Privacy & security by design & default handler om at udvikle produkter og tjenester, der fra start af og igennem deres livsforløb og den sammenhæng, de indgår i, sikrer den størst mulige sikkerhed og beskyttelse af privatliv og data.
I forbindelse med udviklingen af produkter og tjenester har det stor betydning for tiltroen til virksomheden, at der strukturelt arbejdes med privacy & security by design & default (PbD & SbD). Målet er at skabe sikre produkter og tjenester og beskytte brugernes privatliv og personoplysninger bedst muligt.
6.1 Vurdering
For at kunne arbejde med privacy & security by design er det nødvendigt, at virksomheden foretager en indledende vurdering af, hvilke risici og behov, der skal tages højde for. Når virksomheden har fastlagt dette, skal det vælges hvilke(n) privacy by design strategi(er) (6.2.1 – 6.2.3), der med fordel kan anvendes og hvilket niveau af sikkerhed, der skal indarbejdes i designet af løsningen.
6.1.1 Risikovurdering
6.1.2 Tag stilling til persondatabeskyttelses- og sikkerhedsniveau
6.2 Privacy by design & default
Privacy by design (PbD) indebærer, at virksomheden tænker og bygger databeskyttelses- og privatlivsrelaterede værn ind i produkter og services fra udviklingens tidligste stadier og igennem hele livscyklussen.
Indlejringen af persondatabeskyttelsen giver virksomheden en mulighed for at arbejde proaktivt med de risici, der er forbundet med behandling af personoplysninger, fremfor at være begrænset til kun at kunne reagere, når en hændelse faktisk opstår.
Målet er, at virksomhedens produkter og services beskytter brugernes privatliv og persondata fra det øjeblik, de tages i brug.
6.2.1 Minimering og begrænsning
6.2.2 Separering og skjul
6.2.3 Aggregering
6.2.4 Persondatabeskyttelse som standardindstilling (Indlejring af persondatabeskyttelse)
6.2.5 Fuld funktionalitet og persondatabeskyttelse
6.3 Security by design & default
Grundprincippet i security by design (SbD) er, at sikkerhed tænkes og bygges ind i produkter og tjenester fra udviklingens tidligste stadier og igennem hele livscyklussen.
Målet er at sikre, at virksomhedens produkter og tjenester er sikre fra det øjeblik, de tages i brug.
6.3.1 Minimer angrebsflader
6.3.2 Højt niveau af sikkerhed som standardindstilling
6.3.3 Mindste sæt af rettigheder/rettighedsstyring
6.3.4 Kontrol af kode (egen og tredjepart)
6.4 Implementering igennem udviklingsproces
Virksomheden skal sikre at krav til PbD og SbD indgår i virksomhedens udvikling af produkter og tjenester.
6.4.1 Implementering igennem udviklingsproces