Databeskyttelse gennem design indebærer, at den dataansvarlige allerede fra tidspunktet, hvor midlerne for behandlingen fastlægges (fx et nyt IT-system), skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper, det er fx lovlighed, rimelighed og gennemsigtighed.
Kort sagt skal den dataansvarlige på forhånd have designet og indrettet sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at databeskyttelsesforordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet.
Eksempler på foranstaltninger, der kan indbygges og udgøre databeskyttelse gennem design kan være:
- Minimering af persondatabehandlingen
- pseudonymisering
- kryptering af data i transit eller hvile
- sikring af infrastrukturen mod uautoriseret indtrængen.
Vejledningen er blevet til i samarbejde mellem Datatilsynet, Justitsministeriet og Digitaliseringsstyrelsen i regi af Den fællesoffentlige digitaliseringsstrategi 2016-2020.