I GDPR-sammanhang talas det ofta om ”privacy by design” och ”privacy by deafult” - översatt till svenska: ”inbyggd integritet” och ”dataskydd som standard”. Att ha privacy by design inbyggt i sina IT-system följer av dataskyddförordningen som förenklat föreskriver att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vid framtagande av IT-system och vid behandling av personuppgifter i befintliga IT-system. Privacy by design handlar alltså om att ha inbyggda mekanismer för integritetsskydd i de IT-system som används men också de som avses att användas. Dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala medier är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.
I grunden handlar det om att ha ett säkert IT system och att begränsa behörighet till personuppgifter till de på arbetsplatsen som behöver komma åt personuppgifter för att komma åt uppgifterna. I GDPR anges att säkerheten ska anpassas med beaktande av bland annat genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Detta innebär att man får väga in dessa aspekter så gott det går i förhållande till den behandling man utför och kostnaden för anpassningar av IT-system etc. Nedan följer en mer detaljerad redogörelse om vad man kan tänka på vad gäller just IT-system.
Uppgiftsminimering
IT-system ska helst vara utformade så att så få personuppgifter som möjligt behandlas. Olika sätt att minska behandlingen kan vara att:
- Begränsa sig till uppgifter som endast indirekt pekar ut en individ.
- Begränsa sig till uppgifter som är mindre känsliga.
- Ersätta namn, till exempel med pseudonymer.
- Inte rutinmässigt ha med personnummer som fält i databaser
Begränsning av åtkomst till uppgifterna
Möjligheten att arbeta med och ta del av personuppgifter ska begränsas till de som behöver det för att kunna utföra sina arbetsuppgifter och sättet att arbeta måste vara utformat efter den principen. Ibland sker det naturligt eftersom olika avdelningar och projektgrupper ägnar sig åt sina respektive arbetsuppgifter. Men när uppgifterna samlas i samma IT-system kan det bli lättare att kunna ta del av sådant som inte är relaterat till ens arbetsuppgifter. IT-system bör därför vara utformade med behörighetsstyrning som kan anpassas efter organisationens arbetssätt.
Ett idealiskt system för kontroll av behörigheter ska kunna se till att identifierade användare kommer åt rätt information enkelt men hindras att komma åt "fel" information, det vill säga personuppgifter som inte behövs för att lösa ens arbetsuppgift. Segmentering av information kan till exempel vara baserad på medlemskap i grupper eller innehav av roller. Användaren kan ha olika roller i systemet utan att för den skull kunna kombinera den behörighet som hör till skilda roller vid ett och samma tillfälle.
Utöver behörighetssystem kan även kryptering av lagrad information vara ett sätt att begränsa åtkomsten för till exempel systemadministrativ personal.
Skydd av personuppgifterna
Utöver behörighetsstyrning bör det exempelvis finnas:
- Funktioner för autentisering, minst lösenord, med tillhörande rutiner och funktioner för säker hantering och möjlighet att ansluta systemet till extern kontohantering.
- Möjlighet att använda kryptering
- Vid kommunikation över internet
- I databaser
- På mobila enheter
- Rutiner och tydlig information om säkerhet till systemets användare.
- En logg som kan användas till att utreda felaktig åtkomst till personuppgifter.
- Stöd för säkerhetskopiering.
- Säker utplåning, det vill säga skydd mot att data läcker ut efter att hela eller delar av systemet tagits ur drift och skrotats. Bör inkludera metoder för radering och förstöring av lagringsmedia. Risken för läckage minskar om till exempel hårddiskar och USB-minnen är krypterade från början.
Tänk på att loggar och säkerhetskopior är fristående delar och i sig kan innebära en integritetsrisk, inbyggd integritet bör tillämpas även på dessa. Loggar innehåller personuppgifter om de som arbetar i systemet och måste därför hanteras på ett integritetssäkert sätt. Säkerhetskopior som sparas länge kan komma att innehålla personuppgifter som borde raderats tidigare. Automatiska metoder för gallring kan behövas.
Användarvänlighet (ur integritetshänseende)
Användarvänlighet är viktigt för att integritetssäkra ett system och bör byggas in från början. Exempel på lämpliga egenskaper är:
- "Dataskydd som standard" – att systemets arbetsflöde automatiskt styr användaren mot ett integritetssäkert arbetssätt och att grundinställningarna är satta så att inte mer information än nödvändigt samlas in eller visas.
- När uppgifterna inte längre behövs ska de tas bort. Funktioner för att gallra (radera) uppgifter automatiskt förenklar.
- Transparens – att ge de registrerade insyn:
- Med funktioner för att på begäran från enskilda individer enkelt kunna lämna lagstadgade så kallade registerutdrag om deras uppgifter förekommer i systemet.
- Med ett gränssnitt för att låta den registrerade själv få insyn.
- Genom att i en logg enkelt kunna visa till vilka andra organisationer information har lämnats ut till.
- När man ska göra utdrag för rapporter eller statistik ska man kunna välja bort den information som inte är relevant. Anonymisering kan ofta användas.
- Stöd för samtycke och återtagande av samtycke – i många fall krävs samtycke för att registrera viss information eller för att vissa funktioner ska få användas.
- Funktioner i användargränssnittet som begränsar möjligheten att skriva in sådant som inte får skrivas in. Ett arbetsplatssystem för medarbetaromdömen bör till exempel utformas så att antalet fritextfält minskas. Därmed minskar risken att otillåtna och kränkande omdömen matas in.
- Tydlig information till de som lämnar uppgifter om sig själva om hur uppgifterna kommer att behandlas. En sådan information kan sammanfattas i en integritetspolicy.