At undren over en EU-forordning kan ramme top 10 over mest stillede spørgsmål, siger ikke så lidt om GDPR’s folkelige gennemslagskraft. Og 2018 vil da også for altid stå som året, hvor begreber som ”dataansvarlig”, ”fortegnelse” og ”registreredes rettigheder” for alvor blev en del af danskernes ordforråd.

GDPR trådte som bekendt i kraft den 25. maj i år, hvilket nu er lidt over et halvt år siden. For mange virksomheder var forordningens ikrafttræden imødeset med spænding. For nogle var det frygt og forvirring over det nye bøderegime, mens forordningen af andre er blevet set som en kærkommen sikkerhedsvest til styrkelsen af privatlivssikkerhed i den digitale tidsalder.

GDPR har nyhedsværdi

Bøderne, som kan være ekstremt høje, har da også ført til, at der er nyhedsværdi i ethvert brud på persondatasikkerhed. Derfor fik det også stor opmærksomhed, da Erhvervsstyrelsen her i december rejste sag mod YouSee (TDC), efter at teleselskabet i 4 dage havde offentliggjort navne og adresser på 4.800 kunder, som havde ønsket at holde disse oplysninger hemmelige.

Det samme var tilfældet, da Datatilsynet i november på en brugers opfordring politianmeldte terapiportalen GoMentor. Brugeren, der anmeldte bruddet, havde opdaget, at man kunne få adgang til andres klienter dybt fortrolige informationer uden at angive ekstra adgangskoder.

Senest er det hos vores norske brødre, at persondataalarmerne har blinket, da filer som indeholdte brugernavne og adgangskoder var blevet gjort tilgængelige for både elever og ansatte i grundskolen i Bergen. Det norske datatilsyn har varslet om en bøde på op imod 1,6 millioner norske kroner. 

Ingen af sagerne har fået endelige afgørelser.

GDPR status: De første afgørelser

Mens afgørelserne lader vente lidt på sig i Danmark, så har flere datatilsyn rundt i Europa allerede været aktive med bøderne. Afgørelser fra andre EU-lande er vigtige at fremhæve, da de kan have stor betydning for, hvordan de danske domstole vælger at lægge bødeniveauet.

I efteråret var det portugisiske datatilsyn ude med bøder på sammenlagt 400.000 euro til hospitalet O hospital do Barreiro. Her havde personale haft uretmæssig adgang til patienters data, og der var angiveligt oprettet falske profiler. Hospitalet havde således 985 læger oprettet i systemet, men kun 296 læger var ansat på hospitalet. Senere meldinger fra hospitalet tyder på et juridisk efterspil om tilsynets afgørelse.

Også datatilsynet i den tyske delstat Baden-Württemberg har været ude med hammeren. Denne sag omhandlede datinghjemmesiden Knuddels.de, hvor hackere stjal data fra 330.000 brugere. Blandt det stjålne data var adgangskoder og mailadresser. Adgangskoderne var opbevaret i ikke-krypteret format.
Knuddels blev tildelt en bøde på 20.000 euro. I afgørelsen blev lagt vægt på virksomhedens samarbejdsvillighed, og det blev fra tilsynets side kraftigt indikeret, at bøden kunne have væsentligt større, hvis Knuddels havde haft en anden indstilling.

Siden er flere landes datatilsyn kommet på banen, og vi venter spændt på de første danske GDPR-afgørelser (og bøder). Selvom den danske databeskyttelseslovs § 42 også giver det danske datatilsyn en begrænset hjemmel til at udstede bøder i visse ukomplicerede sager, så er det i første omgang primært de danske domstoles afgørelser, som man holde øje med.

Vær proaktiv og hav procedurer på plads!

Hvis man skal drage fællestræk fra afgørelserne, så er det, at samtlige datatilsyn i Europa har travlt, og derfor vil de mest sandsynligt tage sager op, såfremt der bliver meldt om sikkerhedsbrud eller at der kommer anden anmeldelse.

En vigtig lære er her, at det kan betale sig at være proaktiv. I Knuddels-sagen fra Baden-Württemberg var virksomhedens proaktivitet et afgørende element for bødens begrænsede størrelse.

Derfor kan vi kun opfordre til i denne GDPR status, at man giver sin virksomhed den julegave at kombinere gode tekniske foranstaltninger med ordentlige procedurer til håndtering af sikkerhedshændelser. På den måde sikrer man også at kunne håndtere situationen, hvis uheldet er ude.

Er konklusionen så, at bøderne er så slemme som frygtet? I de første afgørelser er der stadig langt op til maksimalbøderne på 10-20 millioner euro. Den enorme omtale af GDPR kan dog føre til, at det mediemæssige fokus viser sig at være mindst lige så slemt som bøderne. Ingen virksomheder ønsker at blive kendt som dem, der ikke havde styr på persondatasikkerheden. Specielt ikke i en tid, hvor god dataetik bliver brugt som en forretningsstrategi. Hos REVI-IT ser vi derfor positivt på det stigende antal virksomheder, som gør dataetik til en konkurrencefordel.

Fortolkningernes tid

Selvom de første afgørelser altså allerede har set dagens lys, så er det først og fremmest fortolkningernes tid, og her spiller Datatilsynet en afgørende rolle.

Datatilsynet har siden GDPR’s ikrafttrædelse været ude med adskillige udtalelser og fortolkninger. Eksempelvis skal private virksomheder fra 1. januar 2019 kryptere mail, som indeholder fortrolige eller følsomme oplysninger. Man kan læse mere i vores artikel her.

Senest har Datatilsynet offentliggjort en liste over de gennemførte tilsyn her fra det forgangne efterår. Her kan man se, at fokus blandt andet har været sletning og behandlingssikkerhed.

Næste år bliver endnu mere spændende

En ting, der i hvert fald er sikkert, er, at vi bliver endnu klogere til næste år, når flere afgørelser ser dagens lys. Og hvis man stadig ikke mener, at der sker nok på persondataområdet, så minder vi om, at 2019 formentligt bliver året, hvor ePrivacy forordningen bliver vedtaget.

En anden ting, der står til troende, er, at vi fortsat vil følge udviklingen intenst her fra Jens Kofods Gade. 2018 har for os været et ualmindeligt produktivt år, hvor vi har gennemført adskillige GDPR-modningsforløb og afgivet ISAE 3000 (GDPR) erklæringer. Til at sikre den mest kompetente løsning for vores kunder har vi ansat flere GDPR-specialister, der står klar til at rådgive og vurdere virksomheder med udgangspunkt i GDPR’s risikobaserede tilgang. Vi har også udviklet skabeloner og inspirationsmateriale, der klæder vores kunder godt på, så man kan gøre persondata til en konkurrencefordel.

Glædelig jul fra REVI-IT!