Innebygd personvern og personvern som standard

Innebygd personvern og personvern som standard

Innebygd personvern er et sentralt krav i personopplysningsloven og betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter.

Innledning

Personvernforordningens artikkel 25 bestemmer at personvern skal bygges inn i behandlingsaktiviteter og at personvern skal være standardinnstilling i disse.

I vårt stadig mer digitaliserte samfunn er innebygd personvern og personvern som standardinnstilling helt essensielt for å sikre at enkeltindividet faktisk har reelt personvern i en «smartere» og digitalisert verden.

Vi har laget egen veiledning for deg som er programvareutvikler. Veiledningen skal hjelpe til med å forstå og etterleve kravet om innebygd personvern i personvernregelverket i praksis.

Om veiledningen 

Denne veiledningen er basert på Personvernrådets (EDBP) Guidelines for Data protection by design and by default (edpb.europa.eu). Den fokuserer på at tiltak skal sikre en effektiv implementering av personvernprinsippene og de registrertes rettigheter og friheter ved å bygge tiltakene inn i løsningene og tjenestene fra starten av. Veiledningen utdyper elementene i artikkel 25 som skal tas med i betraktning ved innebygd personvern og personvern som standardinnstilling.

Videre går veiledningen gjennom hvordan hvert personvernprinsipp kan implementeres ved bruk av nøkkelelementer og illustrerende eksempler. Veiledningen inkluderer også tips om hvordan ulike aktører kan bidra i utviklingen av innebygd personvern og personvern som standardinnstilling.

Veien frem mot kravet til innebygd personvern

Historisk, og før forordningen trådde i kraft, omtalte vi innebygd personvern som Privacy by design framfor Data Protection by Design and by default. Innebygd personvern ble først obligatorisk når personvernforordningen trådte i kraft.

Privacy by design ble utviklet av personvernmyndighetene i Ontario, Canada på 1990-tallet. Prinsippene, som er syv steg for å oppnå innebygd personvern og som ble kalt «privacy by design» på engelsk, ble vedtatt på en internasjonal personvernkonferanse i 2010. De syv stegene er som følger:

1. Vær i forkant, forebygg fremfor å reparere
2. Gjør personvern til standardinnstilling
3. Bygg personvern inn i designet
4. Skap full funksjonalitet
5. Ivareta informasjonssikkerheten fra start til slutt
6. Vis åpenhet
7. Respekter brukerens personvern

Last ned den engelske versjonen (pdf)

Programvareutvikling med innebygd personvern

Hvordan utvikle programvare med innebygd personvern? Vi har i samarbeid med sikkerhetseksperter og programutviklere i både privat og offentlig sektor, utviklet veiledning om temaet. Dette kan forhåpentligvis hjelpe norske virksomheter å forstå og etterleve kravet om innebygd personvern i personvernreglene.

Programvareutvikling med innebygd personvern