Er innebygd personvern vanskelig?

Datatilsynet arrangerte 5. mars et seminar om innebygd personvern, hvor det også ble kåret en vinner av konkurransen "Innebygd personvern i praksis". Samtlige finalister (Direktoratet for eHelse, Universitetet i Oslo og Bouvet) var aktører med grundig og omfattende personvern-arbeid over tid.

Heldigvis må man ikke være en stor virksomhet for å lykkes med innebygd personvern! Selv om vi er en liten start-up, anvender vi Datatilsynet sin veileder i alle utviklingsfaser for våre egne produkter. Vi heller ikke lei oss for å bli slått av meget gode bidrag i konkurransen. Tvert i mot er det inspirerende å se hvordan innebygd personvern stadig konkretiseres og bidrar til bedre personvern for oss alle.

Dessuten har vi allerede opplevd utbytte av å bygge skytjenesten MailRisk med grunnleggende fokus på personvern, og vi ser dette som et viktig konkurransefortrinn i møte med internasjonale (som regel amerikanske) sikkerhetsleverandører. Ikke minst erfarer vi at sluttbrukere setter pris på vår hjelp til å analysere mistenkelig e-post i fred, uten å sende data til noen som helst.

21 meget spennende bidrag i første utgave av @Datatilsynet sin konkurranse om innebygd personvern. Vi er stolte over å ha bidratt med MailRisk - se https://t.co/aCdfB43PBS pic.twitter.com/cTwAEPW2Zh

— Secure Practice (@securepractice) 5. mars 2018

På mange måter er det nok enklere for små aktører å lykkes med innebygd personvern, enn de store. Personvernet må jo bokstavelig talt bygges inn i løsningen fra grunnen av, og da møter man raskt teknisk gjeld i eksisterende systemer. Med MailRisk har vi derimot startet med blanke ark, og har hele veien hatt fokus på godt personvern som en grunnleggende kvalitet i løsningen.

Dette er også relatert til en annen fordel for de små, nemlig kultur og kompetanse. Ved å ha tidlig fokus på personvernspørsmål kan virksomheten effektivt bygge et solid fundament med den viktigste faktoren i nye løsninger, nemlig menneskene som utvikler dem. Dette inkluderer naturligvis god opplæring og trygge rammer for å flagge personvern som både krav og mulighet.

Derfra er det utrolig mye som utviklere, arkitekter, designere og kravstillere kan få til ved å inkludere personvern i alle faser av utviklingsprosessen – det gjelder både små og store virksomheter.

Innebygd personvern er uansett en glimrende vei til etterlevelse av det viktigste i GDPR.

8. og 9. mai arrangeres konferansen Sikkerhet og sårbarhet i Trondheim. Her vil undertegnede dele praktiske eksempler på innebygd personvern, med grunnlag i både forskning og produktutvikling. Gjennom de gode eksemplene, som vi også fikk et knippe av på Datatilsynets seminar, ser vi hvordan innebygd personvern kan være mer inspirerende enn det trenger å være vanskelig.

Vi lanserer dessuten innebygdpersonvern.no som en åpen ressurs med eksempler fra praktisk utviklingsarbeid, inkludert vårt forrige innlegg om bruk av personas i designfasen. Følg oss gjerne på Twitter, meld deg på nyhetsbrevet vårt – eller ta kontakt for en prat om innebygd personvern!