Privacy by Design/Default

Opdateret: 11. sept. 2020

Med persondataforordningen, som trådte i kraft i 2018, er principperne om Privacy by Design (databeskyttelse gennem design) og Privacy by Default (databeskyttelse gennem standardindstillinger) blevet indført. Principperne er dermed blevet essentielle komponenter, når vi snakker om databeskyttelse. Men hvad indebærer Privacy by Design og Privacy by Default overhovedet?Ifølge artikel 25 i databeskyttelsesforordningen, skal persondatabeskyttelse og sikkerhed været indarbejdet i udformningen af et program helt fra starten af. Virksomheder skal dermed indtænke datasikkerhed i deres løsninger for bedre at kunne håndtere behandlingen af personlige oplysninger. På denne måde får brugere bedre kontrol over deres personlige oplysninger, og samtidig opbygges der en tillid til de virksomheder, som formår at tage principperne til sig.


Privacy by Design indebærer, at virksomheder allerede skal indtænke datasikkerhed i design- og udviklingsfasen af systemer for at beskytte personlige oplysninger. Dette gøres ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer. Persondatabeskyttelse skal således indtænkes i designet af applikationer, som håndterer persondataoplysninger, så personoplysningerne sikres i hele applikationens levetid. Det er dog ikke kun de tekniske foranstaltninger, der skal sikres. Det er også de organisatoriske foranstaltninger. Disse indbærer eksempelvis, at kun de nødvendige medarbejdere har adgang til de personlige oplysninger.


Privacy by Default indebærer, at virksomheder skal indføre procedurer, der sikrer, at det kun er persondata, som er nødvendige for at udføre det enkelte formål, der behandles. Derudover sikrer princippet, at data hverken indsamles eller opbevares ud over det nødvendige tidsrum. Data må således kun opbevares i det tidsrum, der er nødvendigt for at kunne levere produktet eller servicen. Hvis der kræves flere informationer, end hvad der er rimeligt for et produkt eller en service, strider dette altså imod Privacy by Default princippet. Systemerne i virksomhederne må dermed kun indsamle oplysninger, som der reelt er brug for og som ikke bare er "nice-to-have".


Man bør holde databehandling på et minimum, da alt i realiteten kan hackes. Så vidt muligt bør man derfor sørge for kun at opbevare og behandle data, som faktisk tjener et formål.