Over et år efter persondataforordningens ikrafttræden modtager datatilsynet fortsat et højt antal anmeldelser om sikkerhedsbrud. Vi beskriver de mest frekvente fejl og det typiske bødeniveau.

Selvom GDPR har eksisteret siden d. 25. maj 2018, modtager datatilsynet fortsat store mængder af anmeldelser. Således kunne datatilsynet melde, at de pr. d. 31. marts 2019 havde modtaget 4.301 anmeldelser om brud på personsikkerheden, ligesom de tidligere i år indstillede Taxa 4×35 til en bøde på 1,2 mio. kr.

Føler du stadig, at GDPR er en by i Rusland? Frygt ej, vi har begået en GDPR-ordbog til dig her

Dit ansvar som dataansvarligt

Som dataansvarlig er du i udgangspunktet forpligtet til at anmelde et sikkerhedsbrud til Datatilsynet. Anmeldelsen skal falde uden unødig forsinkelse og senest 72 timer efter, at du er blevet bekendt med bruddet. Sker det ikke, er du medansvarlig, hvorfor du derfor risikerer at blive mødt med en heraf fremtvungen bødestraf.

Læs meget mere om dine forpligtelser som dataansvarlig på datatilsynets hjemmeside her.

4 typiske sikkerhedsbrud

Sikkerhedsbrud

Et sikkerhedsbrud er en hændelse, som fører til ulovlig tilintetgørelse, adgang, tab, ændring, uautoriseret adgang eller videregivelse af personoplysninger, der bliver behandlet.

Ifølge Datatilsynet er størstedelen af de anmeldte brud sket på baggrund af følgende:

1. Forkert modtager på afsendte personoplysinger

Flere end ⅔ af de anmeldte sikkerhedsbrud er forårsaget af, at personoplysninger er blevet sendt til forkert modtager. Denne type fejl er oftest menneskelig og finder i særdeleshed sted pr. mail eller brevpost.

I langt de fleste tilfælde kan denne type fejl imødekommes ved at dobbelttjekke adresser og ved, så ofte som muligt, ikke at benytte cc men derimod bcc, når mange modtagere skal flettes til samme e-mail.

2. Tyveri af udstyr eller dokumenter
En relativt stor andel af sikkerhedsbrud relaterer sig til tyveri, tab eller bortkommet materiale, der indeholder personfølsomme oplysninger.

Datatilsynet nævner i denne sammenhæng, at man i udgangspunktet bør bestræbe sig efter slet ikke at have personfølsomme oplysninger på materiel (computer, mobil, dokumenter etc.), som lettere mistes eller stjæles i der offentlige rum. I det omfang at sådanne materiel alligevel benyttes, bør man bestræbe sig efter at holde personfølsomme oplysninger krypteret, således at ingen uvedkommende kan læse de pågældende oplysninger, hvis enheden mistes.

3. Brud på fortrolighedsaftale
Personlig mangel på fortrolighed i forbindelse med behandling personoplysninger er den tredje hyppigste grund til sikkerhedsbrud. Denne situation opstår typisk, hvis en medarbejder sender en ukrypteret mail hvor anden aftale er indgået el. lign.

Som dataansvarlig kan det være svært at gardere sig mod denne type fejl. For at minimere risikoen for denne type hændelser, kan man praktisere intern uddannelse og gennemføre en række procedurer, som sørger for, at medarbejdere er så bekendt med fortrolighedsaftalen som muligt.

4. Phishing og hacking
Det hænder, at persondata kommer forkerte personer i hænde gennem udefra kommende påvirkning som fx phising og hacking. Denne type sikkerhedsbrud udgør heldigvis mindre end 5% af de samlede anmeldelser, men man bør alligevel være opmærksom på samme.

Det er i denne forbindelse essentielt at man som sørger for at tage de nødvendige foranstaltninger for at minimere chancen for angreb, hvilket typisk indebærer løbende opdateringer af interne systemer samt en korrekt konfigureret firewall.

Bødeniveauet

Der er endnu ikke vedtaget en generel guide til, hvad det koster at overtræde databeskyttelsesforordningen. Der er i EU uddelt bøder på alt mellem 37.000 kr. og 370 mio. kr.

Meget tyder altså på, at bødeniveauet beror på en konkret vurdering at den enkelte overtrædelse.

Her kan du læse, hvorfor datatilsynet indkræver 1,2 mio. fra 4×35

Få hjælp fra professionelle

Vores eksperter i persondataforordningen har stor erfaring med at sikre, at vores kunder overholder dem. Tag fat i Bo Mikael (København-kontoret) eller Niels Bjørndal Nygaard (Aarhus-kontoret), hvis du har brug for hjælp til at finde ud af, hvordan du bedst og nemmest bliver compliant med persondataforordningen, så du slipper for bøder.