Hoppa till innehåll på sidan

Inbyggt dataskydd

Personuppgiftsansvariga är enligt dataskyddsförordningen skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för den personuppgiftsbehandling som verksamheten utför.

Inbyggt dataskydd innebär att den personuppgiftsansvariga tar hänsyn till integritetsskyddsreglerna redan när it-system och rutiner utformas. Detta bidrar till ett bättre och mer kostnadseffektivt dataskydd för de registrerade.

Varför behövs inbyggt dataskydd?

Lämpliga säkerhetsåtgärder ska skydda de registrerades rättigheter och säkerställa att skyddet av deras personuppgifter byggs in i behandlingen. För att betraktas som lämpliga bör åtgärderna vara utformade så att de uppnår det avsedda syftet. Det betyder att de måste uppfylla principerna för dataskydd, till exempel principerna om lagrings- och uppgiftsminimering, på ett effektivt sätt. En teknisk eller organisatorisk åtgärd kan vara allt från användning av avancerade tekniska lösningar till grundläggande utbildning för medarbetarna. Vilka åtgärder som är lämpliga beror på sammanhanget och de risker som finns med den aktuella behandlingen. Ni behöver också ta hänsyn till behandlingens art, omfattning och ändamål vid lämplighetsbedömningen.  

Hur ska ni arbeta med inbyggt dataskydd?

Nedan är några exempel på vad som kan förväntas av er som verksamhet när ni implementerar inbyggt dataskydd för att begränsa riskerna med er personuppgiftbehandling.  

  • Analysera ert behov
    Analysera era skyldigheter av inbyggt dataskydd, det vill säga hur ni ska fånga upp behov och krav tidigt i processen så att den personliga integriteten blir en naturlig del av slutresultatet.
  • Genomför en riskanalys
    Identifiera riskerna som en överträdelse av principerna innebär för de registrerades rättigheter. Fastställ riskernas sannolikhet och allvarlighetsgrad så att rätt åtgärder vitas för att hantera dem på ett effektivt sätt.
  • Effektmål
    Varje åtgärd som genomförs bör ge de avsedda resultaten för den personuppgiftsbehandling som planeras. Säkerställ att de kontroller som implementeras har önskad effekt och verkan.
  • Dokumentera er analys
    Dokumentera resultatet av er analys i till exempel en policy eller instruktion. Dokumentera även de tekniska och organisatoriska åtgärder som har genomförts. Dessa dokument ska uppdateras vid behov.
  • Instruktioner
    Ge utvecklare och andra berörda tydliga instruktioner och utbildning om när, var och hur inbyggt dataskydd ska implementeras.
  • Testa och utvärderat åtgärderna
    Verifiera effekten av de implementerade åtgärderna. Utgå från mätbara värden som visar hur ni ligger till i förhållande till era uppsatta dataskyddsmål.
  • Ta hänsyn till den senaste utvecklingen
    Bevaka kontinuerligt aktuella framsteg inom tekniker som finns på marknaden. Detta är ett bra stöd när ni ska fastställa lämpliga tekniska och organisatoriska åtgärder. Det kan också hjälpa er att identifiera både risker och möjligheter med en viss ny teknik.
  • Ta stöd i standarder, uppförandekoder med mera
    Använd befintliga och erkända ramar, standarder, certifieringar, uppförandekoder med mera. De kan vara ett bra stöd när det gäller att identifiera den senaste tekniken inom ett visst användningsområde.
  • Genomförandekostnader
    Hänsyn får tas till kostnaderna för att genomföra lämpliga åtgärder när man ska uppnå inbyggt dataskydd. Säkerställ att inte spendera oproportionerligt mycket resurser om mindre resurskrävande sätt finns för att uppnå ett effektivt skydd. Kostnader får dock inte vara ett hinder från att uppfylla kraven på lämpliga åtgärder.
  • Uppgiftsminimering
    • Säkerställ att inte fler personuppgifter samlas in eller på annat sätt behandlas än vad som är nödvändigt för ändamålet med behandlingen. 
    • Se också till att personuppgifter inte i onödan exponeras eller sprids.
    • Spara dem inte längre än nödvändigt. 
Senast uppdaterad: 12 april 2023