For at håndtere databeskyttelse effektivt, skal persondatabeskyttelse tænkes med fra starten i udviklingsprocesser.

Databeskyttelse gennem design betyder, at virksomheder skal tage databeskyttelse med i deres overvejelser tidligt i udviklingsfasen og gennem hele processudviklingen af nye produkter, services eller ydelser, som indeholder behandling af personoplysninger. Begrebet databeskyttelse gennem standardindstillinger betyder, at når et system eller en ydelse gør, at den fysiske person kan vælge, hvor mange personoplysninger vedkommende vil dele med andre, skal standardindstillingerne være den, der sikrer mest mulig databeskyttelse.

Øget effektivitet

GDPR stiller krav om, at virksomheder tager stilling til databeskyttelse på et tidligt stadie. Databeskyttelse skal være en af ingredienserne i et nyt produkt eller en ny ydelse fremfor den sauce, der tilføjes til sidst. Det kan virke kompliceret, men det er faktisk lettere end først at træffe databeskyttelsesforanstaltninger i slutningen af designprocessen. Hvis man på forhånd tager stilling til, hvilke personoplysninger man ønsker at anvende hvilke formål, og hvordan det gøres, mindskes risikoen for, at man på et senere tidspunkt finder ud af, at det er teknologisk vanskeligt, dyrt eller ligefrem umuligt at efterleve.

Udviklingsprocessen bliver således mere effektiv, hvis man anvender begrebet databeskyttelse gennem design, ligesom det bliver nemmere at sikre gennemsigtighed over for de registrerede med databeskyttelse gennem standardindstillinger. Og netop gennemsigtighed er nøgleordet, når det gælder om at vinde kundernes tillid. Det er med andre ord ganske enkelt en god idé at anvende begreberne databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, og derfor har mange virksomheder allerede integreret disse begreber i deres udviklingsprocesser.

Hvordan integrerer man databeskyttelse gennem design?

Der skal tages stilling til adskillige aspekter, når databeskyttelse i designprocessen skal integreres:

  • Konsekvensanalyser viser vejen. Med GDPR skal virksomheder ikke blot overholde databeskyttelsesprincipper – De skal også kunne påvise det. For at vurdere, om en idé kan udvikles inden for rammerne af lovgivningen, er det fordelagtigt at foretage en konsekvensanalyse vedr. privatlivsbeskyttelse. En sådan konsekvensanalyse vil hjælpe jer til at identificere privatlivsrisiciene ved jeres nye design. Husk at gemme resultatet af den, så I senere kan dokumentere, hvad der ligger til grund for jeres beslutninger.
  • Etikken er fundamentet. De etiske aspekter skal overvejes tidligt i udviklingsprocessen. Det kan være nyttigt at stille spørgsmålet: Ville man selv anvende produktet eller ydelsen? En virksomhed skal tage stilling til, hvor gennemsigtig den vil være, og hvor meget den ønsker at vide om de registrerede.
  • Kommunikation er altafgørende. Det er vigtigt at overveje, hvordan kommunikationen med de registrerede tidligt i designfasen og gennem hele udviklingsprocessen. Der skal være klare kommunikationslinjer – også når noget går galt. Det skal stå klart for de registrerede, hvor de kan henvende sig, hvis de ønsker at vide mere om behandlingen af deres personoplysninger, og hvordan de kan gøre deres rettigheder gældende.
  • It-sikkerheden må ikke negligeres. Det er naturligvis vigtigt sikre passende it-sikkerhedsforanstaltninger og at gøre sig klart, hvordan datakvaliteten sikres, og hvad der skal ske med oplysningerne, når produktet eller ydelsen udgår.

Implementering
En vellykket implementering af både databeskyttelse gennem design og databeskyttelse gennem standardindstillinger kræver:

  1. At de medarbejdere, der har med udvikling af nye produkter og ydelser at gøre, har en tilstrækkelig grundviden om databeskyttelse. Der bør udarbejdes klare politikker, retningslinjer og arbejdsinstrukser vedr. databeskyttelse, og der bør være en databeskyttelsesekspert, der kan assistere ved anvendelsen af disse krav.
  2. At der tages hensyn til den udviklingsmetode virksomheden anvender, for at kunne anvende begreberne gennem hele udviklingsprocessen. Det vil gøre det muligt for virksomhedens udviklingsteams at træffe hensigtsmæssige foranstaltninger i de relevante faser.
  3. At et design, når det er færdigudviklet, tilpasses virksomheden og overvåges gennem hele dets levetid.

Win-win
Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger er formaliseringen af en god idé og en klar afspejling af GDPRs formål om at give de registrerede mere magt over deres personoplysninger. Disse begreber giver tilmed virksomheder mulighed for at øge effektiviteten og vinde de registreredes tillid, hvorfor de afledte effekter er positive for begge parter.