Ivaretar din teknologiske tjeneste kravet til innebygd personvern?
GDPR stiller krav til at teknologiske tjenester må ha «innebygd personvern» og ytterligere at tjenester skal ha «personvern som standardinnstilling». På engelsk kalles dette «privacy by design and by default». Kravet til innebygd personvern angår alle som behandler personopplysninger, men det er særlig viktig ved utviklingen av teknologiske løsninger som programvare, apper og nettsider.
Personvern og informasjonssikkerhet skal hensyntas i hvert steg av en utviklingsprosess; ved spesifikasjonsarbeidet, design, programmering og testing samt drift og vedlikehold. Dersom personvern er i fokus allerede i planleggingsfasen av løsningen, vil det være enklere å overholde kravet til innebygd personvern og personvern som standardinnstilling. Fokus på å skape et «GDPR-vennlig» produkt på et tidlig stadium vil i tillegg gjerne være kostnadsbesparende, fordi man slipper å gjøre endringer senere.
En leverandør av en teknologisk tjeneste er typisk databehandler for sine kunder. Kunden er da behandlingsansvarlig og har ansvaret for å sørge for at løsningen oppfyller kravet til innebygd personvern. En av leverandørens oppgaver er å sette kunden i stand til å oppfylle sine forpliktelser. En leverandør som er i stand til å utvikle og presentere en løsning som gjør at kundene blir trygge på at de kan oppfylle sine plikter, vil ha et stort konkurransefortrinn sammenlignet med andre leverandører.
I denne artikkelen skal vi se nærmere på innebygd personvern og personvern som standardinnstilling og hvordan man kan sikre at tjenesten man leverer, ivaretar kravet til innebygd personvern i praksis.
Hva er innebygd personvern?
Innebygd personvern eller «privacy by design» er et begrep som ble introdusert og utviklet allerede på 1990-tallet. Kort fortalt betyr innebygd personvern at løsningen har mekanismer som sørger for å ivareta personvernprinsippene og de registrertes rettigheter. Innebygd personvern skal sikre at bruk av løsningen skjer i overensstemmelse med personvernregelverket.
Kravet til innebygd personvern fremgår av GDPR artikkel 25. Det finnes også andre relevante kilder som sier noe om hva kravet til innebygd personvern innebærer, slik som det europeiske personvernrådets («Personvernrådet» eller «EDPB») egen veileder om GDPR artikkel 25. Vi vil vise til en rekke uttalelser og eksempler fra veilederen i denne artikkelen.
Merk at Datatilsynet også har en egen veileder for programvareutvikling med innebygd personvern, som finnes her. Veilederen er rettet mot utviklere, arkitekter, prosjektledere, testere og personvern- og sikkerhetsrådgivere.
Det norske Datatilsynet gir hvert år ut en pris til en aktør som på en god måte har implementert innebygd personvern og personvern som standardinnstilling i sin løsning/behandling. For 2020 gikk løsningen «Anonyme Tokens» av med seieren i Datatilsynets konkurranse om innebygd personvern i praksis. Den nyutviklede løsningen, som er basert på kryptografi, kan brukes for å anonymisere personopplysninger. Løsningen ble implementert i Folkehelseinstituttets Smittestopp-app for å øke anonymiteten til de som har testet positivt for koronaviruset.
Egnede tiltak for sikre innebygd personvern i din teknologiske tjeneste
GDPR artikkel 25 stiller krav til at det skal gjennomføres «egnede tekniske og organisatoriske tiltak» for å sikre etterlevelse av personvernprinsippene og ivaretakelse av de registrertes rettigheter. Videre skal personvern bli innlemmet som en standardinnstilling i teknologiske systemer, for å sikre at behandlingen i systemet er nødvendig og proporsjonal. Standardinnstillingene skal sikre at det kun er nødvendige personopplysninger som samles inn, i tråd med prinsippet om dataminimering.
For å kunne utvikle en teknologisk løsning som oppfyller kravet til innebygd personvern, er kunnskap om personvernprinsippene og rettighetene til de registrerte, avgjørende. Sørg derfor for at de ansatte har en grunnleggende forståelse for disse elementene. Denne kunnskapen er viktig for både kunden og leverandøren.
