Innebygd personvern, «Privacy by Design», ble utviklet av Ann Cavoukian, informasjons- og personvernkommissær (Information and Privacy Commissioner) i den kanadiske provinsen Ontario. Konseptet har blitt brukt i 31 land, og Datatilsynet har nå oversatt prinsippene til norsk. Konseptet består av syv hovedprinsipper, som innebærer beskyttelse av personopplysninger og tilknyttet informasjon gjennom hele utviklingsprosessen, applikasjonens levetid, og avvikling. (Bilde: Wikimedia Commons)

– Støtt innebygd personvern!

Koster, men kan gi bedre prosjekter, skriver Lars Godejord i Making Waves.

DEBATT: 28. mai i år vedtok Stortinget innebygd personvern. Den mest interessante setningen fra vedtaket lyder slik:

«Oppdragsgivarar må innarbeide personvern som ein grunnleggjande verdi i verksemda, og utviklarar må vere bevisste på å gjere spørsmål om personvern til ein integrert del av utviklinga og utforminga av produkta og systema sine.»

I forkant av vedtaket var jeg på Datatilsynets frokostseminar hvor jeg fikk en innføring i temaet. I tiden etter frokostseminaret har jeg reflektert over hva dette nye kravet vil innebære:

Jeg ser Regjeringens behov for å skape større bevissthet rundet temaet personvern, siden de nå har lansert digitalisering av offentlig sektor for å skape bedre tjenester og effektivisere. Utviklingen er også i tråd med EUs ønsker om digitalisering av tjenester og styrking av personvernet på nett.

Det er også positivt at personvern nå blir en sentral del av utviklingsprosessen. For utviklere innebærer det en risikobasert tilnærming, der nye features som utvikles for en løsning til enhver tid må måles mot personvernrisiko. Som utvikler blir man direkte ansvarliggjort for å være bevisst på personvernsproblematikk.

Lars Godejord er utvikler og arkitekt i Making Waves.
Lars Godejord er utvikler og arkitekt i Making Waves.

Hvordan vil innebygd personvern slå ut for kostnadene i et prosjekt? Er det gratis å bygge løsninger der hensynet til personvern ivaretas gjennom hele prosessen? Etter min mening: Nei.

For det første vil innebygd personvern stille nye krav til bedriftens opplæringsprogram. Mange har i dag programmer knyttet til informasjonssikkerhet, men nå vil vi også trenge dedikerte program som tar for seg personvern for utvikling og utviklingsprosessen.

For det andre vil også kunden merke dette nye kravet: Det er oppdragsgivers ansvar å utarbeide en risikoanalyse i forkant av et prosjekt. Som oppdragsgiver trenger en ikke bryte ned alle identifiserte risikoer og tiltak til en kravspesifikasjon, men man må overlevere en risikoanalyse til dem som skal utvikle programvaren. Til denne analysen bør kunden bruke grunnprinsipper fra informasjonssikkerhet, og begynne med kartlegging, klassifisering og verdivurdering. Dette gir gode inngangsverdier til risikoanalysen.

I første fase av prosjektet bør kunden så samarbeide med utviklingsparten for å oppnå et tilfredsstillende resultat. Som følge av dette vil vi få mer personvernbeviste oppdragsgivere, som har kjennskap til hvilke persondata som er involvert og hvilke krav som stilles fra lovverket. Det vil også sørge for god overføring av domenekunnskap til prosjektet og et godt forankret prosjektet.

Totalt sett mener jeg at innebygd personvern vil gi økt sjanse for at prosjekter skal lykkes.

Hovedårsaken er at behovet for dialog i starten av prosjekter vil øke. Oppdragsgivere blir tvunget til å analysere hvilke data tjenesten skal inneholde. Bruk av prosesser som Security Development Lifecycle vil være med på å øke kvaliteten, og innebygd personvern dikterer et mer proaktivt forhold til informasjonssikkerhet generelt.

Regjeringen har i sin lansering av en digital strategi nå lagt viktige føringer for hvordan vi skal jobbe. For personvernet føler jeg dette er en viktig milepel. For meg som utvikler og arkitekt vil det gi meg dekning for å kunne si hvorfor jeg bruker så mange timer for å sikre, teste og dokumentere løsningen. Dette gjør seg ikke selv.

Til toppen