Innebygd personvern - en metode som bygger tillit

Personvernforordningen (GDPR) stiller krav til innebygd personvern. Men hva er egentlig innebygd personvern?

Innebygd personvern - privacy by design - er ikke bare et viktig lovkrav i GDPR. Det er et sett med prinsipper som gir veiledning i hvordan virksomheter kan utvikle prosesser som ivaretar personvernet på en helhetlig og kostnadseffektiv måte. Innebygd personvern handler ikke bare om tekniske krav, som kryptering, pseudonymisering, logging eller automatisert sletting. Det handler vel så mye om organisatoriske tiltak i form av forankring, rolle- og ansvarsfordeling, tilgangsstyring og opplæring, slik at personer med riktig kompetanse inkluderes i utviklings- eller anskaffelsesprosesser på riktig tidspunkt.

“Time to market”, tiden fra utvikling til produksjonssetting, er avgjørende for virksomheter som ønsker å holde seg konkurransedyktige. Samtidig er det viktig for virksomhetene å bevare tilliten hos kundene og i markedet generelt. Å forene kravet til hurtighet, med høye krav og forventninger fra brukerne til sikre og personvernvennlige løsninger, er utfordrende. Virksomheter som lykkes i å bygge en organisasjonskultur der godt personvern bygges inn i løsninger og prosesser gjennom hele utviklingsforløpet, vil ha et stort konkurransefortrinn i markedet.

Innebygd personvern er mer enn tekniske tiltak

I et snevert perspektiv kan man knytte innebygd personvern tett til systemutvikling, og flere veiledere (eksempelvis Datatilsynet, ENISA, EDPB) velger nettopp denne tilnærmingen. Personvernprinsippene skal bygges inn i nye løsninger ved hjelp av personvernfremmende tiltak som dataminimering, pseudonymisering, aggregering, kryptering, begrenset lagring og tilganger, og bruk av godkjente leverandører og verktøy - for å nevne noe. I tillegg skal løsningene inneholde funksjonalitet som gjør det lettere å på en god måte håndtere de registrertes rettigheter, for eksempel for å etterkomme de registrertes forespørsler om retting og sletting.

Men innebygd personvern handler imidlertid om mer enn tekniske tiltak. I følge GDPR art. 25 skal den behandlingsansvarlige gjennomføre både egnede tekniske og organisatoriske tiltak for å oppfylle kravene i forordningen. Sett i et bredt perspektiv, berører kravet til innebygd personvern derfor alt som har betydning for hvordan nye løsninger utvikles. Det omfatter organisering, ansvarsfordeling, policyer og rutiner, prosesser og egnede verktøy. En rekke ulike roller og funksjoner i virksomheten må involveres på ulike stadier i systemutviklingen. Ikke bare utviklere, men også produkteiere, systemeiere, og ekspertise innen informasjonssikkerhet og personvern.

Tydelige prosedyrer og retningslinjer, opplæring og tilstrekkelig kompetanse, og en god personvern- og informasjonssikkerhetskultur, er grunnsteiner for etterlevelse av GDPR generelt, og for implementering av innebygd personvern spesielt. Sentrale roller og funksjoner i organisasjonen, helt opp til toppledelsen, må forstå hva personvernprinsippene innebærer i praksis og hva de betyr for den enkeltes oppgaver i utviklingsforløpet. Dette er avgjørende for at personvernhensyn skal bli en integrert og prioritert del av hvordan virksomheten arbeider med utvikling, bestilling og forvaltning av nye løsninger.

Datatilsynet har listet innebygd personvern som et av sine fokusområder for tilsyn i 2022; et av PwCs mål er å bidra til en diskusjon om innebygd personvern, og gjøre våre kunder klare for eventuelle tilsyn. I en serie bloggposter fremover vil vi se på hvordan organisasjoner skal rigge seg best mulig for å jobbe med innebygd personvern på en hensiktsmessig og effektiv måte. Vi vil også se nærmere på hvordan innebygget personvern kan tilpasses agile utviklingsprosesser.

Blogginnlegget er skrevet sammen med Atle Johansen (atle.johansen@pwc.com) og Henrik Gullaker (henrik.gullaker@pwc.com).