I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative GDPR bøder, men reglerne er anderledes i Danmark.
I Danmark fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder firmaets dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse, og så vil en eventuel bødestraf blive afgjort ved en domstol. Det er en langsommelig vej, som nok sikrer en mere retfærdig vurdering, men det hjælper ikke på datasikkerheden. I sidste afsnit i dette indlæg vil man se, at virkeligheden faktisk er en anden.
Der udstedes bøder, store GDPR bøder. For at give indsigt i hvilke fejl der findes, og hvor store GDPR bøder der gives, har jeg samlet en række eksempler fra ind- og udland. Disse eksempler siger lidt om, hvor alvorligt, det kan blive.
Gladsaxe og Hørsholm kommune
De to kommuner er jvf. Datatilsynet blevet indstillet til bøder på hhv. 100.000 kr. og 50.000 kr. Det startede med tyveri af nogle computere, som indeholdt personoplysninger. Hverken Gladsaxe Kommunes eller Hørsholm Kommunes computere var beskyttet med kryptering (og måske heller ikke adgangskontrol?), så det medførte tab af personoplysninger, som udgjorde en risiko for borgerne.
I det ene tilfælde blev en computer stjålet, og den indeholdte personoplysninger om 20.620 borgere, herunder personnumre og oplysninger af følsom karakter.
Det andet tilfælde af sikkerhedsbrud skete, da en medarbejder fra kommunen fik stjålet sin computer fra sin bil. På computeren lå der personoplysninger om cirka 1.600 medarbejdere ved kommunen, herunder oplysninger af følsom karakter og oplysning om personnumre.
Ticketmaster
BBC og ICO skriver i november 2020, at Ticketmaster UK har fået en bøde på 1,25 mio. £ for ikke at holde sine kunders personlige data sikre. Forseelsen skete i forbindelse med et cyberangreb på Ticketmasters website i 2018.
Det skal siges, at sagen ikke er slut, idet Ticketmaster jf. BBC vil appellere afgørelsen.
Information Commissioner’s Office (ICO) skriver, at personlige oplysninger og betalings oplysninger potentielt var blevet stjålet fra mere end 9 mio. kunder i Europa. Efter sigende blev tusindvis af bankkunder udsat for bedrageri og mange betalingskort måtte udskiftes.
Med i regnskabet tæller, at Ticketmaster ikke øgede overvågning af aktiviteten, da nogle banker advarede dem. ICO udtrykker det sådan, at “Ticketmaster should have done more to reduce the risk“.
En undersøgelse fandt en sårbarhed i en tredje parts chatbot, som Ticketmaster havde på sin betalingsside, så en hacker kunne bruge den chatbot til at få adgang til kunders betalings oplysninger.
ICO fandt, at Ticketmaster ikke vurderede risikoen ved at bruge en bestemt chatbot på dens betalingsside, ikke identificerede og gennemførte passende sikkerhedsforanstaltninger for at fjerne risikoen og ikke identificerede kilden til den bedrageriske aktivitet rettidigt.
Ticketmaster har nu en af de mest omfattende forklaringer om GDPR på sit website.
Taxa 4*35
Den første, der kom i klemme i Datatilsynet, var faktisk Taxa 4*35. Datatilsynet indstillede en bøde på 1.2 mio. kr. med begrundelsen, at Taxa 4×35 ikke havde slettet kundedata. De havde i 5 år opbevaret personhenførbare data fra taxature, nærmere bestemt telefonnummer på kunderne.
Marriott Hotels
Forbes fortæller, at hotelkæden Marriott International fik en bøde på 18,4 mio. £ for manglende sikring af millioner af gæsters personlige oplysninger. Det blev opdaget i september 2018, men skete i praksis før det pågældende hotel var blevet erhvervet af Marriott.
Hackere kunne få adgang til mange millioner gæsters data personlige data, omfattede gæsternes navne, e-mailadresser, telefonnumre, pasnumre, ankomst information og loyalitetsprogrammer.
British Airways
British Airways blev iflg. Forbes oktober 2020 idømt en bøde 20 millioner pund efter et datalovbrud i 2018, der påvirkede mere end 400.000 af flyselskabets kunder. Luftfartsselskabet behandlede “en betydelig mængde personoplysninger uden passende sikkerhedsforanstaltninger” i strid med databeskyttelsesloven.
British Airways manglende identifikation og løsning af disse sikkerhedssvagheder førte til cyberangrebet i 2018, hvor hackere fik adgang til kundedata.
Ligesom andre har for sen reaktion medvirket til bøden, idet British Airways først efter to måneder opdagede cyberangrebet. ”Deres manglende handling var uacceptabelt og påvirkede hundreder af tusinder af mennesker, hvilket kan have forårsaget en vis angst og angst som følge heraf“, skriver ICO.
IDdesign
Den danske møbelvirksomhed IDdesign har jvf. Datatilsynet undladt at slette oplysninger om navn, adresse, telefonnummer, e-mail og købshistorik på 385.000 kunder i deres ERP-systemer. Virksomheden havde derudover ikke fastsat frister for sletning af personoplysningerne. Samlet en forseelse takseret til 1.5 mio. kr.
Man kan også slette for meget
Medio maj 2020 blev en dansk virksomhed politianmeldt og indstillet til bøde for brud på GDPR. Baggrunden var, at virksomheden havde slettet personoplysninger efter at have modtaget en indsigtsbegæring, så indsigtsbegæringen ikke kunne opfyldes. Når man sletter personoplysninger i en sådan situation, fratager man også de registrerede muligheden for at udleve sine rettigheder.
EU og GDPR bøder
GDPR-folkene i EU har haft travlt. De har udstedt hundreder af bøder til virksomheder, herunder Google og Facebook, til sammen for mere end 114 millioner € i de første knap 2 år af GDPR. Men de første års erfaring, og ikke mindst Brexit, betyder at GDPR ikke har et statisk regelsæt. Læs om EU og GDPR i 2020.
Ups, det var ikke mange fra Danmark
Datatilsynet afslutter ofte en sag med en kritik eller påtale. Der er kun udstedt bøde i meget få tilfælde, muligvis kun i ovennævnte tilfælde.
Når Datatilsynet så tilmed offentligt har beklaget sig over ressourcer, er GDPR nok ikke et finmasket net i Danmark.
Det kan derfor synes underligt, at et flertal af folketinget er åbne over for ideen om at lempe GDPR med en ny ordning, hvor overtrædelser af reglerne i første omgang vil udløse et påbud, frem for en bøde. Mærkeligt, når det netop er den praksis, der anvendes i dag. Måske skal den blot retfærdiggøres.
Der var bred opbakning til det, da det blev drøftet sommer 2020, men det kan ikke vedtages uden at komme forbi EU, og det kan blive svært. Socialdemokratiets begrundelsen virker da også temmelig søgt. I version2 udtaler de, at “Der er ingen tvivl om, at det er meget komplekse regler, og regler som har givet rigtig mange bekymringer. Det holder jo folk tilbage, hvis de er bange for at få en bøde“. Jamen for pokker, er det ikke netop derfor de er der?
Virksomheden 2ndC vedligeholder på deres hjemmeside en række eksempler på GDPR bøder og afgørelser.
Indlæg af Ivan Munk på CXO2´s blog om IT på www.CxO2.dk/blog