Innebygd personvern
Innebygd personvern (Privacy by Design) har røter tilbake til 1990-talet. Desse prinsippa er i dag i bruk mange stader og er rekna som ein standard å følgje for å oppnå godt personvern.
Under er dei sju grunnprinsippa til innebygd personvern. Omsetjinga og tolkinga er henta frå nettsidene til Datatilsynet.
Ver i forkant, førebygg framfor å reparere
For å lage ei personvernvennleg løysing er det viktig å vurdere risikoane for personvernet så tidleg som mogleg i utviklingsprosessen. Kostnadene ved å rette feil og manglar ved eit ferdig system kan vere høge. Dersom du tek omsyn til personvernet tidleg i utviklinga, kan du unngå unaudsynlege krenkingar av personvernet. Døme på krenking av personvernet er manglande tilgangsstyring, at det blir samla inn fleire personopplysningar enn naudsynleg og manglande sletting av personopplysningar.
Gjer personvern til standardinnstilling
Standardinnstillingar er førande for korleis eit system blir brukt, og korleis personopplysningar blir lagra. For at eit system skal ha innebygd personvern, må standardinnstillingane setjast opp slik at ikkje fleire personopplysningar enn naudsynleg blir samla inn eller blir viste, at det finst eit lovleg føremål med innsamlinga, at det er sett tekniske avgrensingar for bruken av opplysningane, at opplysningane blir sletta når føremålet er oppnådd, og at ein berre får tilgang til å sjå kva opplysningar som er registrerte på seg sjølv. Eit slikt system vil automatisk styre brukaren til ein arbeidsmåte som gir betre personvern.
Bygg personvern inn i designet
Personvern skal vere innebygd i designet og arkitekturen til IT-systemet og dessutan i forretningspraksisen. Det bør ikkje vere ein funksjon lagt til i etterkant. Dermed blir personvernet ein viktig del av kjernefunksjonaliteten. Det vil seie at personvern er ein integrert del av systemet utan at det går utover funksjonaliteten.
Skap full funksjonalitet
Gjennom innebygd personvern varetek verksemda både personvernet til brukaren og sine eigne behov. Det er viktig å ta omsyn til personvernet frå start for å unngå reparasjonar som går utover funksjonaliteten til løysinga. Nokre gonger er det ikkje mogleg å gjere endringar i etterkant utan at systemet blir dårlegare. Målet er ei både-og-tilnærming framfor ei anten-eller-tilnærming, for å vareta verksemda sine behov og interesser og samtidig ta omsyn til personvernet til dei som er registrerte.
Vareta informasjonssikkerheita frå start til slutt
Informasjonssikkerheit må vere ein del av løysinga. Det betyr at alt som skjer i systemet, på førehand er risikovurdert og føremålstenleg sikra, heilt frå før personopplysningane blir samla inn, mens dei blir behandla, og til dei er sletta. Personopplysningane skal sikrast mot uautorisert tilgang, endring, øydelegging og spreiing.
Vis openheit
Det skal vere openheit om korleis systemet fungerer, og korleis personvernet blir vareteke. Verksemda skal sørgje for at brukarane får god informasjon, og at det blir lagt til rette for innsyn i eigne opplysningar. Det skal vere mogleg å kontrollere at systemet varetek personvernet slik leverandøren oppgir.
Respekter personvernet til brukaren
Framfor alt krev innebygd personvern at utviklarane, bestillarane og administratorane gir personvernet til brukaren høg prioritet. Dette vil seie å sørgje for at personvernet blir vareteke gjennom standardinnstillingar, tydelege brukarvilkår og løysingar for at brukaren skal kunne kontrollere opplysningane sine sjølv.
Datatilsynet. (2018, 23. juni). Innebygd personvern. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/innebygd-personvern/