Personvernrådet har uttalt at innebygd personvern skal implementeres før behandling av personopplysninger påbegynnes, og at tiltakenes egnethet og effektivitet kontinuerlig skal vurderes underveis i behandlingen. Som leverandør av en teknologisk løsning er det derfor viktig å kunne vise kunden hvordan kravet til innebygd personvern er (eller vil bli) ivaretatt i løsningen. På den måten kan kunden være trygg på å ta løsningen i bruk.
Den kontinuerlige vurderingen underveis i behandlingen (dvs. etter at løsningen er tatt i bruk) vil kunden ofte måtte stå for selv. Alle leverandører må imidlertid kunne svare på spørsmål og gi tilstrekkelig informasjon til kunden slik at de blir i stand til å foreta en egen vurdering.
Det er en fordel om leverandøren har kunnskap om og fokus på kravet til innebygd personvern i utviklingsprosessen, som utvikler tjenesten. Leverandøren kan foreslå løsninger knyttet opp mot kundens spesifikasjoner, som gjør det enklere å oppfylle kravet til innebygd personvern. Det beste resultatet oppnås dersom både kunden og leverandøren har kompetanse om personvernreglene og kravet til innebygd personvern, og dersom partene sammen finner frem til hvilken funksjonalitet som skal utvikles og implementeres.
Vi skal i det følgende se nærmere på de ulike personvernprinsippene og egnede tiltak for kunne å oppfylle forpliktelsene i GDPR artikkel 25.
Organisatoriske tiltak
Kunden må kartlegge sine egne behandlingsaktiviteter og vurdere sine behandlingsgrunnlag, og deretter få på plass nødvendige rutiner. Rutinene skal sikre at personvernprinsippene og -rettighetene overholdes ved behandlingen. Rutinene må ses i sammenheng med den teknologiske løsningen og dens funksjoner. Organisatoriske tiltak er som regel nødvendig for at de tekniske tiltakene skal oppfylle sin funksjon.
For eksempel må kunden ha en rutine for å håndtere en sletteforespørsel fra en registrert. Rutinen kan inneholde bestemmelser om at forespørselen skal besvares innen 30 dager samt at saksbehandleren må inn i den tekniske løsningen for å finne og deretter slette opplysninger. (Dette er organisatoriske tiltak). I den tekniske løsningen er det funksjonalitet på plass for å kunne gjenfinne den registrerte og eventuelt slette opplysninger om vedkommende. (Dette er tekniske tiltak). Dersom det ikke foreligger rutiner og mekanismer som sørger for at personopplysninger kan slettes, vil dette i utgangspunktet være et brudd på kravet til innebygd personvern og dermed personvernregelverket.
Videre er tilgangsstyring et viktig tiltak som skal sikre personvernprinsippene om integritet, konfidensialitet og tilgjengelighet. Personopplysninger skal ikke gjøres tilgjengelig for et ubegrenset antall personer. Dette er et tiltak som ofte må sikres både organisatorisk og teknisk.
Tekniske tiltak
Pseudonymisering, kryptering og anonymisering
I GDPR artikkel 25 nr. 1 nevnes pseudonymisering som et spesifikt tiltak. Andre lignende tiltak er kryptering og anonymisering. Formålet med pseudonymisering, kryptering og anonymisering er å redusere risikoen for uberettiget tilgang til personopplysninger og overholde prinsippene om formålsbegrensning og konfidensialitet.
Pseudonymisering innebærer at personopplysninger ikke lenger kan knyttes til en bestemt fysisk person, uten bruk av tilleggsopplysninger. Tilleggsopplysningene skal holdes adskilt fra de resterende dataene. Pseudonyme personopplysninger kan også kalles for indirekte identifiserbare personopplysninger.
Pseudonymisering kan gjøres ved at en identifiserende personopplysning, slik som for eksempel e-postadresse, erstattes med et pseudonym. For eksempel kan man bruke en pseudonym e-postadresse («bruker1@virksomhet.no») i stedet for en direkte identifiserende e-postadresse («navn.etternavn@virksomhet.no»). Ved pseudonymisering kan personopplysningene re-identifiseres ved bruk av tilleggsinformasjon. For eksempel vil det vanligvis være behov for å holde en oversikt over hvilken fysisk person som bruker hvilken pseudonym e-postadresse. Denne oversikten vil i dette eksempelet være «tilleggsinformasjon» som kan re-identifisere e-postadressen og data knyttet til den.
