GDPR: Privacy by Design & by Default

Publicerad: 2017-08-17 av Draftit #GDPR #Lagstiftning #EU #Dataskydd
Beräknad lästid för inlägget: ca. 3 minuter

GDPR - Privacy by Design & by Default

Om du har läst om den nya dataskyddsförordningen har du säkert hört talas om privacy by design and by default. Definitionen beskrivs i dataskyddsförordningen, artikel 25, och översätts på svenska med "inbyggt dataskydd och dataskydd som standard".

Vad betyder det i praktiken och hur kan din organisation förhålla sig till privacy by design and by default?

Privacy by Design

Den personuppgiftsansvarige organisationen är skyldig att upprätta tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Privacy by design innebär att systemet som behandlar personuppgifter ska vara utformat så att exempelvis mängden personuppgifter minimeras och namn pseudonymiseras, om det är lämpligt.

Privacy by Default

Privacy by default är nästan enklare att förstå med den svenska termen dataskydd som standard. Det handlar om att enbart registrera de personuppgifter som krävs för den specifika behandlingens syfte.

Privacy by default tillämpas bland annat på mängden personuppgifter som samlas in, behandlingens omfattning, hur länge uppgifterna sparas, samt åtkomst till uppgifterna. Det är mycket viktigt att en standard upprättas så att personuppgifter inte görs tillgängliga utan den registrerades godkännande, om det krävs samtycke till det.

Det kan till exempel gälla på plattformar där man registrerar namn, födelsedatum och annan personlig information – exempelvis i sociala medier. Användare måste göras medveten om vilka uppgifter som görs offentliga, alternativt ska användaren själv kunna styra vilka uppgifter som visas på plattformen.

GDPR: Privacy by Design & by Default

Tips på vägen...

Som ansvarig för hantering av personuppgifter, är organisationen också ansvarig för att de system som hanterar personuppgifter efterlever dataskyddsförordningen. Det innebär att ni redan vid beställningen av IT-system bör se till att det finns en standard som efterlever privacy by design and by default.

En grundlig riskanalys i kombination med kartläggning av efterföljande konsekvenser för de registrerade blir en viktig del i arbetet. Genom att tänka efter noga från början kan ni minimera kostnader och spara tid jämfört med att behöva åtgärda integritetsproblem i efterhand.

Snart kan ni ansöka om certifiering

Som organisation kommer ni framöver kunna ansöka om en certifiering för att visa att ni lever upp till kraven som ställs för inbyggt dataskydd och dataskydd som standard. Certifieringen är frivillig, men visst är det ofta en fördel att visa att man som företag eller organisation faktiskt lever upp till dataskyddsförordningen. Certifieringen kommer att gälla i högst 3 år, men kan förnyas under förutsättning att den personuppgiftsansvarige organisationen fortfarande lever upp till de satta kraven.

Ladda ner vår kostnadsfria sammanfattning av GDPR

Ladda ner sammanfattningen här