Europeiska dataskyddsmyndigheten (EDPB) antog nyligen riktlinjer för artikel 25 i GDPR, Data Protection by Design and Default (4/2019), inbyggt dataskydd och dataskydd som standard.
I riktlinjerna fokuserar EDPB på grundläggande skyldigheter, till exempel effektiv implementering av dataskyddsprinciper och de registrerades rättigheter. Ansvariga ska genomföra lämpliga tekniska och organisatoriska åtgärder och vidta nödvändiga skyddsåtgärder för att säkerställa dataskydd.
En av de viktigaste frågorna runt begreppet inbyggt dataskydd och dataskydd som standard är frågan om ”effektivitet”. Den ansvarige måste inte bara kunna påvisa de genomförda åtgärderna, utan också dess effektivitet. För att visa att man efterlever reglerna föreslår EDPB att den ansvarige sätter upp ett antal KPI:er. Sådana indikatorer kan inkludera mätvärden, antingen kvantitativa (t.ex. risknivå och minskning av klagomål) eller kvalitativa (t.ex. betygsskalor och expertbedömningar). Elementen som anges i artikel 25 GDPR (modern teknik, kostnader och omfattning av bearbetningen etc.) ska inkluderas i bedömningen oavsett om åtgärderna överensstämmer med GDPR eller inte.
Även om konceptet inbyggt dataskydd och dataskydd som standard är välkända kan de framstå som komplicerade att tillämpa i praktiken. De nyligen antagna riktlinjerna kommer därför att hjälpa för företag att uppfylla kraven. Riktlinjerna är öppna för offentligt samråd fram till den 16 januari 2020.