Ved kryptering endres et sett av leselig kodetekst til tilsynelatende tilfeldige verdier. Kryptering kan bli reversert ved å benytte en dekrypteringsnøkkel. Når data er kryptert er dataene vanligvis ikke til nytte før de blir dekryptert ved bruk av nøkkelen, fordi dataene ikke vil være leselige/forståelige.
Ved anonymisering skal muligheten til å identifisere enkeltpersoner i et datasett fjernes. Prosessen skal være irreversibel (i motsetning til pseudonymisering). Anonymiserte data er ikke lenger å betrakte som personopplysninger etter personvernlovgivningen, i motsetning til pseudonymiserte og krypterte data. Ved blant annet bruk av analyseverktøy og «big data» teknologi, er det imidlertid en fare for (utilsiktet) re-identifisering. Risikoen for re-identifisering skal jevnlig evalueres.
Alle tiltakene ovenfor er anerkjente sikkerhetstiltak. Det finnes flere ulike tekniske metoder for å utføre de ulike tiltakene og det finnes også ulike nivåer av sikkerhet innenfor de ulike tiltakene. Hvilke av tiltakene og metodene som bør benyttes, og hvilket sikkerhetsnivå som bør implementeres, avhenger av det konkrete tilfellet og graden av risiko. For å kunne identifisere og innføre organisatoriske og tekniske tiltak tilpasset din tjeneste, er det nødvendig å kjenne til personvernprinsippene. Det kan leses mer om de enkelte personvernprinsippene nedenfor.
Formålsbegrensning – det skal kun samles inn personopplysninger for bestemte, uttrykkelig angitte og lovlige formål
Formålet med behandlingen skal være klart angitt før behandlingen begynner. Den behandlingsansvarlige er den som fastsetter formålene. I en utviklingsprosess bør formålene med tjenesten være angitt og identifisert allerede som en del av spesifikasjonsarbeidet. Angivelser av formål før behandlingen starter, skal blant annet motvirke såkalt «function creep», hvor bruken av teknologi benyttes utover det uttrykte formålet.
Et eksempel på «function creep» fra det norske Datatilsynet, er en sak mot Statens vegvesen (kan leses her). I denne saken hadde Statens vegvesen benyttet personopplysninger fra fastmonterte veikameraer for å overvåke kontraktsparter, ansatte, underleverandører og ansatte hos underleverandørene. Det egentlige formålet var sikkerhet. Bruken av kameraopptakene til blant annet kontraktsoppfølging, var ikke forenlig med det opprinnelige sikkerhetsformålet.
Dataminimering – behandlingen skal begrenses til det som er nødvendig for å oppfylle formålet med behandlingen
Prinsippet om dataminimering innebærer at det ikke skal behandles flere personopplysninger enn det som er nødvendig for å oppfylle formålet med behandlingen. Opplysningene skal heller ikke behandles i større grad enn det som er nødvendig. Før behandlingen startes, må behandlingsansvarlig derfor fastsette formålene med behandlingen, avgjøre hvilke opplysninger som er nødvendige for de enkelte formålene og vurdere hvilke tiltak som bør iverksettes for å sikre dataminimering.
For en online nettbutikk vil det f.eks. sjelden være nødvendig at kjøperen skal oppgi opplysninger som kjønn, for at vare-/ tjenesteleverandøren skal kunne oppfylle kjøpsavtalen og levere varene/tjenestene. Dette selv om slike opplysninger kan være interessante av statistiske grunner. Dersom det kun er tale om levering av tjenester digitalt, vil det også sjelden være nødvendig å samle inn opplysninger om kjøperens bostedsadresse, med mindre det skal sendes en faktura per post.
Dataminimering kan blant annet ivaretas teknisk ved at løsningen begrenser hvilke opplysninger som kan samles inn, f.eks. ved bruk av forhåndsbestemte lister over ulike kategorier, slik som land eller nasjonalitet. Flere og flere tar i bruk egne «chatboter» med forhåndsutfylte spørsmål, som også vil kunne bidra til at det ikke samles inn flere opplysninger enn nødvendig.
Datatilsynet ila Oslo kommune et gebyr på 1,2 millioner i den såkalte «Skolemelding-saken» i 2019. Oslo kommune hadde tatt i bruk en teknologisk tjeneste hvor foresatte kunne fylle inn opplysninger om sine barn eller gi beskjed om fravær i et fritekstfelt. På denne måten ble det lagt til rette for at det kunne kommuniseres sensitive personopplysninger om barna. Datatilsynet uttalte at dersom innebygd personvern hadde vært hensyntatt, ville det ikke vært et fritekstfelt i tjenesten, men heller en nedtrekksliste eller avkrysningsbokser.
