13. Inbyggt dataskydd och dataskydd som standard
Postadress
544 30 Hjo
Kontakter
-
Ulrica Thörn Pettersson
Administratör
0503-35176
072-562 94 79
E-post -
Ulrica Thörn Pettersson
Administratör
0503-35176
072-562 94 79
E-post
Dataskydd
I GDPR finns det bestämmelser om den personuppgiftsansvariges skyldighet att se till att vidta åtgärder för att personuppgiftsbehandlingarna utförs enligt GDPR.
Personuppgiftsansvarig är skyldig att genomföra lämpliga strategier för dataskydd, som inbegriper grundläggande principer för dataskydd enligt GDPR i proportion till behandlingen av personuppgifter.
GDPR är inte så detaljerad ur teknisk synvinkel, men ställer höga krav på att personuppgiftsansvarig ska se till att personuppgifter behandlas med lämplig säkerhetsnivå. Skyldigheten blir tydlig i artikel 25, där bestämmelser finns som beskriver personuppgiftsansvarigas ansvar för att åtgärder vidtas som säkerställer att t.ex. IT-system ("medel"), utövande av behandling med systemen och ett integritetssäkert arbetssätt följer GDPR.
Inbyggt dataskydd - Privacy by design (artikel 25.1)
Inbyggt dataskydd innebär kortfattat att GDPR:s grundprinciper ska följas för att skydda den registrerades rättigheter redan
- vid kravställning och utformning av de system som behandlingen ska ske i och
- vid utförandet av behandlingen.
Det kan exempelvis handla om att se till att det inte går att samla in mer uppgifter än vad som behövs för det ändamålet som behandlingen kräver med hjälp av specifika formulär (uppgiftsminimering), pseudonymisering eller att riktigheten i uppgifter kontrolleras mot någon trovärdig källa (riktighet).
Dataskydd som standard - Privacy by default (artikel 25.2)
Dataskydd som standard innebär i korthet att standardfallet ska alltid vara, att i varje behandling ska enbart de uppgifter behandlas som behövs för ändamålet. Det innebär bland annat att grundinställningar i olika system och tjänster ska vara den som ger det mest strikta dataskyddet. Till exempel om ett system används för distansmöten, är inställningen från början att enbart inbjudna får vara med i mötet, och att det krävs något sätt att identifiera sig (inloggning exempelvis) för att få vara med på mötet.
Tänk utifrån de grundläggande principerna, till exempel öppenhet, uppgiftsminimering, ändamålsbegränsning, lagringsminimering, konfidentialitet och integritet vid kravställning vid upphandling av IT-system för att åstadkomma dataskydd som standard, och kunna ge stöd för användaren att följa GDPR.