Loading...

En status på GDPR:
6 måneder senere

De første bøder er begyndt at falde i EuropaSeks måneder efter, at GDPR trådte i kraft, gør 2ndC status over halvårets gang. 

Et halvt år er gået siden EU’s databeskyttelsesforordning fandt anvendelse. I løbet af de sidste år er GDPR blevet gennemdiskuteret – og gennemkritiseret – men hvordan har livet under loven egentlig været? 

Travl. For Datatilsynet i hvert fald. I juni modtog tilsynet 1.300 henvendelser, hvilket er 1.000 flere henvendelser end samme måned året før. Datatilsynets tilsynsleder Jesper Husmer Vang vurderede i sommers, at tilsynet skal tage stilling til cirka 20.000 sager i år. Før GDPR trådte i kraft behandlede de omtrent 5.000 sager årligt. 

Det vidner om, at GDPR har haft en betydelig indflydelse. Men blot en måned inden deadline viste en undersøgelse, at hver tredje danske virksomhed ikke var klar til, at håndhævelsen af reglerne trådte i kraft. Hvordan billedet ser ud i dag, er ikke opgjort. Men et kvalificeret gæt er, at langt fra alle danske virksomheder har så godt styr på deres processer, at de med sikkerhed kan sige, at de er compliant med GDPR. 

Persondatabeskyttelsesforordningen har dog indtil videre vist sig effektiv. Mest effektiv har den været til at installere en enorm respekt og frygt for de store bøder, virksomheder og organisationer nu potentielt kan blive ramt af. 

Status på GDPR 6 måneder efter
Meget tyder på, at langt fra alle danske virksomheder har styr på deres processer (Foto af Paulius Dragunas på Unsplash)

Et dyk ned i bødekassen

I Danmark har livet under GDPR været relativt stille de sidste seks måneder. Bøderne har ikke ramt os endnu, men skulle efter sigende være på vej. 

”Det er ikke sådan, at bare fordi vi konstaterer noget, som ser mystisk ud, så udskriver vi en bøde dagen efter. Realistisk set får vi de første bøder gennem systemet sent efterår eller ved juletid, hvis jeg skal forsøge mig som spåkone. Måske lidt før,” udtalte Cristina Angela Gulisano, direktør for Datatilsynet, til Altinget i juli. 

Det er lige op over nu. Præcis på halvårsdagen – den 25. november 2018 – kom det frem, at GoMentor, Danmarks største online-portal for psykologer og terapeuter, har sendt beskrivelser af navngivne klienters personlige problemer til andre brugere. Disse oplysninger kunne tilgås uden brug af password. En ekstra alvorlig sag, fordi det handler om dybt personlige helbredsoplysninger. Hvis politiets og Datatilsynets efterforskning fører til en sag, står GoMentor med stor sandsynlighed overfor en betragtelig GDPR-bøde. 

Men selvom vi stadig venter danske eksempler på håndhævelse af databeskyttelsesforordningen, har der dog bestemt ikke været stille på den internationale front.  

I oktober afslørede Facebook, at det sociale medie havde været udsat for et hackerangreb, hvor oplysninger om 29 millioner Facebook-brugere blev stjålet. Det enorme tal inkluderer tre millioner EU-borgere. Derfor kan Facebook potentielt se frem til en GDPR-bøde i milliardklassen, når The Irish Data Protection Commission fælder sin endelige dom. 

Hvis der er noget, de sidste måneder bør minde os om, så er det dog, at man ikke er sikker bare fordi, man ikke er en verdensomspændende techgigant. GDPR kan også ramme både små og mellemstore organisationer ganske hårdt. 

GDPR-riven ude i Portugal og Tyskland

Oktober var afsløringernes måned. Her nåede endnu en GDPR-relateret nyhed de danske og internationale medier: Det portugisiske Hospital do Barreiro er idømt en bøde på 400.000 euro for sløset omgang med patientdata. Bøden blev tildelt, fordi hospitalet ganske enkelt ikke havde styr på deres adgangsprocedurer, og for mange medarbejdere havde uretmæssigt adgang til for meget. Hospitalet havde tildelt hele 985 brugere adgang til patienternes kliniske data. Det til trods for, at kun 296 af hospitalets medarbejdere havde medicinsk baggrund og dermed grund til at tilgå de data. 

Endelig har Tyskland også været ude med GDPR-riven for nylig. Datingsitet Knuddel blev i sommers udsat for et hack, hvor 330.000 brugeres data (bl.a. adgangskoder) blev stjålet og senere offentliggjort. Efterforskningen afslørede, at Knuddel havde koderne liggende i klartekst og i ikke-krypteret format. Derfor er de blevet idømt en bøde på 20.000 euro. En bøde, der kunne have været meget højere. Det tyske datatilsyn vurderede nemlig, at datingsitet havde styr på alle processer og procedurer, og derudover var hurtige til at forbedre deres it-sikkerhedsarkitektur. 

Bøderne understreger præcist, hvor vigtigt det er at have processerne for persondatabeskyttelse i orden – og ikke mindst at have styr på de tekniske foranstaltninger, der muliggør den beskyttelse. Det kan du læse meget mere om i et blogindlæg vi bragte i dagene op til den 25. maj 2018. 

Seneste indlæg


IDENTITET: Nøglen til digital transformation

Den korte e-guide til at realisere forretningsværdien af Identity & Access Management. Brug dit digitaliseringsprojekt til at booste din virksomheds sikkerhed, effektivitet og compliance.

læs mere om e-guiden
2018-11-29T15:33:04+00:00

Hvert kvartal udsender vi et nyhedsbrev om udviklingen og trends inden for Identity Access Management. Vil du også blive klogere på, hvad der rører sig inden for branchen – og i 2ndC?   Så tilmeld dig vores mailingliste.

SKRIV DIG OP TIL VORES NYHEDSBREV

SKRIV DIG OP TIL VORES NYHEDSBREV