<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Innebygd personvern - en metode som bygger tillit

‹ Tilbake til artikler

Personvernforordningen (GDPR) stiller krav til innebygd personvern. Men hva er egentlig innebygd personvern?

Innebygd personvern - privacy by design - er ikke bare et viktig lovkrav i GDPR. Det er et sett med prinsipper som gir veiledning i hvordan virksomheter kan utvikle prosesser som ivaretar personvernet på en helhetlig og kostnadseffektiv måte. Innebygd personvern handler ikke bare om tekniske krav, som kryptering, pseudonymisering, logging eller automatisert sletting. Det handler vel så mye om organisatoriske tiltak i form av forankring, rolle- og ansvarsfordeling, tilgangsstyring og opplæring, slik at personer med riktig kompetanse inkluderes i utviklings- eller anskaffelsesprosesser på riktig tidspunkt.

“Time to market”, tiden fra utvikling til produksjonssetting, er avgjørende for virksomheter som ønsker å holde seg konkurransedyktige. Samtidig er det viktig for virksomhetene å bevare tilliten hos kundene og i markedet generelt. Å forene kravet til hurtighet, med høye krav og forventninger fra brukerne til sikre og personvernvennlige løsninger, er utfordrende. Virksomheter som lykkes i å bygge en organisasjonskultur der godt personvern bygges inn i løsninger og prosesser gjennom hele utviklingsforløpet, vil ha et stort konkurransefortrinn i markedet.

Innebygd personvern er mer enn tekniske tiltak

I et snevert perspektiv kan man knytte innebygd personvern tett til systemutvikling, og flere veiledere (eksempelvis Datatilsynet, ENISA, EDPB) velger nettopp denne tilnærmingen. Personvernprinsippene skal bygges inn i nye løsninger ved hjelp av personvernfremmende tiltak som dataminimering, pseudonymisering, aggregering, kryptering, begrenset lagring og tilganger, og bruk av godkjente leverandører og verktøy - for å nevne noe. I tillegg skal løsningene inneholde funksjonalitet som gjør det lettere å på en god måte håndtere de registrertes rettigheter, for eksempel for å etterkomme de registrertes forespørsler om retting og sletting.

Men innebygd personvern handler imidlertid om mer enn tekniske tiltak. I følge GDPR art. 25 skal den behandlingsansvarlige gjennomføre både egnede tekniske og organisatoriske tiltak for å oppfylle kravene i forordningen. Sett i et bredt perspektiv, berører kravet til innebygd personvern derfor alt som har betydning for hvordan nye løsninger utvikles. Det omfatter organisering, ansvarsfordeling, policyer og rutiner, prosesser og egnede verktøy. En rekke ulike roller og funksjoner i virksomheten må involveres på ulike stadier i systemutviklingen. Ikke bare utviklere, men også produkteiere, systemeiere, og ekspertise innen informasjonssikkerhet og personvern.

Tydelige prosedyrer og retningslinjer, opplæring og tilstrekkelig kompetanse, og en god personvern- og informasjonssikkerhetskultur, er grunnsteiner for etterlevelse av GDPR generelt, og for implementering av innebygd personvern spesielt. Sentrale roller og funksjoner i organisasjonen, helt opp til toppledelsen, må forstå hva personvernprinsippene innebærer i praksis og hva de betyr for den enkeltes oppgaver i utviklingsforløpet. Dette er avgjørende for at personvernhensyn skal bli en integrert og prioritert del av hvordan virksomheten arbeider med utvikling, bestilling og forvaltning av nye løsninger.

Datatilsynet har listet innebygd personvern som et av sine fokusområder for tilsyn i 2022; et av PwCs mål er å bidra til en diskusjon om innebygd personvern, og gjøre våre kunder klare for eventuelle tilsyn. I en serie bloggposter fremover vil vi se på hvordan organisasjoner skal rigge seg best mulig for å jobbe med innebygd personvern på en hensiktsmessig og effektiv måte. Vi vil også se nærmere på hvordan innebygget personvern kan tilpasses agile utviklingsprosesser.

Blogginnlegget er skrevet sammen med Atle Johansen (atle.johansen@pwc.com) og Henrik Gullaker (henrik.gullaker@pwc.com). 

Michael Balner

Michael Balner

Jeg heter Michael Balner og er manager i Cyber Trust Advisory. Jeg har mastergrad i forvaltningsinformatikk fra UiO. I PwC har jeg i snart tre år jobbet med rådgivning innen personvern og informasjonssikkerhet. Jeg har erfaring fra fagområder som finans og betalingstjenester, forsikring og helse. Jeg er sertifisert CIPP/E, ISO 27001, ITIL Foundation og Azure 900. I det siste har jeg vært særlig opptatt av kravene om innebygd personvern og forutsetninger som må være på plass for enkel og effektiv implementering. Kontakt meg gjerne med spørsmål eller kommentarer om innebygd personvern. Takk!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Personvernforordningen og hvitvaskingsloven. Godzilla vs King Kong?

  Hvis du jobber med compliance i Finansnæringen, må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller ...

Les artikkelen
Les artikkelen

ERP in the sky - vellykket implementering av skybaserte løsninger

Det er ikke lenger kun er de største virksomhetene som implementerer ERP-løsninger. En rekke mindre og mellomstore foretak går fra ...

Les artikkelen
Les artikkelen

Test eller kolera - noen refleksjoner om GDPR og bruk av personopplysninger som testdata

Jeg har lest artikler og fulgt noen foredrag hvor folk har påstått at ny personvernforordning (GDPR) forbyr bruk av personopplysninger i ...

Les artikkelen