Alle skal bygge personvern inn i nye løsninger

Datatilsynet anbefaler at alle virksomheter som behandler personopplysninger eller som for eksempel skal  bygge nye IKT-systemer, følger prinsippene for innebygd personvern. Når forordningen trer i kraft, blir dette også en plikt.

Innebygd personvern handler om å ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Vår veileder om innebygd personvern vil hjelpe deg i gang med arbeidet.

Forordningen sier at dere skal iverksette tekniske og organisatoriske tiltak som effektivt ivaretar personvernprinsippene og som sørger for at dere følger forordningen. Loven forplikter dere til å bygge personvern inn i løsningene i den innledende fasen, hvor dere bestemmer hvilke virkemidler dere vil bruke, og å også tenke innebygd personvern i fortsettelsen, så lenge dere behandler personopplysninger. I vurderingen av hvor personvernvennlige tiltakene kan gjøres, skal dere ta hensyn til alt fra tilgjengelig teknologi og implementeringskostnader til  hva slags behandling som skal gjøres, hvor omfattende den er, og i hvilken sammenheng den gjøres.

Som en del av kravet om innebygd personvern, skal dere bruke personvern som standardinnstilling. Det betyr at det minst personverninngripende alternativet skal være standarden i alle systemer og løsninger. Forordningen nevner konkret at man skal ha standardinnstillinger for:

  1. mengden personopplysninger man samler inn
  2. omfang av behandlingen
  3. lagringstid
  4. tilgjengelighet

Det stilles også et eksplisitt krav om at det ikke skal være mulig å gjøre personopplysninger tilgjengelig for et ubestemt antall personer uten den registrertes medvirkning. Dette skal settes opp som en standard i løsningen.

Du finner disse reglene i forordningens artikkel 25.