På bakgrunn av Datatilsynets uttalelser i Skolemelding-saken bør teknologiske tjenester, om mulig, være uten fritekstfelt for å sørge for at innsamling av personopplysninger begrenses til det som er nødvendig. Spesielt dersom det samles inn personopplysninger om sårbare grupper som barn eller andre sensitive personopplysninger.
For enkelte formål vil det også være nødvendig å vurdere om det i det hele tatt er behov å behandle personopplysninger og identifisere de registrerte. Dersom formålet er statistikk, vil det sjelden være behov for å identifisere de enkelte registrerte. Identifikatorer som navn og kjønn, burde derfor slettes eller anonymiseres, så snart de ikke lenger er nødvendige for å oppnå formålet. Dersom identifikasjon av de registrerte fortsatt er nødvendig for andre behandlingsaktiviteter og formål, bør graden av identifikasjon minimeres gjennom f.eks. pseudonymisering. Dette for å fremme personvernet og redusere risikoen for uberettiget tilgang.
Dersom formålet kan oppnås uten bruk av identifiserbare opplysninger, skal identifiserbare opplysninger ikke benyttes i behandlingen. Dette ble vurdert i Datatilsynets sak overfor Norges Idrettsforbund (NIF), heretter omtalt som «Norges Idrettsforbund-saken». Datatilsynet kom til at testing av løsningen kunne og skulle vært gjennomført ved bruk av syntetiske data eller ved bruk av langt færre personopplysninger.
Lagringsbegrensning – personopplysninger skal ikke lagres lenger enn nødvendig for å oppfylle formålet med behandlingen
Et godt eksempel på et teknisk tiltak som kan settes som en standardinnstilling, er funksjonalitet som automatisk sletter personopplysninger når en angitt lagringstid er nådd. Dette vil blant annet bidra til å ivareta prinsippet om lagringsbegrensning. Dersom lagringstiden i tillegg kan justeres, vil det gjøre det enklere for den behandlingsansvarlige å overholde kravet til sletting over tid.
Lagringstiden vil variere basert på hvilke personopplysninger det er tale om og behandlingens formål. Selve lagringstiden/slettetidspunktet fastsettes av den behandlingsansvarlige. Den behandlingsansvarlige må med bakgrunn i dette sørge for at lagringstidene for de ulike personopplysningene er fastsatt og opplyse leverandøren om disse. Alternativt kan løsningen åpne for at behandlingsansvarlig selv angir og eventuelt justerer lagringstidene i løsningen. Leverandørens oppgave er da å sørge for at løsningen fungerer i tråd med kundens krav.
Dersom en løsning brukes av ansatte hos en kunde, kan f.eks. formålet med behandlingen ofte være oppfylt dersom den ansatte slutter i virksomheten. Dette kan fanges opp ved at den ansatte eller virksomheten varsler om fratredelsen til leverandøren og som deretter sletter opplysningene. Alternativt kan løsningen legge opp til at brukeren eller virksomheten selv går inn og sletter i slike tilfeller. Det samme gjelder dersom en bruker har vært inaktiv over lengre tid. Mange løser dette ved å varsle brukeren i forkant og gi mulighet til å reaktivere brukeren eller å hente ut eventuelle opplysninger før de slettes.
Sletting skal omfatte alle personopplysninger som er lagret på ulike medier, inkludert sikkerhetskopier og logger. Automatisert funksjonalitet for sletting burde derfor også omfatte sikkerhetskopier og logger.
Prinsippet om åpenhet - Informasjon om bruk av personopplysninger skal være lett tilgjengelig for de registrerte og de registrerte bør ha kontroll over egne opplysninger
Den behandlingsansvarlige har plikt til å gi de registrerte informasjon om hvordan deres personopplysninger behandles. Dersom noen personopplysninger er nødvendige for å oppnå formålet med behandlingen, mens andre opplysninger kan oppgis frivillig, bør dette fremkomme tydelig i informasjonen som gis. Informasjonen må være lett tilgjengelig og gis på en slik måte at det er høy sannsynlighet for at den registrerte får med seg informasjonen.
