Kort svar

Innebygd personvern fungerer best når kravene kommer inn før systemvalg og utvikling er låst.

I praksis bør dere vurdere hvilke data som virkelig trengs, hvilke standardinnstillinger brukerne møter og hvordan løsningen testes og følges opp opp mot hverandre før dere låser dere til én løsning.

Når dette ofte blir aktuelt

  • når dere må ta stilling til hvilke data som virkelig trengs
  • når valget får følger for hvilke standardinnstillinger brukerne møter
  • når det er dyrt å være uklar på hvordan løsningen testes og følges opp

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Hvilke data som virkelig trengsstyrer hvilke alternativer som faktisk er åpne
Hvilke standardinnstillinger brukerne møterpåvirker økonomi, ansvar og gjennomføring
Hvordan løsningen testes og følges oppavgjør hvordan løsningen bør dokumenteres og følges opp

Praktisk framgangsmåte

  1. Beskriv hva dere vil oppnå og hvilke rammer som ikke kan brytes.
  2. Gå gjennom dagens avtaler, rutiner eller registreringer knyttet til hvilke data som virkelig trengs.
  3. Avklar hvem som må involveres for å vurdere hvilke standardinnstillinger brukerne møter.
  4. Dokumenter valgt løsning og oppfølging rundt hvordan løsningen testes og følges opp før dere setter den i verk.

Dokumentasjon som ofte avgjør

Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:

  • kartlegging av hvilke personopplysninger virksomheten behandler
  • rutiner, policyer og avtaler som styrer behandlingen
  • risikovurderinger, protokoller og endringslogg
  • oversikt over systemer, leverandører og tilgangsnivåer

Vanlige feil

  • valget tas for tidlig uten at konsekvensene er sammenlignet
  • virksomheten beskriver et formål, men jobber i praksis på en annen måte
  • for mye data samles inn fordi ingen eier oppryddingen

Når bør dere hente konkret hjelp?

Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis valget får følger for eierskap, skatt, ansatte eller senere konflikter.

Relaterte guider

Offentlige kilder og videre lesning