Innebygd personvern
Innebygd personvern (Privacy by Design) har røtter tilbake til 1990-tallet. Disse prinsippene er i dag i bruk mange steder og ansett som en standard å følge for å oppnå godt personvern.
Under er de sju grunnprinsippene til innebygd personvern. Oversettelsen og tolkningen er hentet fra Datatilsynet sine nettsider.
Vær i forkant, forebygg framfor å reparere
For å lage en personvernvennlig løsning er det viktig å vurdere risikoene for personvernet så tidlig som mulig i utviklingsprosessen. Kostnadene ved å rette feil og mangler ved et ferdig system kan være høye. Dersom du tar hensyn til personvernet tidlig i utviklingen, kan du unngå unødvendige krenkelser av personvernet. Eksempler på krenkelse av personvernet er manglende tilgangsstyring, at det samles inn flere personopplysninger enn nødvendig og manglende sletting av personopplysninger.
Gjør personvern til standardinnstilling
Standardinnstillinger er førende for hvordan et system blir brukt, og hvordan personopplysninger blir lagret. For at et system skal ha innebygd personvern, må standardinnstillingene settes opp slik at ikke flere personopplysninger enn nødvendig samles inn eller vises, at det finnes et lovlig formål med innsamlingen, at det er satt tekniske begrensninger for bruken av opplysningene, at opplysningene slettes når formålet er oppnådd, og at man bare får tilgang til å se hvilke opplysninger som er registrert på seg selv. Et slikt system vil automatisk styre brukeren til en arbeidsmåte som gir bedre personvern.
Bygg personvern inn i designet
Personvern skal være innebygd i IT-systemets design og arkitektur samt i forretningspraksisen. Det bør ikke være en funksjon lagt til i etterkant. Dermed blir personvernet en viktig del av kjernefunksjonaliteten. Det vil si at personvern er en integrert del av systemet uten at det går på bekostning av funksjonaliteten.
Skap full funksjonalitet
Gjennom innebygd personvern ivaretar virksomheten både brukerens personvern og sine egne behov. Det er viktig å ta hensyn til personvernet fra start for å unngå reparasjoner som går utover funksjonaliteten til løsningen. Noen ganger er det ikke mulig å gjøre endringer i etterkant uten at systemet blir dårligere. Målet er en både-og-tilnærming framfor en enten-eller-tilnærming, for å ivareta virksomhetens behov og interesser og samtidig ta hensyn til de registrertes personvern.
Ivareta informasjonssikkerheten fra start til slutt
Informasjonssikkerhet må være en del av løsningen. Det betyr at alt som skjer i systemet, på forhånd er risikovurdert og hensiktsmessig sikret, helt fra før personopplysningene samles inn, mens de behandles, og til de er slettet. Personopplysningene skal sikres mot uautorisert tilgang, endring, ødeleggelse og spredning.
Vis åpenhet
Det skal være åpenhet om hvordan systemet fungerer, og hvordan personvernet blir ivaretatt. Virksomheten skal sørge for at brukerne får god informasjon, og at det legges til rette for innsyn i egne opplysninger. Det skal være mulig å kontrollere at systemet ivaretar personvernet slik leverandøren oppgir.
Respekter brukerens personvern
Framfor alt krever innebygd personvern at utviklerne, bestillerne og administratorene gir brukerens personvern høy prioritet. Dette vil si å sørge for at personvernet ivaretas gjennom standardinnstillinger, tydelige brukervilkår og løsninger for at brukeren skal kunne kontrollere opplysningene sine selv.
Datatilsynet. (2018, 23. juni). Innebygd personvern. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/innebygd-personvern/