Retningslinjer om innebygd personvern og personvern som standardinnstilling

Datatilsynet i Norge har ledet Det europeiske personvernrådets (EDPB) arbeid med å utarbeide retningslinjer for innebygd personvern og personvern som standardinnstilling. Retningslinjene er nå endelig vedtatt av rådet etter å ha vært ute på offentlig høring. 

Artikkel 25 i personvernforordningen krever at alle behandlingsansvarlige har innebygd personvern og personvern som standard i alle apper, tjenester, programmer og løsninger som tas i bruk ved behandling av personopplysninger. Kravet om innebygd personvern er en av de viktigste bestemmelsene i personvernforordningen fordi det sikrer at personvernet må tas hensyn til i alle ledd i utvikling av disse løsningene.

- Vi kan si at artikkel 25 er den lille GDPR, forteller fagdirektør Veronica Jarnskjold Buer.

Sammen med juridiske rådgivere Jade Bui og Eirin Oda Lauvset har hun hatt hovedansvaret for å utarbeide retningslinjene på vegne av det norske Datatilsynet. 

Bakgrunn

I 2017 lanserte det norske datatilsynet sin veileder om programvareutvikling med innebygd personvern. Dette arbeidet vekket internasjonal interesse og ledet til at vi ble utpekt til å lede arbeidet med å utforme en veilder om artikkel 25 på vegne av personvernrådet (EDPB), sammen med representanter fra andre datatilsynsmyndigheter. Arbeidet har formelt pågått i 2 år. I løpet av denne tiden har veilederen vært på offentlig høring, og den 20. oktober 2020 ble den endelig vedtatt av Personvernrådet.

Den norske veilederen er rettet mot utviklere og utviklingsteam. Bestemmelsen i artikkel 25 er rettet mot behandlingsansvarlige. Imidlertid er det viktig at utviklere og leverandører forstår forpliktelsene i artikkelen for å kunne tilby sine tjenester til kunder som behandler personopplysninger.

Kjernebudskap i veilederen

- I vårt stadig mer digitaliserte samfunn er innebygd personvern og personvern som standardinnstilling helt essensielt for å sikre at enkeltindividet faktisk har personvern i i vår stadig "smartere" verden, sier Buer.

Forpliktelsen om innebygd personvern krever at den behandlingsansvarlige stilles til ansvarlig for tjenesten og løsningene som tas i bruk og at personvern må være en av grunnsteinene i utvikling av løsningen.

Veilederen fokuserer på at tiltak skal sikre en effektiv implementering av personvernprinsippene og de registrertes rettigheter og friheter ved å bygge disse inn i løsningene og tjeneste fra starten av.

Veilederen utdyper elementene i artikkel 25 som skal tas med i betraktning ved innebygd personvern og personvern som standardinnstilling. Videre går veilederen igjennom hvordan hver av personvernprinsippene kan implementeres ved bruk av nøkkelelementer og illustrerende eksempler.

Veilederen avslutter også med tips om hvordan ulike aktører kan bidra i utviklingen av innebygd personvern og personvern som standardinnstilling.

- En grunnleggende forutsetning for å lykkes med innebygd personvern og personvern som standardinnstilling er at man forstår personvernprinsippene, og de registrertes rettigheter og friheter slik at man kan bygge gode løsninger og tjenester, sier Buer.

Veilederen kan lastes ned på engelsk fra Personvernrådet sine sider (edpb.europa.eu)