Phone icon +45 45 34 44 00
Search icon
Book møde

Documentation

0. GDPR-sikret udvikling

Uanset om du arbejder alene, er en del af et team, der udvikler et projekt, leder et udviklingsteam eller er en tjenesteudbyder, der udvikler for tredjeparter, er det afgørende at sikre, at brugerdata og al behandling af personlige data er tilstrækkeligt beskyttet gennem hele projektets livscyklus.

Følgende trin hjælper dig med at udvikle privatlivsvenlige applikationer eller websites:

  1. Forstå de grundlæggende GDPR-principper. Hvis du arbejder i et team, anbefaler vi, at I udpeger en person til at overvåge overholdelsen. Hvis din virksomhed har en Data Protection Officer (DPO), er denne person en nøglefigur i forståelsen og opfyldelsen af GDPR-kravene. I nogle tilfælde kan det også være obligatorisk at udpege en DPO, f.eks. hvis dine programmer eller applikationer behandler såkaldte “følsomme” data (se eksempler) i stor skala eller udfører regelmæssig og systematisk overvågning i stor skala.

  2. Kortlæg og kategorisér data og behandlinger i dit system. En præcis kortlægning af datahåndteringen i dit program eller din applikation hjælper dig med at sikre, at de overholder lovkravene. At føre en fortegnelse over behandlingsaktiviteter (et eksempel kan findes på CNILs hjemmeside) giver dig et samlet overblik over dataene og hjælper med at identificere og prioritere de tilknyttede risici. Persondata kan nemlig befinde sig uventede steder som i serverlogs, cachefiler, Excel-filer osv. En sådan registrering er obligatorisk i de fleste tilfælde.

  3. Prioritér nødvendige tiltag. Baseret på dit register over databehandlinger skal du identificere de nødvendige handlinger for at overholde GDPR-kravene på forhånd og prioritere fokusområderne i forhold til de risici, som behandlingen udgør for de registrerede. Disse fokusområder omfatter især nødvendigheden og typerne af de data, der indsamles og behandles af din software, det juridiske grundlag for dine databehandlingsaktiviteter, de oplysninger, din software eller applikation giver brugerne, kontraktvilkårene mellem dig og dine leverandører, betingelserne for udøvelse af rettigheder samt de tiltag, der er implementeret for at sikre dine behandlinger.

  4. Håndtér risici. Hvis du identificerer, at en behandling af persondata kan medføre høj risiko for de registrerede, skal du sørge for at håndtere disse risici korrekt i konteksten. En Privacy Impact Assessment (PIA) kan hjælpe dig med at vurdere risiciene. CNIL har udviklet en metode, skabeloner og et værktøj, der kan hjælpe dig med at identificere risici, samt en samling af best practices til at afhjælpe dem. En Privacy Impact Assessment er desuden obligatorisk for alle behandlinger, der sandsynligvis indebærer en høj risiko for de registreredes rettigheder og friheder. CNIL har på sin hjemmeside en liste over behandlinger, hvor en PIA er påkrævet.

  5. Etabler interne processer for at sikre compliance gennem alle udviklingsfaser. Sørg for, at interne procedurer sikrer, at databeskyttelse tages i betragtning i alle aspekter af dit projekt og ved alle hændelser, der måtte opstå (f.eks. sikkerhedsbrud, anmodninger om berigtigelse eller indsigt, ændring af indsamlede data, leverandørskift, databrud osv.). Kravene i governance-mærkningen (selvom denne ikke længere udstedes af CNIL efter GDPR’s ikrafttræden) kan være en nyttig inspirationskilde til at etablere de nødvendige processer.

  6. Dokumentér compliance i udviklingen for altid at kunne bevise din overholdelse af GDPR. De handlinger, der udføres, og de dokumenter, der produceres i hver udviklingsfase, skal være kontrollerede. Dette indebærer regelmæssig gennemgang og opdatering af din dokumentation, så den altid stemmer overens med de funktioner, der er implementeret i din software.

CNILs hjemmeside indeholder mange praktiske vejledninger, der kan hjælpe dig med at sikre lovmedholdelig databehandling afhængigt af din branche.

Book en web pentest

Find svagheder i web applikationerne

Book i dag