Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Klumme: Den nye persondataforordning skal give alle EU-borgere bedre kontrol med personlige data. Derfor skal alle virksomheder bruge principperne om Privacy by Design og Privacy by Default. Det bliver dyrt. Men måske er det også en ny forretningsmulighed.

Annonce:
Annonce:

Alt om den nye persondataforordning

I de kommende uger vil Martin von Haller Grønbæk i klummen her fortælle om den nye persondataforordning og dens enkelte dele. Fokus er på, hvad der er relevant for danske virksomheder. 

Klummerne lægger på til hans indlæg på Computerworlds store datasikkerhedsevent 27. januar 2016 og følger op herpå. 

Du kan læse den første klumme her:

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default. Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.
Den nye persondataforordning, som har til hensigt at give EU-borgere bedre kontrol med personlige data, indfører principperne om Privacy by Design and Privacy by Default for at følge med den teknologiske udvikling.

Privacy by Design og Privacy by Default
Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer.

Det betyder, at persondatabeskyttelse skal bygges ind i nye systemers og processers arkitektur.

Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at der kun behandles persondata, som er nødvendig for hvert enkelt formål med behandlingen, og især at data ikke indsamles og opbevares ud over det nødvenlige tidsrum til de specifikke formål, og at de kun opbevares i det tidsrum, der er nødvendigt for at levere produktet eller servicen.

Privacy by Design og Privacy by Default er gældende på alle niveauer, herunder for producenterne af enheder, programudviklere og sociale platforme.

Persondatabeskyttelse og sikkerhed skal være indarbejdet som standard og i udformningen af et program helt fra starten.

Typisk eksempel på overtrædelse
Eksempelvis vil du som en kommende bruger af en ny tjeneste - for eksempel et socialt medie - ved oprettelse af en profil skulle udlevere navn og e-mailadresse til udbyderen.

Men tjenesten behandler måske uden tilstrækkelig samtykke også andre personlige data, som for eksempel din lokation og dit køn, ligesom tjenesten gør dataene offentlig tilgængelige - og ikke kun for dine kontakter.

Dette vil nok være en type eksempel på overtrædelse af persondata-beskyttelsesprincipperne og derved af Privacy by Default-princippet, da der behandles flere informationer, end servicen kræver.

Denne situation kunne have været undgået ved at bruge Privacy by Design-konceptet, hvor producenten ville have indarbejdet tekniske og organisatoriske forholdsregler til at forudse og undgå denne overtrædelse, allerede før det sociale medie blev lanceret.

Hvorledes forpligtelsen mere praksis vil blive håndhævet, er ikke helt klart. Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default.

Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.

Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed.
Fordelene
Nogle kunder er meget betænkelige ved, hvad der sker med de informationer, som de afgiver til virksomheder - især online.

Kravet om Privacy by Design and Default har til hensigt at give kunder - altså de registrerede - større kontrol med deres persondata og skal medvirke til at opbygge tillid til virksomheder, herunder online-tjenester.

Ulemperne
Modsat har nogle virksomheder kritiseret Privacy by Design og Default-koncepterne - ikke for den øgede kontrol, deres kunder vil få, men for de høje implementeringsomkostninger.

Nogle virksomheder vil skulle foretage betydelige investeringer for at sikre, at de overholder forordningen både indenfor og udenfor Europa.

Der har været meget fokus på store webbaserede virksomheder som Google, Facebook og Microsoft på grund af det store antal af tredjeparter, der benyttes i forbindelse med databehandlingen, og hvor der - for at implementere reglerne - kræves et højt niveau af samarbejde på et administrativt plan, og store omkostninger til drift og overvågning.

Dog er byrderne specielt tunge for små og mellemstore virksomheder.

Når der for eksempel skal udvikles et nyt produkt, skal hele udviklingsprocessen overholde forordningen, ligesom den løbende overvågning kan skrue omkostningerne til et nyt produkt kraftigt i vejret.

Dette kan blive en stor økonomisk belastning for virksomheder med små budgetter, for eksempel startups.

Men er det kun dårligt for forretningen?
Det kunne måske være nyttigt for virksomheder at se på kravene om Privacy by Design fra en anden synsvinkel.

Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed.

Det er vigtigt, at kunder føler sig trygge og har tillid til servicen eller produktet, så ved at overholde den nye forordning kan en virksomhed måske skabe et produkt eller en service, som kunderne vil være trygge ved at anvende og derved gøre produktet eller servicen mere attraktiv.

I henhold til den nye Persondataforordning kan virksomheder endda få en certificering fra EU's tilsynsmyndighed, hvorefter virksomheden kan oplyse kunderne om, at de overholder forordningen og derfor kan betros personlige oplysninger og opnå en konkurrencemæssig fordel.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også:

Store udfordringer for it-afdelingen: Disse ting fire skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Annonce:



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Test af 10-kernet entusiastprocessor: i7-6950X er et monster uden lige
Det her er den vildeste processor til entusiastiske forbrugere, men har du egentlig brug for så meget brutal kraft?
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Undgå risici i Public Cloud
I denne rapport: Råd, analyse og indblik, som hjælper med at maksimere gevinsterne og minimere risici ved åbne cloud-løsninger.