Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Klumme: Den nye persondataforordning skal give alle EU-borgere bedre kontrol med personlige data. Derfor skal alle virksomheder bruge principperne om Privacy by Design og Privacy by Default. Det bliver dyrt. Men måske er det også en ny forretningsmulighed.

Den nye persondataforordning, som har til hensigt at give EU-borgere bedre kontrol med personlige data, indfører principperne om Privacy by Design and Privacy by Default for at følge med den teknologiske udvikling.

Privacy by Design og Privacy by Default
Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer.

Det betyder, at persondatabeskyttelse skal bygges ind i nye systemers og processers arkitektur.

Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at der kun behandles persondata, som er nødvendig for hvert enkelt formål med behandlingen, og især at data ikke indsamles og opbevares ud over det nødvenlige tidsrum til de specifikke formål, og at de kun opbevares i det tidsrum, der er nødvendigt for at levere produktet eller servicen.

Privacy by Design og Privacy by Default er gældende på alle niveauer, herunder for producenterne af enheder, programudviklere og sociale platforme.

Persondatabeskyttelse og sikkerhed skal være indarbejdet som standard og i udformningen af et program helt fra starten.

Typisk eksempel på overtrædelse
Eksempelvis vil du som en kommende bruger af en ny tjeneste - for eksempel et socialt medie - ved oprettelse af en profil skulle udlevere navn og e-mailadresse til udbyderen.

Men tjenesten behandler måske uden tilstrækkelig samtykke også andre personlige data, som for eksempel din lokation og dit køn, ligesom tjenesten gør dataene offentlig tilgængelige - og ikke kun for dine kontakter.

Dette vil nok være en type eksempel på overtrædelse af persondata-beskyttelsesprincipperne og derved af Privacy by Default-princippet, da der behandles flere informationer, end servicen kræver.

Denne situation kunne have været undgået ved at bruge Privacy by Design-konceptet, hvor producenten ville have indarbejdet tekniske og organisatoriske forholdsregler til at forudse og undgå denne overtrædelse, allerede før det sociale medie blev lanceret.

Hvorledes forpligtelsen mere praksis vil blive håndhævet, er ikke helt klart. Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default.

Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.

Fordelene
Nogle kunder er meget betænkelige ved, hvad der sker med de informationer, som de afgiver til virksomheder - især online.

Kravet om Privacy by Design and Default har til hensigt at give kunder - altså de registrerede - større kontrol med deres persondata og skal medvirke til at opbygge tillid til virksomheder, herunder online-tjenester.

Ulemperne
Modsat har nogle virksomheder kritiseret Privacy by Design og Default-koncepterne - ikke for den øgede kontrol, deres kunder vil få, men for de høje implementeringsomkostninger.

Nogle virksomheder vil skulle foretage betydelige investeringer for at sikre, at de overholder forordningen både indenfor og udenfor Europa.

Der har været meget fokus på store webbaserede virksomheder som Google, Facebook og Microsoft på grund af det store antal af tredjeparter, der benyttes i forbindelse med databehandlingen, og hvor der - for at implementere reglerne - kræves et højt niveau af samarbejde på et administrativt plan, og store omkostninger til drift og overvågning.

Dog er byrderne specielt tunge for små og mellemstore virksomheder.

Når der for eksempel skal udvikles et nyt produkt, skal hele udviklingsprocessen overholde forordningen, ligesom den løbende overvågning kan skrue omkostningerne til et nyt produkt kraftigt i vejret.

Dette kan blive en stor økonomisk belastning for virksomheder med små budgetter, for eksempel startups.

Men er det kun dårligt for forretningen?
Det kunne måske være nyttigt for virksomheder at se på kravene om Privacy by Design fra en anden synsvinkel.

Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed.

Det er vigtigt, at kunder føler sig trygge og har tillid til servicen eller produktet, så ved at overholde den nye forordning kan en virksomhed måske skabe et produkt eller en service, som kunderne vil være trygge ved at anvende og derved gøre produktet eller servicen mere attraktiv.

I henhold til den nye Persondataforordning kan virksomheder endda få en certificering fra EU's tilsynsmyndighed, hvorefter virksomheden kan oplyse kunderne om, at de overholder forordningen og derfor kan betros personlige oplysninger og opnå en konkurrencemæssig fordel.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også:

Store udfordringer for it-afdelingen: Disse ting fire skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Jens Højgaard skrev negativ anmeldelse på Trustpilot - nu er han blevet sagsøgt for 11.419 kroner
En negativ anmeldelse på Trustpilot om et inkassofirma har indtil videre kostet den selvstændige hvidevare-reparatør Jens Høgni Højgaard flere tusinde kroner og en tur i retten. Forklaringen er, at inkassofirmaet har forbudt kunder at udtale sig negativt i offentlighed om selskabet.
CIO
Lille it-virksomhed med 18 ansatte: "Sådan vinder vi de offentlige udbudsopgaver"
Hvis man er lille og vågen, kan man sagtens hugge de udbudsopgaver, der tidligere gik til de store firmaer. På et enkelt år er der næsten sket en fordobling i antallet af virksomheder under 20 personer, som vinder udbudsopgaver. Her kan du møde en af dem.
Comon
Så nemt installerer du en "ren" Windows 10 uden crapware
De fleste nye computere kommer med præ-installerede programmer, der kan gøre din computer langsom. Læs her, hvordan du let installerer Windows 10 uden crapware.
Channelworld
Overblik: Det ved vi efter første retsmøde i den store Atea-bestikkelsessag
Den første sag om bestikkelse af offentlige ansatte kører i disse dage, hvor offentlige ansatte anklages for at have modtaget bestikkelse fra it-giganten Atea.
White paper
Tjekliste: 10 tegn på, at du har behov for at modernisere din Backup og Recovery løsning
Gennemgå denne tjekliste for at afgøre, om dit miljø har behov for en mere moderne tilgang til backup og recovery. Hvis ikke du kan tjekke nogen af disse af, kan det være tid til at revurdere din databeskyttelse strategi.