Bakgrund
Under årens lopp har människor tappat förtroendet för organisationer som samlar in en mängd personuppgifter. För att återvinna detta förtroende och förbättra effektiviteten och hållbarheten samtidigt som demokratiska värden skyddas, är integritetsvänlig teknik nu nödvändig. I takt med att samhällen förlitar sig mer på data ökar risken för att mänskliga rättigheter kränks. EU:s allmänna dataskyddsförordning (GDPR) skapades för att skydda dessa rättigheter.
Det är därför Indivd har utvecklat och patenterat en ny teknik för besöksräkning, utformad med integritet i åtanke. I den här artikeln beskrivs de steg som vi har tagit under sex år som ett forskningsprojekt för att kontinuerligt säkerställla en stark och tydlig efterlevnad.
Genom att följa dessa steg har Indivd skapat en stark, integritetsvänlig lösning som uppfyller både lagkrav och marknadsbehov, vilket säkerställer högkvalitativa tjänster samtidigt som användarnas integritet skyddas.
Problemet och lösningen: En kronologisk översikt
Steg 1: Identifiera problemet
- Problem: Kopplingen mellan integritet och ett datadrivet samhälle skapar betydande risker för kränkningar av de mänskliga rättigheterna.
- Utfall: Utvecklade en lösning som balanserar datainsamling med integritet och som följer GDPR utan att kräva individuellt samtycke i stor skala.
- Insikt i GDPR: Överensstämmer med GDPR:s grundläggande princip om att skydda individuella rättigheter i ett datadrivet samhälle och att erkänna behovet av att balansera datainsamling med integritet.
Steg 2: Förstå marknadens behov
- Åtgärd: Genomförde behovsstudier med olika organisationer för att validera marknadens efterfrågan på datalösningar som uppfyller kraven på integritet.
- Ufall: Bekräftade att det finns ett stort behov av ett integritetsvänligt alternativ som inte inkräktar på den personliga integriteten.
- GDPR-insikt: Reflekterar GDPR:s inverkan på marknadens efterfrågan på integritetsanpassade lösningar.
Steg 3: Utveckla lösningen
- Åtgärd: Tillbringade över 18 månader med att undersöka och utveckla en unik lösning för att möta marknadens behov och samtidigt säkerställa integriteten.
- Utfall: Skapade en lösning som är utformad för att förbättra samhällets effektivitet och hållbarhet utan att kompromissa med integriteten.
- GDPR-insikt: Förkroppsligar GDPR-principen "Privacy by Design" och integrerar dataskydd redan från början.
Steg 4: Teknisk validering
- Åtgärd: Avslutade utvecklingsfasen med en teknisk validering för att säkerställa lösningens anonymitet och förmåga att förstå återidentifiering.
- Utfall: Validerade en lösning som förbättrar den övergripande integriteten i samhället.
- GDPR-insikt: Stödjer GDPR:s krav på dataskyddsåtgärder, inklusive anonymiseringstekniker.
Steg 5: Dokumentera lösningen
- Åtgärd: Noggrann dokumentation av lösningens tekniska funktioner, inklusive kartor över databehandling, systemarkitektur och jämförelser med EU:s definitioner och riktlinjer.
- Utfall: Tillhandahöll omfattande dokumentation för att stödja lösningens efterlevnad och effektivitet.
- Insikt i GDPR: Överensstämmer med GDPR:s betoning på ansvarighet och transparens, vilket underlättar efterlevnaden av dokumentationskraven.
Steg 6: Analysera anonymiseringsmetoder
- Åtgärd: Genomförde en jämförande analys av olika anonymiseringsmetoder och utvärderade kritiskt sin lösning i förhållande till andra.
- Utfall: Säkerställde att lösningen uppfyllde EU:s stränga anonymiseringsstandarder.
- Insikt om GDPR: Tar upp GDPR:s fokus på dataskyddstekniker, särskilt anonymisering.
Steg 7: Anpassning till GDPR
- Åtgärd: Inledde ett fullskaligt GDPR-efterlevnadsprojekt och skapade och dokumenterade nödvändiga processer, policyer och avtal.
- Utfall: Etablerade ett robust ramverk för juridisk efterlevnad, inklusive IT-säkerhet, informationssäkerhet, anonymisering, etiska policyer och säkra utvecklingsprocesser.
- Insikt i GDPR: Direkt implementering av åtgärder för efterlevnad av GDPR, skapande av nödvändiga policyer och avtal enligt kraven i GDPR.
Steg 8: Genomföra riskanalys
- Åtgärd: Anlitade de bästa IT-säkerhetsexperterna för att genomföra flera riskanalyser.
- Utfall: De första problemen löstes och en god säkerhetsnivå bekräftades i efterföljande analyser.
- Insikt om GDPR: Uppfyller GDPR:s riskbaserade strategi för dataskydd.
Steg 9: Konsekvensbedömning avseende dataskydd (DPIA)
- Åtgärd: Samarbetade med juridiska rådgivare för att genomföra en DPIA, där all information och alla processer granskades.
- Utfall: Slutsatsen var att Indivd hade ett starkt argument för laglig databehandling enligt GDPR.
- Insikt om GDPR: Uppfyller GDPR:s krav på DPIA för behandlingar med hög risk.
Steg 10: Expertgranskning
- Åtgärd: Sökte granskningar och utmaningar från ledande experter inom IT-säkerhet, juridik och dataskydd.
- Utfall: Validerade lösningens laglighet och robusthet genom rigorösa tester.
- GDPR-insikt: Stödjer efterlevnaden av GDPR genom att söka extern validering.
Steg 11: Patentera anonymiseringsmetoden
- Åtgärd: Ansöker om patent för vår anonymiseringsmetod för bilddata.
- Utfall: Säkerställde godkända patent i Europa, USA, Asien och andra regioner.
- Insikt om GDPR: Processen undantas potentiellt från GDPR om verklig anonymisering uppnås.
Steg 12: Förhandssamråd med dataskyddsmyndigheten
- Åtgärd: Ansökt om förhandssamråd med Datainspektionen.
- Utfall: Myndigheten bekräftade att Indivd kan användas.
- GDPR-insikt: Ligger i linje med GDPR:s uppmuntran till samarbete mellan organisationer och tillsynsmyndigheter.
Steg 13: Löpande efterlevnad
- Åtgärd: Åtagit sig att upprätthålla och uppdatera efterlevnaden av GDPR kontinuerligt.
- Utfall: Säkerställer att framtida utveckling inte äventyrar dataskyddsstandarder och ser kontinuerlig efterlevnad som ett verksamhetskritiskt mål.
- GDPR-insikt: Reflekterar GDPR:s krav på kontinuerliga efterlevnadsinsatser.