Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Klumme: Den nye persondataforordning skal give alle EU-borgere bedre kontrol med personlige data. Derfor skal alle virksomheder bruge principperne om Privacy by Design og Privacy by Default. Det bliver dyrt. Men måske er det også en ny forretningsmulighed.

Den nye persondataforordning, som har til hensigt at give EU-borgere bedre kontrol med personlige data, indfører principperne om Privacy by Design and Privacy by Default for at følge med den teknologiske udvikling.

Privacy by Design og Privacy by Default
Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer.

Det betyder, at persondatabeskyttelse skal bygges ind i nye systemers og processers arkitektur.

Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at der kun behandles persondata, som er nødvendig for hvert enkelt formål med behandlingen, og især at data ikke indsamles og opbevares ud over det nødvenlige tidsrum til de specifikke formål, og at de kun opbevares i det tidsrum, der er nødvendigt for at levere produktet eller servicen.

Privacy by Design og Privacy by Default er gældende på alle niveauer, herunder for producenterne af enheder, programudviklere og sociale platforme.

Persondatabeskyttelse og sikkerhed skal være indarbejdet som standard og i udformningen af et program helt fra starten.

Typisk eksempel på overtrædelse
Eksempelvis vil du som en kommende bruger af en ny tjeneste - for eksempel et socialt medie - ved oprettelse af en profil skulle udlevere navn og e-mailadresse til udbyderen.

Men tjenesten behandler måske uden tilstrækkelig samtykke også andre personlige data, som for eksempel din lokation og dit køn, ligesom tjenesten gør dataene offentlig tilgængelige - og ikke kun for dine kontakter.

Dette vil nok være en type eksempel på overtrædelse af persondata-beskyttelsesprincipperne og derved af Privacy by Default-princippet, da der behandles flere informationer, end servicen kræver.

Denne situation kunne have været undgået ved at bruge Privacy by Design-konceptet, hvor producenten ville have indarbejdet tekniske og organisatoriske forholdsregler til at forudse og undgå denne overtrædelse, allerede før det sociale medie blev lanceret.

Hvorledes forpligtelsen mere praksis vil blive håndhævet, er ikke helt klart. Klart ligger det dog, at de lokale datatilsyn vil kunne bede virksomhederne om at dokumentere, at deres løsninger overholder kravene om Privacy by Design og Privacy by Default.

Og der er strenge straffe til virksomheder, som overtræder reglerne; virksomheder kan idømmes bøder på helt op til fire procent af den årlige omsætning for grove overtrædelser.

Fordelene
Nogle kunder er meget betænkelige ved, hvad der sker med de informationer, som de afgiver til virksomheder - især online.

Kravet om Privacy by Design and Default har til hensigt at give kunder - altså de registrerede - større kontrol med deres persondata og skal medvirke til at opbygge tillid til virksomheder, herunder online-tjenester.

Ulemperne
Modsat har nogle virksomheder kritiseret Privacy by Design og Default-koncepterne - ikke for den øgede kontrol, deres kunder vil få, men for de høje implementeringsomkostninger.

Nogle virksomheder vil skulle foretage betydelige investeringer for at sikre, at de overholder forordningen både indenfor og udenfor Europa.

Der har været meget fokus på store webbaserede virksomheder som Google, Facebook og Microsoft på grund af det store antal af tredjeparter, der benyttes i forbindelse med databehandlingen, og hvor der - for at implementere reglerne - kræves et højt niveau af samarbejde på et administrativt plan, og store omkostninger til drift og overvågning.

Dog er byrderne specielt tunge for små og mellemstore virksomheder.

Når der for eksempel skal udvikles et nyt produkt, skal hele udviklingsprocessen overholde forordningen, ligesom den løbende overvågning kan skrue omkostningerne til et nyt produkt kraftigt i vejret.

Dette kan blive en stor økonomisk belastning for virksomheder med små budgetter, for eksempel startups.

Men er det kun dårligt for forretningen?
Det kunne måske være nyttigt for virksomheder at se på kravene om Privacy by Design fra en anden synsvinkel.

Kundernes voksende betænkeligheder ved at afgive personlige oplysninger kunne ses som en ny forretningsmulighed.

Det er vigtigt, at kunder føler sig trygge og har tillid til servicen eller produktet, så ved at overholde den nye forordning kan en virksomhed måske skabe et produkt eller en service, som kunderne vil være trygge ved at anvende og derved gøre produktet eller servicen mere attraktiv.

I henhold til den nye Persondataforordning kan virksomheder endda få en certificering fra EU's tilsynsmyndighed, hvorefter virksomheden kan oplyse kunderne om, at de overholder forordningen og derfor kan betros personlige oplysninger og opnå en konkurrencemæssig fordel.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)

Læs også:

Store udfordringer for it-afdelingen: Disse ting fire skal du have styr på i den nye EU-persondatalov

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

CIO
Tak til 3: Det er modigt at stå frem og fortælle om problemer med it-kriminelle, der har stjålet data om tusindvis af kunder
Klumme: Vi skal huske at rose dem, der tør stå frem og fortælle, at it-kriminelle har stjålet data fra dem eller på anden måde skadet dem. Så mange tak til 3. Jeg håber, at dette baner vejen for, at andre virksomheder derude også vil stå frem.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Ræk ud for at skabe vækst
Som økonomisk ansvarlig erkender du behovet for konstant fokus på nye vækstmuligheder, for at være på konkurrencemæssig forkant og for at leve op til såvel kunders som interessenters forventninger. Læs hvordan i dette white paper.