Innebygd personvern etter nytt regelverk

Med ny personvernlovgivning blir det en plikt å bygge inn personvern i nye IT-løsninger.

Innebygd personvern betyr å ta hensyn til personvernet gjennom alle utviklingsfasene av et system.

Personvern skal være standardinnstilling

I det kommende personvernregelverket blir det en plikt å bygge personvern inn i alle løsninger, system og tjenester. Personvern skal være standardinnstilling, heter det i regelverket. Man skal tidlig iverksette tekniske og organisatoriske tiltak, slik som pseudonymisering. Tiltakene man bruker skal være utformet for å sette personvernprinsippene ut i livet (lenke). Et eksempel er prinsippet om dataminimering, at man alltid skal bruke så få opplysninger som mulig. Dette gjøres samtidig som man integrerer nødvendige garantier for å sørge for etterlevelse av regelverket og ivaretakelse av rettigheter og friheter til de registrerte.

Dette er regulert i den nye forordningen artikkel 25.

Som standard skal man sette i verk tiltak som sørger for at det ikke blir behandlet andre personopplysninger enn de som er nødvendige for hvert formål. Virksomhetene plikter å passe på at:

  1. Det kun samles inn nødvendige opplysninger
  2. Opplysningene kun brukes til det som er forutsatt fra starten
  3. Personopplysninger ikke lagres for lenge
  4. Tilgjengeligheten til opplysningene er tilstrekkelig begrenset

Slike tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelig for et ubegrenset antall fysiske personer uten at den personen som eier personopplysningene har bidratt til det.

Privacy by design - innebygd personvern

De syv stegene til innebygd personvern ble utviklet av personvernmyndighetene i Ontario, Canada på 1990-tallet. Prinsippene ble kalt «privacy by design» på engelsk, og ble vedtatt på en internasjonal personvernkonferanse i 2010. I 2013 oversatte vi dem til norsk. Last ned engelsk versjon (pdf)

Programvareutvikling med innebygd personvern

Hvordan utvikle programvare med innebygd personvern? Vi har i samarbeid med sikkerhetseksperter og programutviklere i både privat og offentlig sektor, utviklet en veileder om temaet. Den skal hjelpe norske virksomheter å forstå og etterleve kravet om innebygd personvern i de nye personvernreglene.

Programvareutvikling med innebygd personvern