EU-forordninger er lover som har bindende virkning i alle medlemslandene, som derfor må innføre dem øyeblikkelig uten å kunne endre en eneste artikkel (i motsetning til EU-direktiver). For EØS-land er en EU-forordning bindende først når alle EØS-landene samlet har godtatt den. EØS-landene har valgt å godta GDPR, som i Norge trådte i kraft 20. juli 2018. På norsk heter GDPR formelt personvernforordningen.
GDPR skal beskytte den registrerte (en naturlig person) med tilhørende personopplysninger. GDPR gjelder for en person som er innbygger/statsborger i EU/EØS, befinner seg i EU/EØS, eller har personopplysninger om seg lagret i EU/EØS.
Den behandlingsansvarlige vil typisk være eieren av tjenesten eller av applikasjonen som behandler personopplysninger. Den behandlingsansvarlige bestemmer formålet for, og på hvilken måte, disse personopplysningene behandles. Flere organisasjoner kan sammen dele behandlingsansvaret.
Databehandleren er en tredjepart som behandler personopplysninger på vegne av den behandlings-ansvarlige, og pliktene overfor den behandlingsansvarlige må spesifiseres i en databehandleravtale (f. eks lagring av data).
Personvernombudet gir råd til den behandlingsansvarlige eller databehandleren om de forpliktelsene som virksomheten har etter personvernloven. Offentlige etater (med visse unntak) og organisasjoner med over 250 ansatte må oppnevne personvernombud. Det må også databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre organisasjoner kan selv vurdere behovet.
I Norge er Datatilsynet tilsynsmyndighet som fører tilsyn av organisasjoners etterlevelse av GDPR. Overtredelse av GDPR kan straffes med bøter eller fengsel.
GDPR består av 99 artikler, og fire av dem er spesielt relevante fra perspektivet om å designe IT-løsninger med adekvat sikkerhet og personvern:
Artikkel 5 er en form for sammendrag av hele GDPR, som definerer hva som menes med begrepet personvern iht. GDPR og definerer syv kortfattede prinsipper:
Lovlighet, rettferdighet og åpenhet
Formålsbegrensning
Dataminimering
Riktighet
Lagringsbegrensning
Integritet og konfidensialitet
Ansvar
Artikkel 25 innebærer at det generelt skal tas hensyn til personvernprinsippene fra artikkel 5 i alle faser av livssyklusen til en tjeneste eller applikasjon som behandler personopplysninger. Fasene kan beskrives som kravspesifisering, design, koding, testing, idriftsetting og forvaltning.
Artikkel 32 definerer krav om konfidensialitet, integritet og tilgjengelighet for personopplysninger. Målene for sikkerhet er essensielle i denne sammenhengen, fordi personopplysninger er svært attraktive mål for trusselaktører. I risikovurderinger skal sannsynlighet og konsekvens av sikkerhetshendelser som skader personopplysninger inngå.
Artikkel 35 fastslår at det ved utvikling og idriftsetting av en tjeneste eller applikasjon/program som behandler personopplysninger, er det en lovpålagt plikt å påse at det er i samsvar med GDPR. Det gjøres ved å vurdere potensielt negative konsekvenser som kan skade personvernet for de registrerte. Dette kalles vurdering av personvernkonsekvenser på norsk, og DPIA (Data Protection Impact Assessment) på engelsk. Den engelske oversettelsen brukes også ofte på norsk. Artikkel 35 inneholder elleve punkter, og DPIA er et essensielt verktøy for overholdelse av GDPR.