De 7 GDPR-principper udgør en ramme for at sikre, at databeskyttelse respekteres, opretholdes og opfylder GDPR-kravene. General Data Protection Regulation, eller GDPR, kom ind i erhvervslivets leksikon med et brøl tilbage i 2016. Siden da har GDPR forstyrret den måde, hvorpå virksomheder verden over håndterer forbrugernes privatlivets fred. Det har ofte føltes besværligt at forstå, hvordan GDPR skal overholdes. Bevidstheden om forbrugernes privatliv betyder imidlertid, at virksomhederne skal tage privatlivets fred alvorligt.
Ciscos 2023 Data Privacy Benchmark Study konkluderer, at 94 % af forbrugerne kun vil købe fra en virksomhed, hvis deres data er beskyttet på passende vis.
For at hjælpe dig med at overholde GDPR forklarer MetaCompliance de syv vejledende principper bag GDPR, og hvilke bedste praksis der hjælper en virksomhed med at overholde denne vigtige databeskyttelsesramme.
Hvad er de 7 GDPR-principper for databeskyttelse?
GDPR forbindes typisk med EU. Den britiske GDPR følger imidlertid lignende principper og opstiller syv principper for databeskyttelse, som afspejles i forordningens artikel 5. Principperne danner rammen for god udformning af privatlivets fred og sikrer, at privatlivets fred kan opnås og opretholdes i offentlighedens interesse. De syv principper for databeskyttelse i GDPR er følgende
Lovlighed, retfærdighed og gennemsigtighed
GDPR fastsætter lovlige grunde til at indsamle og behandle personoplysninger, herunder beskyttelse. Det lovlige grundlag for behandling af data omfatter følgende:
- Eksplicit samtykke
- Kontraktmæssigt behov
- enhver retlig forpligtelse til at beskytte en person
- En offentlig opgave i offentlighedens interesse
- Legitim interesse
Det vejledende princip om "lovlighed, rimelighed og gennemsigtighed" sikrer, at databehandlingen sker på en gennemsigtig måde og inden for rammerne af lovlig behandling. Derfor er retfærdighed og lovlighed to sider af samme sag, når det gælder håndhævelsen af GDPR.
Formål Begrænsning
Dette er et væsentligt aspekt af privacy by design og default, som er den underliggende ramme for GDPR. Det præciserer, at en berørt organisation kun må indsamle de data, som den har brug for til at udføre opgaven. I artikel 5 i GDPR forklares det, at data skal "indsamles til specificerede, udtrykkelige og legitime formål".
For at opnå formålsbegrænsning bør en virksomhed kunne begrunde årsagerne til indsamling af data. Kunderne skal underrettes om årsagerne til indsamling af data ved hjælp af privatlivspolitikker. Hvis din virksomhed derefter fortsætter med at bruge indsamlede data til andre formål end dem, du har beskrevet, overholder du ikke principperne i GDPR.
Minimering af data
Dataminimering er beslægtet med formålsbegrænsning, men ser specifikt på data. Ved dataminimering indsamles kun de data, der er nødvendige for at udføre opgaven. Hvis du f.eks. har brug for et navn og en adresse, men fødselsdato ikke er nødvendig for at gennemføre en transaktion, skal du sikre, at du kun indsamler navn og adresse. Dataminimering er en vigtig sikkerhedsforanstaltning, da den reducerer risikoen for den enkelte, hvis dataene bliver afsløret.
Nøjagtighed
Dataenøjagtighed kan være et af de mere komplekse principper at overholde. GDPR forventer dog, at du træffer "alle rimelige foranstaltninger ... for at sikre, at personoplysninger, der er unøjagtige i forhold til de formål, de behandles til, slettes eller berigtiges uden forsinkelse".
Begrænsning af opbevaring
Hvor længe du opbevarer data er en anden vigtig retningslinje, der er indrammet af GDPR's 7 databeskyttelsesprincipper. Hvis du vælger at opbevare data, skal du have en solid grund til at gøre det. En ideel udgangsposition er ikke at gemme data, hvis du ikke har behov for det. Hvis du imidlertid skal opbevare kopier af data, skal du opstille en opbevaringspolitik for lagring og håndhæve den. Det er også vigtigt at sikre, at dataene er sikret ved hjælp af passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Integritet og fortrolighed
Integritet og fortrolighed af personoplysninger er afgørende for at sikre disse datas privatlivets fred. GDPR nævner, at der skal anvendes passende sikkerhedsforanstaltninger for at beskytte data mod utilsigtet tab, ødelæggelse eller beskadigelse. Brug de bedste tilgængelige sikkerhedsværktøjer til at sikre data under transport og opbevaring, men bak dette også op ved hjælp af uddannelse i sikkerhedsbevidsthed og phishing-simulationer for at reducere risikoen for eksponerede data.
Ansvarlighed
Ansvarlighed er et væsentligt aspekt af moderne respekt og beskyttelse af privatlivets fred. I forbindelse med GDPR henviser ansvarlighed til en organisations brug af passende tekniske og organisatoriske foranstaltninger og evnen til at påvise disse foranstaltninger, hvis der anmodes om det.
Seks bedste metoder til at opnå de 7 GDPR-principper
Organisationer kan træffe specifikke foranstaltninger for at overholde de 7 GDPR-principper. Seks bedste praksis til at sikre, at databeskyttelse respekteres, opretholdes og opfylder GDPR-kravene, omfatter bl.a:
- Livscyklusstyring af privatlivets fred: GDPR-overholdelse kan være et komplekst område, der omfatter forvaltning af aktiver, tredjeparter og databeskyttelsesforanstaltninger. Et Privacy Lifecycle Management System(PLMS) er en centraliseret portal, der giver mulighed for at automatisere de processer, der er involveret i databehandlingen. Et PLMS giver også en organisation mulighed for at generere rapporter for at påvise overholdelse.
- Bevidsthed om privatlivets fred og lovgivning: Når du gennemfører træning i sikkerhedsbevidsthed, skal du sikre, at du inkluderer moduler om medarbejdernes rolle i forbindelse med overholdelse af GDPR. Disse moduler vil uddanne medarbejderne om databeskyttelse, ulovlig behandling, e-mail og passwordhygiejne og generel sikkerhedsbevidsthed, såsom brug af robuste loginoplysninger.
- Privacy by Design and Default: Design dine tjenester og systemer således, at de indsamler det minimum af data, der er nødvendigt for at behandle en transaktion. Skab brugeroplevelser med dataindsamling, der omfatter let tilgængelige og letlæselige privatlivspolitikker og intuitive samtykke-modeller.
- Fortrolighedspolitik: skitsér, hvilke data du indsamler, og hvorfor du indsamler dem; giv oplysninger om databehandlingsaktiviteter og din politik for opbevaring af data.
- Design for nøjagtighed: Brug systemer, der kan kontrollere nøjagtigheden af de data, du har brug for; brug f.eks. verifikationstjenester til at kontrollere, om adressen er aktuel. Hav en plan for håndtering af anmodninger fra de registrerede om ændring, sletning eller arkivering af data eller ændringer af data, som de mener, skal opdateres eller suppleres.
- Sikkerhedsforanstaltninger: Brug robust kryptering og autentificering til at beskytte data i transit og i hvile (lagring). Anonymisering eller pseudonymisering af data er nyttig under visse omstændigheder.