Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.
Privacy by design – Inbyggda mekanismer i IT-system för skydd av den personliga integriteten
Utveckling av tekniska system är ofta komplicerade processer där man måste ta hänsyn till många typer av krav. Inte minst gäller det skyddet av den personliga integriteten. För att undvika fallgropar som blir dyra att åtgärda i efterhand och som gör det svårt att följa lagen är det viktigt att ta hänsyn till integritetsaspekterna i ett tidigt skede i processen.
Några grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha den kvar längre än man behöver och inte använda den till något annat än vad man samlade in den för. Att informera om hur uppgifterna ska behandlas, att begära samtycke och att tillåta insyn i den vidare hanteringen är också led i integritetsskyddet.
Begreppet privacy by design, eller inbyggd integritet som det kallas på svenska, går ut på att låta dessa integritetsfrågor påverka systemets hela livscykel – från förstudie och kravställning via design och utveckling till användning och avveckling. Det här informationsbladet ger en vägledning till hur ett sådant arbete kan utformas.
Inbyggd integritet kan tillämpas på många områden, som till exempel när man tar fram nya standarder och inför ny lagstiftning, men denna vägledning riktar sig främst till de som är
- beställare/kravställare – de som i lagens mening är ansvariga för en behandling av personuppgifter och står i begrepp att införa ett arbetssätt eller ett IT-system för att stödja detta,
- leverantörer av sådana produkter och tjänster,
- på annat sätt involverade i framtagningen av IT-stöd för behandling av personuppgifter.
Svensk version av dataskyddsförordningen (webbversion)
Svensk version av dataskyddsförordningen (pdf-version)
Engelsk version av dataskyddsförordningen (pdf-version)
Läs mer om:
Personuppgiftsansvarig
Personuppgiftsbiträde
Register över behandling
Säkerhet för personuppgifter
Anmäla personuppgiftsincident
Konsekvensbedömningar och förhandssamråd
Dataskyddsombud
Uppförandekod och certifiering
Källa: