Inbyggt integritetsskydd – ”privacy by design”

Artikel 23 i Kommissionens förslag till dataskyddsförordning föreskriver att den personuppgiftsansvarige ska, både vid tidpunkten för fastställandet av en behandlingsmetod och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller förordningens krav och säkerställa skyddet av den registrerades rättigheter. Av ingresspunkt 61 till förslaget till förordningen framgår vidare att den personuppgiftsansvarige vid vidtagandet av lämpliga åtgärder särskilt ska se till att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. I korthet innebär detta förslag ett krav på så kallat inbyggt integritetsskydd – ”privacy
by design”.

Principerna om privacy by design innebär att särskilda integritetsskyddsmekanismer byggs in redan från början när ett IT-system eller en IT-lösning tas fram. Det är alltså, som begreppet privacy by design antyder, fråga om ett inbyggt integritetsskydd.

Fördelarna med privacy by design är att man redan vid arbetet med att ta fram ett nytt IT-system kan se till att systemet följer gällande lagar och säkerhetskrav. Vidare möjliggör privacy by design att man lättare kan följa upp och säkerställa att kraven på hantering av integritetskänsliga uppgifter följs under hela systemets livslängd – från planeringsstadium, design, utveckling och användning till avveckling.

I huvudsak innebär privacy by design att ett antal integritetsskyddsmekanismer byggs in i IT-systemet för att säkerställa exempelvis att:

• antalet personuppgifter som behandlas minimeras till nödvändig
  mängd;
• systemet är användarvänligt för de individer som finns registrerade i systemet (såsom transperens för användaren genom ett gränssnitt
  som ger den registrerade insyn);
• åtkomsten till personuppgifter som lagras i systemet begränsas;
• personuppgifterna skyddas från obehörig åtkomst.

I vår nuvarande dataskyddsreglering finns inte någon uttrycklig reglering om eller krav på privacy by design. När det kommer till säkerhetskrav vid behandling av personuppgifter uppställer personuppgiftslagen en skyldighet för den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas exempelvis brandväggar, krypteringsfunktioner och anti-virus. Vidare följer av 6 kap. lagen (2003:389) om elektronisk kommunikation (”LEK”) att vissa lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa att de uppgifter som behandlas eller lagras är skyddade. Det finns dock inga krav på att hänsyn till detta ska tas under hela livscykeln av IT-systemet, eller att ytterligare aktörer som är involverade i framtagandet av IT-systemet ska ta hänsyn till integritetsskyddsaspekter. Förslaget till förordning får därmed sägas innebära en förstärkning av skyddet för integritetskänsliga uppgifter i och med kravet på att principerna om privacy by design ska uppfyllas vid personuppgiftsbehandling.

LIBE:s kompromissförslag innebär ett liknande förslag till reglering om privacy by designsom Kommissionens förslag men innehåller i vissa delar tillagda skrivningar i syfte att säkerställa att privacy by design definieras tydligare och får ett effektivt genomslag på alla stadier i personuppgiftsbehandlingssystemets livscykel. Bland annat föreslås att även tillverkare av automatiska uppgiftsbehandlingssystem ska beakta principerna om privacy by design. Strängare krav föreslås också avseende personuppgiftsombud och för vissa företags kunskaper om privacy by design. Det är tydligt att LIBE-utskottets ståndpunkt är att principen om privacy by design är ett viktigt inslag i behandlingen av integritetskänsliga uppgifter, både för den som behandlar uppgifterna och för den vars uppgifter behandlas. Om innehållet i LIBE:s kompromissförslag avseende privacy by design tas med i den kommande dataskyddsförordningen skulle alltså principerna om privacy by design behöva beaktas i flera led i utformandet av ett IT-system och under hela dess livscykel.

Värt att nämna i sammanhanget är att Datainspektionen, så sent som i ett uttalande i förra veckan, särskilt uppmuntrar till att beakta principerna om privacy by design. I samband med publicering av ett beslut avseende granskning av ett företags användning av elektroniska körjournaler uttalade Dataskyddsinspektionens IT-säkerhetsspecialist Mikael Ejner (vår understrykning):

”Det pågår en snabb utveckling av olika lösningar för elektroniska körjournaler. Vi uppmuntrar leverantörerna av sådana lösningar att redan från början bygga in ett effektivt integritetsskydd.”

Datainspektionen har även publicerat ett informationsblad som innehåller en hel del tips kring privacy by design och hur principerna kan användas för att höja säkerheten för personuppgiftsbehandling och se till att behandling av uppgifter i ett system följer lagstiftningens krav.

Datainspektionens informationsblad om privacy by design kan du läsa här ->