Ved å tilrettelegge for at informasjon kan gis på riktig sted og til riktig tid, kan leverandøren sørge for at kunden kan overholde sin informasjonsplikt. Dette gjøres f.eks. gjennom bruk av samtykkeerklæringer og personvernerklæringer. Chattefunksjoner som gir de registrerte mulighet til å kommunisere direkte med kunden, kan være et annet nyttig verktøy for sikre effektiv informasjonsutveksling med de registrerte.
Gjennom brukerprofiler med oversikt over f.eks. ordrehistorikk i en nettbutikk, kan den registrerte få innsyn i behandlingen av egne opplysninger. Ved å gi den registrerte tilgang til egne data bidrar virksomheten til åpenhet om behandlingen.
Riktighet – personopplysninger skal være korrekte og holdes oppdaterte
I mange tjenester blir brukerne bedt om å sjekke at deres opplysninger stemmer. Dette er en måte å sørge for at opplysningene er oppdaterte og riktige, og vil bidra til å ivareta prinsippet om riktighet. Den behandlingsansvarlige skal sørge for at uriktige data blir rettet eller slettet, eller eventuelt gjøre den registrerte i stand til å gjøre dette selv direkte i løsningen.
Prinsippet om riktighet er svært viktig i enkelte sammenhenger, og behandling av uriktige opplysninger kan utgjøre en risiko for de registrertes rettigheter og friheter. Feil informasjon kan lede til at det tas uriktige beslutninger av økonomisk betydning for den registrerte, eller, enda verre, få fatale konsekvenser. I verste fall kan feilinformasjon føre til feildiagnosering eller feilbehandling av pasienter.
Ved bruk av avanserte algoritmer og kunstig intelligens («KI») er det også en risiko for at personopplysningene som samles inn og benyttes, er uriktige. Ved opplæring av KI må det derfor tas ekstra forholdsregler for å sikre at dataene som benyttes er korrekte, slik at den etterfølgende behandlingen gir et riktig resultat.
For å motvirke at det samles inn og behandles uriktige opplysninger, bør data innhentes fra sikre kilder som oppdateres jevnlig, spesielt ved bruk av KI. Den behandlingsansvarlige bør ofte være varsom og kritisk, dersom kilden er andre enn den registrerte selv. Verifisering av opplysninger bør gjøres i enkelte sammenhenger, f.eks. verifisering av alder til en bruker, for å sikre at brukeren er gammel nok til å ta i bruk tjenesten.
Rettferdighet – personopplysninger skal ikke behandles på en måte som er diskriminerende m.m.
Rettferdighet er et overordnet prinsipp som innebærer at personopplysninger ikke skal behandles på en måte som er uberettiget, skadelig, ulovlig, diskriminerende, uventet eller villedende. Behandlingen skal samsvare med de registrertes rimelige forventninger.
Ved bruk av algoritmer, er det en risiko for at behandlingsaktivitetene gradvis endres over tid. Ifølge veiledningen til Personvernrådet skal det regelmessig vurderes om algoritmene fungerer i tråd med de angitte formålene. Algoritmene skal justeres for å redusere og avdekke skjevheter og sikre rettferdighet i behandlingen.
Standardinnstillingene for behandlingen bør ikke være påtrengende, og eventuell frivillig viderebehandling som baseres på et samtykke, bør presenteres på en måte som ikke presser den registrerte til å gi et samtykke. Dette gjelder spesielt i tilfeller hvor samtykket innebærer at den registrerte avgir en stor mengde data og hvor dataene tas i bruk for formål knyttet til direkte markedsføring. I slike tilfeller fremholder Personvernrådet i deres veiledning, at alternativene mellom å samtykke og å ikke avgi samtykke, skal presenteres som to likeverdige og synlige valg. I praksis betyr det at valget ikke kan stå mellom «jeg samtykker» og «les mer», men «jeg samtykker» og «jeg samtykker ikke».
Et annet eksempel som Personvernrådet trekker frem i deres veiledning, er tilfeller hvor det tilbys en tjeneste gjennom et «standard» og «premium»-abonnement. Dersom det er inkludert «prioritert» kundeservice i et premium-abonnement, kan dette ikke inkludere henvendelser knyttet til den registrertes rettigheter etter GDPR. Registrerte med et standard-abonnement kan med andre ord ikke nedprioriteres når det kommer til håndhevelse av deres rettigheter; alle registrerte skal behandles likt.
IT-sikkerhet – beskyttelse mot uautorisert tilgang og ulovlig databehandling
Den behandlingsansvarlige skal sørge for å iverksette tekniske tiltak for å beskytte mot uautorisert tilgang til, ulovlig behandling av og tap, ødeleggelse eller skade av personopplysninger. Det må implementeres tiltak som motvirker sikkerhetsbrudd og andre avvik. Leverandøren vil ofte være nærmest til å kunne avgjøre hvilke tiltak som er egnet for å oppnå tilstrekkelig beskyttelse.
Sikkerhet er helt elementært og et viktig fundament for ethvert teknisk system. Sikkerhetsbrudd kan potensielt ha store konsekvenser. Sikkerhet burde derfor være øverst på prioriteringslisten. Svakheter i systemet og risikoen for sikkerhetsbrudd må vurderes, for deretter å avgjøre hvilke tiltak som bør implementeres.
Å gjennomføre jevnlige sikkerhetstester for å avdekke sårbarheter i tjenesten, vil i de fleste tilfeller være nødvendig for å oppfylle kravet til innebygd personvern og informasjonssikkerhet. Ved gjennomføring av sikkerhetstester bør fiktive testdata benyttes og her er syntetisering en metode som muliggjør dette.
Tilgangskontroll er et annet viktig sikkerhetstiltak. Bare autorisert personell som trenger det, skal ha tilgang til personopplysninger som er nødvendige for behandlingsoppgavene og til serveren/området hvor opplysningene lagres. Den behandlingsansvarlige skal kunne skille mellom ulike tilgangsrettigheter til autorisert personell.
Desentralisert lagring vs. sentral lagring kan også minimere risikoen for avvik, ved at behandlingen begrenses i omfang og tilgang. Desentralisert lagring vil også ofte bety bedre sikkerhet, f.eks. ved lagring hos anerkjente skytjenesteleverandører. Dersom opplysningene anonymiseres eller krypteres før de overføres til en desentralisert tredjepartsløsning, kan dette innebære at tredjepartsleverandøren ikke får tilgang til personopplysningene, og risikoen med behandlingen minimeres. Fordelen med sentralisert lagring vil kunne være raskere og mer nøyaktige resultater. Denne fordelen må veies opp mot risikoen med behandlingen etter dens art.
Personvernrådet anbefaler i deres veiledning at det tas sikkerhetskopier/logger som et sikkerhetstiltak og at sikkerhetshendelser håndteres raskt. Det anbefales også at sikkerhetskopier/logger pseudonymiseres, for å minimere risikoen for uautorisert og utilsiktet tilgang og endring, f.eks. ved bruk av «hashing» eller kryptering.
Hvilke tekniske tiltak er tilstrekkelige for å oppfylle kravet til innebygd personvern?
Innledning
Hvilke tiltak som er nødvendige for å oppfylle kravet til innebygd personvern, er avhengig av hvilket formål tiltaket skal fylle og risikoen ved behandlingen.
Prinsippet om dataminimering nevnes spesifikt i GDPR art. 25, og er det eneste personvernprinsippet som fremheves i bestemmelsen. Dette tyder på at prinsippet er grunnleggende for å overholde kravet til innebygd personvern og personvern som standardinnstilling, og at tiltak for å overholde prinsippet om dataminimering burde prioriteres.
En rekke forhold, som den teknologiske utviklingen, gjennomføringskostnadene og behandlingens art og omfang, skal hensyntas ved vurderingen av hvilke tiltak som skal iverksettes. Disse momentene listes opp i GDPR artikkel 25 nr. 1.
Personvernrådet uttaler i sin veileder at det i utgangspunktet ikke kreves implementering av noen spesifikke tiltak. Det må derfor alltid foretas en egen vurdering av behovet. Tiltakene som iverksettes bør kunne skaleres for å møte et endret risikobilde og evalueres jevnlig for å sikre at personvernprinsipper og rettigheter kontinuerlig blir ivaretatt.
Personvernrådet påpeker også at kravene etter GDPR artikkel 25 ikke er lavere for små- og mellomstore bedrifter («SMB»). For SMB anbefaler Personvernrådet at det bør gjøres risikovurderinger tidlig, at man begynner i det små, med mindre behandlingsaktiviteter, at man velger samarbeidspartnere og leverandører med gode referanser, følger med på råd og anbefalinger fra myndighetene og søker profesjonell hjelp ved behov.
