GDPR: Privacy by Design & by Default

Om du har läst om den nya dataskyddsförordningen har du säkert hört talas om privacy by design and by default. Definitionen beskrivs i dataskyddsförordningen, artikel 25, och översätts på svenska med ”inbyggt dataskydd och dataskydd som standard”.

Vad betyder det i praktiken och hur kan din organisation förhålla sig till privacy by design and by default?

 

Privacy by Design

Den personuppgiftsansvarige organisationen är skyldig att upprätta tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Privacy by design innebär att systemet som behandlar personuppgifter ska vara utformat så att exempelvis mängden personuppgifter minimeras och namn pseudonymiseras, om det är lämpligt.

 

Privacy by Default

Privacy by default är nästan enklare att förstå med den svenska termen dataskydd som standard. Det handlar om att enbart registrera de personuppgifter som krävs för den specifika behandlingens syfte.

Privacy by default tillämpas bland annat på mängden personuppgifter som samlas in, behandlingens omfattning, hur länge uppgifterna sparas, samt åtkomst till uppgifterna. Det är mycket viktigt att en standard upprättas så att personuppgifter inte görs tillgängliga utan den registrerades godkännande, om det krävs samtycke till det.

Det kan till exempel gälla på plattformar där man registrerar namn, födelsedatum och annan personlig information – exempelvis i sociala medier. Användare måste göras medveten om vilka uppgifter som görs offentliga, alternativt ska användaren själv kunna styra vilka uppgifter som visas på plattformen.

 

Privacy by Design and by DefaultPrivacy by Design and by Default

Tips på vägen…

Som ansvarig för hantering av personuppgifter, är organisationen också ansvarig för att de system som hanterar personuppgifter efterlever dataskyddsförordningen. Det innebär att ni redan vid beställningen av IT-system bör se till att det finns en standard som efterlever privacy by design and by default.

En grundlig riskanalys i kombination med kartläggning av efterföljande konsekvenser för de registrerade blir en viktig del i arbetet. Genom att tänka efter noga från början kan ni minimera kostnader och spara tid jämfört med att behöva åtgärda integritetsproblem i efterhand.

Gillar du det du läser? Dela detta inlägget!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *