troværdigheden i jeres virksomhed, da det bliver tydeligt, at I ved hvad I laver, og har styr på jeres procedurer og processer.

Man kan eksempelvis lave privatlivspolitikker, så man tydeliggør, hvordan personoplysningerne bliver behandlet og forbliver fortrolige. Dette kan bruges i forbindelse med indsamling af samtykke. Derudover kan klare og tilgængelige kommunikationsformularer være en god idé, så kunder kan komme i kontakt med jer, når de har behov for det.

Syvende grundsten: Kunden i centrum

Til sidst, men ikke mindst, skal man altid have kunden og brugeren i centrum, når man behandler data. Man skal sikre en god oplevelse for brugeren, være sikker på god databeskyttelse. Nogle eksempler på at have brugeren i fokus er:

  • Integrere Privacy by Design som en integration i sine systemer. Dette beskytter kunden og de persondata, der er koblet til dem.
  • Have klar og tydelig kommunikation mellem jer og kunden: hvis der bliver ændret i privatlivsindstillingerne, skal kunden informeres. Ydermere skal de informeres om konsekvenserne for deres privatliv, hvis der bliver lavet ændringer i systemindstillinger.
  • Samtykke er vigtigt, så kunden skal kunne se, alt de giver samtykke til.
  • Man skal altid kunne få adgang til privatlivspolitikker, hvor behandling indgår. Her skal man kunne se, hvordan I behandler personoplysningerne.

Formålet med PbD er at sikre implementering af databeskyttelse og informationssikkerhed i virksomheder - dette skal være lige fra det øjeblik persondataen bliver indsamlet. Dette sikrer, at behandling af persondata ikke bliver en ligegyldig proces i en virksomhed, men at det bliver håndteret og behandlet med den sikkerhed, det kræver.

Forfatter Caroline Preisler

Caroline Preisler

Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.

Se alle indlæg af Caroline Preisler

Lignende indlæg