Hva er risikoen?
I likhet med GDPR artikkel 24, 32 og 35, legges det i artikkel 25 opp til en risikobasert tilnærming når det skal avgjøres hvilke tiltak som er tilstrekkelige. Hvilken risiko tjenesten er utsatt for, må identifiseres og evalueres for det konkrete tilfellet. Tiltak må deretter iverksettes for å redusere risikoen, slik at den er akseptabel for virksomheten.
Ved behandling av særlige kategorier av personopplysninger vil risikoen generelt være høyere enn ved behandling av alminnelige personopplysninger. Denne risikoen forhøyes dersom opplysningene også omfatter opplysninger av privat karakter og mer sårbare grupper, som f.eks. barn, noe som var tilfellet i Skolemelding-saken.
Den teknologiske utviklingen
Ved utvikling av teknologiske tjenester skal «best practice» og anerkjente standarder innenfor det aktuelle området benyttes.
Den teknologiske utviklingen krever at både kunder og leverandører holder seg oppdatert på nye tekniske metoder, slik som syntetisering av testdata eller metoder for kryptering. Over tid vil implementerte tiltak kunne bli utdaterte og det kreves da at disse oppdateres.
Gjennomføringskostnadene
Dersom det finnes tiltak som er mindre kostbare og/eller mindre tidkrevende, og som kan være like egnet til å oppnå formålet, kan disse benyttes. Personvernrådets uttalelser tilsier likevel at kostnader ikke skal tillegges stor betydning og at det generelt skal forventes at behandlingsaktiviteter ikke foregår i strid med personvernprinsippene. De valgte tiltakene skal sikre at behandlingsaktiviteter ikke gjøres i strid med personvernprinsippene, uavhengig av kostnadene.
Med et stort nok budsjett, kan det utvikles algoritmer som gjør at forespørsler om innsyn, retting og sletting besvares eller at opplysninger anonymiseres i det lagringstiden er utløpt, alt på automatikk. Dette kan være relevant for en del tjenester, men ikke alle.
Behandlingens art
Behandlingens art omfatter karakteristikken av behandlingen. Karakteristikker som vil tilsi at tiltakene bør skjerpes, kan blant annet være automatisert behandling eller skjevhet i maktfordelingen i relasjonen mellom behandlingsansvarlig og den registrerte.
Særlig praktisk er behandling av helsedata. I slike tilfeller vil behandlingens art tilsi at risikoen ved behandlingen er høyere enn ved behandlingen av alminnelige personopplysninger og at det dermed må iverksettes strengere tiltak. Ved behandling av helsedata bør f.eks. tiltak som kryptering iverksettes før dataene eventuelt overføres til tredjeparter. Det kan også finnes særregler, herunder bransjenormer, som må hensyntas ved behandling av helsedata.
Konsekvenser ved manglende innebygd personvern
Dersom en teknologisk tjeneste ikke overholder kravet til innebygd personvern, kan bruk av løsningen innebære et brudd på personvernregelverket.
Brudd på personvernregelverket kan svekke tilliten hos kunder, brukere av den teknologiske løsningen og de registrerte. Svekket tillit kan få negative konsekvenser for leverandøren av løsningen. Ytterligere kan brudd på personvernregelverket gi et dårlig omdømme i bransjen og i media.
Datatilsynet er tilsynsmyndighet for personvernregelverket i Norge, og de har myndighet til å sanksjonere brudd på regelverket. Datatilsynet kan f.eks. pålegge endringer eller stans av behandlingen; dette kan f.eks. innebære at bruk av tjenesten må avsluttes. Dersom pålegget ikke overholdes av den ansvarlige innen en gitt frist, kan Datatilsynet også fastsette en tvangsmulkt (dagbot) som løper for hver dag som går etter utløpet av fristen og inntil pålegget oppfylles. Ytterligere kan Datatilsynet for enkelte overtredelser ilegge overtredelsesgebyr (administrativ bot) på opptil 20 millioner euro eller 4 % av årlig omsetning.
De registrerte som er omfattet av et brudd på regelverket kan ha rett til erstatning for både økonomisk og ikke-økonomisk tap.
