Privacy-by-default og privacy-by-design

Har du hørt om principperne “Privacy-by-default” og “Privacy-by-design”? Hvorfor er de så vigtige for databeskyttelsen? Hvad er forskellen på dem?

“Privacy-by-default” handler om princippet, at når man laver et produkt bør det automatisk anvende indstillinger, der giver beskyttelse af personlige oplysninger, når folk bruger jeres produkt eller jeres tjeneste første gang. En person bør ikke være nødt til at tilvælge eller konfigurere disse indstillinger.

Standardindstillinger og politikker bør:

• Prioriterere af beskyttelsen af brugernes personlige oplysninger
• Begrænse indsamlingen og anvendelsen af data til det nødvendige minimum

“Privacy-by-design” refererer til princippet om, at man bør integrere indstillinger om beskyttelse af personlige oplysninger i designet og udviklingen af produkter, tjenester og systemer fra starten. De bør ikke tilføjes som en eftertanke.

Det betyder, at man bør:

• Identificere og mindske risici for at beskytte personlige oplysninger
• Bygger databeskyttelse ind i produktet eller tjenesten fra starten af

Mange forordninger og love i hele verden, som GDPR, CCPA og PDPA, kræver, at virksomheder indarbejder principperne om privacy-by-default og privacy-by-design i deres produkter og apps.

Regler giver dog virksomheder mulighed for at bestemme, hvilke specifikke beskyttelsesforanstaltninger de skal “indbygge”, og præcis hvordan indstillinger skal konfigureres.

Dette gør mange virksomheder forvirrede over, hvordan de skal anvende disse principper i praksis.

Her er nogle eksempler på, hvordan I kan bruge princippet om privacy-by-default i jeres virksomhed til databeskyttelse:

• Brug opt-in-tilladelser som f.eks. ikke-afkrydsede tilladelseskasser.
• Fastsæt en rimelig periode for opbevaring af data.
• Automatisk sletning eller anonymisering af personlige oplysninger, som I ikke længere har brug for.
• Giv brugerne klare og præcise oplysninger om jeres databehandlingsaktiviteter.
• I må ikke gøre dine Ja-knapper mere fremtrædende end jeres Nej-knapper.
• I må ikke give vildledende oplysninger, når I indhenter samtykke.
• Undgå andre mørke mønstre, når I får samtykke.
• I må ikke kræve, at folk skal acceptere databehandling eller cookies for at bruge jeres hjemmeside.
• Gør ikke personoplysninger offentligt tilgængelige automatisk.

Her er nogle eksempler på, hvordan I kan bruge princippet om privacy-by-design i jeres virksomhed og tjenester, og hvilke løsninger I bruger til databeskyttelse:

• Udføre regelmæssige risikovurderinger af privatlivets fred
• Brug pseudonymisering og kryptering
• Opstilling til at opfange alle anmodninger om rettigheder fra registrerede personer og opfylde dem
• Minimer de personlige data, I gemmer
• Begræns indsamling af personoplysninger til det, I har brug for

Privacy-by-default og privacy-by-design er to principper, som komplementerer hinanden. Sådan kan I overholde begge:

• Sørg for, at databeskyttelse er indbygget i jeres værktøjer, systemer og processer
• Gør det nemt og automatisk for folk at beskytte deres data, når de handler med jer, er på jeres hjemmeside, benytter sig af jeres tjenester osv.
• Byg jeres politikker og praksis på disse principper. Det samme gælder den software, I bruger, uanset om I udvikler den selv eller abonnerer på den.

Kunne I tænke dig at lære mere om værktøjer til at beskytte data baseret på disse principper?

Læs om vores databeskyttelses-værktøjer →