Mange saker som er oppe for Datatilsynet i Norge og tilsynsmyndigheter i andre land, handler i bunn og grunn om manglende innebygd personvern. Merk at brudd på kravet til innebygd personvern ofte vil innebære at også andre grunnleggende bestemmelser i personvernregelverket har blitt brutt. Eksempler på slike saker er:
Datatilsynet ila Oslo kommune et overtredelsesgebyr på 1,2 millioner i Skolemelding-saken i 2019 11. oktober 2019.
Overtredelsesgebyret ble ilagt på bakgrunn av flere forhold; manglende sikkerhetstesting før lansering, som førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over, manglende sikkerhet rundt innlogging i appen som gjorde det mulig for uvedkommende å få tilgang til og endre personopplysninger til mer enn 63 000 barn, samt bruk av fritekstfelt. Disse forholdene ble ansett for å være i strid med kravet til innebygget personvern.
Datatilsynet vedtok overtredelsesgebyr på kr 400 000 til Statens vegvesen 25. august 2020.
Bakgrunnen for vedtaket i Statens vegvesen-saken, var brudd på prinsippet om formålsbegrensning og prinsippet om lagringsbegrensning.
Datatilsynet vedtok overtredelsesgebyr på kr 1 250 000 til Norges Idrettsforbund (NIF) 11. mai 2021.
I Norges Idrettsforbund-saken lå personopplysninger om 3,2 millioner nordmenn, deriblant opplysninger om barn, tilgjengelig på nett i 87 dager etter en test av en skyløsning. Datatilsynet uttalte at NIF ikke hadde implementert nødvendige tekniske og organisatoriske tiltak for å forhindre avviket.
Overtredelsesgebyr på kr 400 000 ble ilagt BRABank ASA 28. mai 2021.
BRABank avdekket at noen kunder fikk tilgang til andre kunders låneforhold da banken lanserte «Min Side». Datatilsynet konkluderte med at kravene til risikovurdering og egnede tekniske tiltak (testing) i forbindelse med lansering av kundeportalen, ikke var oppfylt. Det ble uttalt at dersom risikovurdering og testing i tråd med loven hadde vært gjennomført, kunne bruddet vært forebygget. På denne bakgrunn ble BRABank ASA ilagt overtredelsesgebyr.
Oppsummering – hvor bør du begynne?
GDPR artikkel 25 stiller krav til innebygd personvern. For å overholde regelverket, må du være kjent med personvernprinsippene, de registrertes rettigheter og sørge for at din teknologisk løsning kan brukes i overensstemmelse med disse. Skaff deg nødvendig kunnskap og oversikt. Identifiser og gjennomfør egnede tiltak, som f.eks. jevnlige tester av løsningen og kryptering av personopplysninger.
Dersom din teknologiske løsning ikke oppfyller disse kravene, må du sette opp en prioriteringsliste og implementere endringer i tjenesten. Gjennomfør risikovurderinger. Prioriter de mest risikofylte manglene i tjenesten og få på plass funksjonalitet som gir økt sikkerhet og bedre personvern. Endringer som kan iverksettes uten store kostnader og som skal ivareta de registrertes rettigheter, som funksjonalitet for sletting av personopplysninger, bør komme høyt opp på listen.
Jo tidligere man får kontroll over bedriftens håndtering av personopplysninger, jo bedre. God oversikt på et tidlig stadium vil kunne motvirke at store endringer må iverksettes på et senere tidspunkt, og kan forhindre sanksjonering fra tilsynsmyndighetene for brudd på personvernregelverket. Både du som leverandør og dine kunder, kan få bøter ved brudd på personregelverket.
Det å kunne markedsføre at en teknologisk tjeneste har innebygd personvern, vil kunne gi konkurransefordeler i markedet. Leverandører som prioriterer personvern og som tilbyr løsninger som er egnet til å overholde personvernreglene på en smidig måte, vil derfor ofte bli prioritert foran andre leverandører.
Vi håper at leverandører som har lest denne artikkelen, vil være litt bedre rustet til å yte nødvendig bistand slik at deres kunder kan overholde sine forpliktelser i personvernregelverket. Vi anbefaler at leverandører og kunder samarbeider om å hensynta personvernprinsippene og de registrertes rettigheter, og at de i fellesskap identifiserer og gjennomfører nødvendige og tilstrekkelige tiltak.
For spørsmål eller råd knyttet til innebygget personvern, kontakt:
