Her er de sikkerhedsbrud, der giver bøder – og hvordan du undgår dem

Rebecca Wine
By: Rebecca Wine GDPR | 6 december

På grund af den måde, GDPR er skrevet, og at GDPR stadig er relativt nyt, står vi tit tilbage med spørgsmål. For eksempel, hvordan ved vi, om vores organisations retningslinjer og procedurer lever op til GDPR’s krav? Og hvor stor en bøde får vi, hvis vi ikke lever op til kravene?

DLA Piper offentliggjorde d. 20. januar 2021 en rapport, der opsummerer GDPR-bøder og sikkerhedsbrud over det seneste år. Rapporten giver os en bedre idé om, hvilke typer sikkerhedsbrud der resulterer i bøder, og hvilken type sikkerhedsbrud der vil blive tildelt bøder i fremtiden.

Denne artikel hjælper dig med at få en dybere forståelse af, hvilke typer sikkerhedsbrud, du skal være opmærksom på, og specifikke strategier, du kan bruge, der kan forhindre din virksomhed i at blive straffet.

De største bøder sidste år

Tabellen nedenfor illustrerer de tre største bøder, der blev givet sidste år. De illustrerer, hvor vigtigt det er at tage GDPR alvorligt.

 

Rang

Tilsynsmyndighed

Bøde

Grund

1.

Frankrigs databeskyttelsesmyndighed, CNIL

€50m

Google Inc, fik bøde for utilstrækkelig forklaring af hvordan de behandler data og manglende juridisk grund til at behandle data vedrørende målrettet annoncering.

2.

Hamborgs databeskyttelsesmyndighed

€35,26m

En global detailhandler blev idømt en bøde for manglende tilstrækkelig juridisk grund til behandling af data.

3.

Italiens databeskyttelsesmyndighed, Garante

€27,8m

En teleoperatør blev idømt en bøde for utilstrækkelig forklaring af hvordan de behandler data, manglende juridisk grund til at behandle data og mere.

 

Denne artikel vil dække:

  • Muligheden for at anke bøder

  • Overvejelser for multinationale organisationer

  • Fire typer sikkerhedsbrud der ofte blev idømt en bøde sidste år

  • Ulovlig overførsel af data til tredjepartslande: fremtidige databøder

  • Hvis du vil vide vil videre mer om GDPR generelt, så kan du læse mere her

Smart CTA_e-book DK

GDPR-bøder kan udfordres

Inden for det sidste år rapporterede EU-landene om en stigning på 19%, når det kommer til anmeldelser om sikkerhedsbrud. Det er et gennemsnit på 331 underretninger om dagen. Tilsynsmyndigheder har udstedt bøder for i alt 158,5 mio. EUR siden 28. januar 2020. Nogle organisationer appellerede dog med succes disse domme, hvilket førte til store reduktioner i forventede bøder. Bøderne blev reduceret med 80-90%, dels på grund af de økonomiske vanskeligheder forårsaget af Covid-19.

Den vigtigste pointe her: det lønner sig at anke og udfordre bøder.

Hvilke slags sikkerhedsbrud giver bøder?

De samme regler kan håndhæves på forskellige måder

Da hvert land har sin egen tilsynsmyndighed, varierer sikkerhedsbrud og bøder fra land til land. Selvom alle databeskyttelseslove i EU og Storbritannien stammer fra GDPR, er compliance-kulturen inden for organisationer meget forskellig.

Derudover har de separate tilsynsmyndigheder for databeskyttelse forskellige fortolkninger af lovgivningen og derfor forskellige håndhævelsesmetoder. Denne usikkerhed er mest udfordrende for multinationale organisationer, der opererer i mange forskellige lande, da det gør det sværere for dem at foregribe og implementere de forskellige fortolkninger af GDPR. På trods af dette blev bøderne opsummeret nedenfor ofte uddelt, uanset tilsynsmyndighed.

Manglende klar og åben kommunikation om, hvordan de behandler data

Organisationer er kommet i knibe, hvis de overfor kunderne ikke har været åbne og klare om, hvordan de behandler kundernes personlige data. Den vigtigste måde, hvorpå de kan kommunikere åbent og klart, er i deres privatlivsmeddelelse. Denne meddelelse skal forklare de enkelte brugere på en enkel måde, hvordan organisationen vil bruge deres personlige data, og hvordan deres praksis er i overensstemmelse med GDPR.

Organisationer har altså fået tildelt bøder for at have for komplicerede privacy notices (meddelser om beskyttelse af personlige oplysninger). Nogle blev også idømt en bøde, hvis meddelelser var for grynede, unøjagtige eller ikke fyldestgørende. For eksempel, hvis du flytter personlige data til et tredjeland (et der ikke er i EU), men ikke kommunikerer disse oplysninger, er din privatlivsmeddelelse ikke komplet og fyldestgørende.

Det er en hårfin grænse...

Udfordringen ved at udarbejde privacy notices kan være, at når du inkluderer for mange detaljer, er dit publikum muligvis ikke i stand til at forstå det og dermed overholdes GDPRs gennemsigtighedsprincip ikke. På den anden side, hvis du inkluderer for få detaljer, risikerer du at modtage en bøde for at give upræcise eller ukomplette oplysninger.

Mulig løsning: Tag en ‘lagdelt tilgang’ til privacy notices. Denne tilgang præsenterer en privacy notice på tre forskellige måder:

  1. En kort note (en kort forklaring på, hvorfor organisationen bruger personlige data, og hvor man kan henvende sig for mere information),

  2. En mellemlang note (en grafik der beskriver, hvordan de bruger personlige data),

  3. En lang note (en komplet og grundig meddelelse, der dækker alle nødvendige oplysninger for at overholde GDPR).

Dette er dog heller ikke en skudsikker løsning. Organisationer er også blevet idømt en bøde for denne metode, da brugerne i nogle tilfælde skulle læse og give accept til for mange forskellige privacy notices. I disse tilfælde blev oplysningerne præsenteret på en måde, der var alt for kompliceret for brugeren.

Pointen er, at det kan være ekstremt vanskeligt at forklare kompleksiteten i databehandlingen til almindelige brugere, der ikke har en juridisk uddannelse. Alt i alt havde rapporten ikke nogen stærk løsning på dette problem. Den vigtigste pointe her: fortsæt med forsigtighed under udarbejdelse af meddelelser om beskyttelse af personlige oplysninger og bed om hjælp, hvis du er i tvivl.

Manglende behandlingsgrundlag eller visning af behandlingsgrundlag til at anvende persondata

Der er mange forskellige scenarier, hvor din organisation har en juridisk grund til at behandle data.

For eksempel: din organisation sælger et abonnement til en musikapp og beder forbrugeren om at give samtykke, så du kan behandle deres musikalske præferencer for at foreslå andre sange og kunstnere, som de måske kan lide.

Nogle organisationer blev idømt bøder for manglende behandlingsgrundlag af personoplysninger. De blev også idømt en bøde, selv når der eksisterede et behandlingsgrundlag, men organisationen havde undladt at demonstrere eller dokumentere dette korrekt. Det viser, at dokumentation af behandlingsgrundlaget er lige så vigtig som eksistensen af et juridisk grundlag til at behandle persondata.

Derudover fik organisationer bøder, når behandlingen var baseret på et ugyldigt samtykke. Dette er et bredt udtryk, der dækker over en lang række situationer. Nogle af disse er:

  1. en person straffes eller går glip af en mulighed, hvis de ikke giver samtykke

  2. en person er måske ikke klar over, at de har givet samtykke

  3. organisationen navngiver sig ikke specifikt, når de beder om samtykke

For at sikre at personoplysninger bruges lovligt bør organisationer have:

  1. God datakortlægning i grundige og nøjagtige journaler over behandlingen.

  2. Regler og retningslinjer der beskytter personoplysninger korrekt.

  3. Dokumentation der viser, at de lovligt kan benytte personlige data.

  4. Tydelige privacy notices, der forbinder hver behandlingsaktivitet med loven, der giver dem mulighed for at bruge dataene.

Mulig løsning: Du kan anvende en risikobaseret tilgang, hvor du analyserer, hvilke ting der har højst risiko og konsekvens. Det sikrer, at I fokuserer på de mest kritiske GDPR-opgaver først. I kan hente vores skabelon til at lave risikoanalyser her. Når du laver analysen, kan du anvende Data Protection Impact Assessment (DPIA). Dette er en type risikovurdering, der kan hjælpe med at identificere, hvor der er databeskyttelsesrisici med et givet projekt eller plan. Når dette vurderingsværktøj anvendes korrekt, hjælper det dig med at kunne overholde alle databeskyttelsesforpligtelser.

Manglende implementering af passende sikkerhedsforanstaltninger

Når det kommer til GDPR skal organisationer bruge ’passende’ foranstaltninger. Det betyder, at niveauet af sikkerhed skal svare til, hvor stor risiko der er for den person, hvis data du behandler. Udtrykket ‘passende’ er meget subjektivt. Det gør det svært for organisationer at vide hvilke foranstaltninger, der er passende. Baseret på de bøder, der er blevet uddelt det sidste år, kan vi dog få en bedre forståelse af, hvad der kvalificerer som ’passende’ sikkerhedsforanstaltninger.

Følgende tabel er en liste over sikkerhedsforanstaltninger, som kan være nødvendige at implementere for at undgå en bøde.

 

Sikkerhedsforanstaltninger

Forklaring

Overvågning af privilegerede brugerkonti

En privilegeret bruger er en person, der har adgang til systemer og data, der kan være følsomme, og derfor har brug for ekstra beskyttelse. Det er derfor vigtigt at overvåge disse brugere ved at analysere adfærd og levere rapporter for at sikre, at personlige data er beskyttet.

Server Hardening

En proces, der øger serverens sikkerhed ved at gøre det sværere at tilgå administratorkonti.

Kryptering af personlige data

Kryptering refererer til den proces, der omdanner tekst til en kode, der kun kan afkodes igen med en speciel nøgle. Det er især nyttigt til beskyttelse af følsomme personlige data, da det sikrer, at det kun er folk med nøglen, der kan tilgå data.

Multifaktor-autentifikation

En ekstra sikkerhedsforanstaltning, der kræver, at brugeren angiver to eller flere verifikationsfaktorer for at få adgang til en applikation, online konto eller andet. Dette kan være en forudbestemt adgangskode efterfulgt af en kode, der sendes til dig, eller en, som du allerede har i fysisk form. Vi kender det alle fra NemID.

Adgangskontrol

Dette garanterer, at brugerne er, hvem de siger, de er, og at de er tilladt adgang til data. Du skal bruge dette efter behov og huske at fjerne en brugers adgang, når den ikke længere er nødvendig.

Penetrationstest

Dette er et simuleret cyberangreb mod dit computersystem for at finde ud af, hvor du er sårbar. Dette er ikke en engangsforanstaltning og skal udføres regelmæssigt.

Undgå hardcoding af adgangskoder

“Plain-tekst” adgangskoder kan let hackes. Hardcoding er plain-tekst adgangskoder, der er indlejret i ens kildekode. Hardcoding skal undgås.

Logning af mislykkede login-forsøg

Det er vigtigt at holde styr på mislykkede login-forsøg. Hvis der sker et sikkerhedsbrud, er det meget lettere at spore og undersøge ved at have denne log.

Gennemgang af manuel kode

Dette er processen med at læse kildekode linje for linje for at identificere, hvor din organisation kan være sårbar. Det afslører muligvis også personlige data, der opbevares forkert. Samlet set kan det i høj grad forbedre en organisations sikkerhed.

Anvende Payment Card Industry Data Security Standard (PCI DSS)

Anvendelse af dette sæt sikkerhedsstandarder sikrer, at din organisation accepterer, behandler, gemmer eller overfører kreditkortoplysninger på den mest sikre måde.

 

Mulig løsning: Man bør overveje og evaluere, hvorvidt der er behov for nogle af disse tiltag i ens organisations arbejde med at beskytte personlige data. Organisationer bør også overveje at dokumentere grundlaget for, hvorfor de vedtog eller udeladte en bestemt sikkerhedsforanstaltning.

Brud på principperne for dataminimering og datalagring

Organisationer har fået bøder, når de har behandlet for meget data eller har gemt for meget data. I de to årtier, før GDPR blev vedtaget, var der meget lidt regulering af, hvordan du kunne bruge personlige data kombineret med en enorm stigning i mængden af personoplysninger, der blev behandlet og lagret af organisationer. Nu står disse organisationer over for en tids- og ressourcekrævende opgave, hvor de skal udrede og sortere denne enorme mængde data. Det kræver følgende to ting:

  1. At finde og klassificere alle data i to kategorier: skal slettes (dataminimering) og gemmes.

  2. Sletning af personlige data der er gemt i gamle systemer og applikationer, som hverken kan eller nemt understøtter sikker sletning.

Mulige løsninger: For at løse dette og forhindre skade på datasubjekter skal organisationer skabe et overblik over alle deres data og slette data, som de ikke længere har brug for eller har ret til at behandle. Derudover er det vigtigt at udvikle retningslinjer og bruge systemer, der sikkert kan behandle data fremadrettet.

Overførsel af personoplysninger til tredjelande og internationale organisationer. Dette vil resultere i bøder i fremtiden

I juli 2020 blev Schrems II-dommen leveret af Europas højeste domstol, der bestemte at “ud over bøder, øjeblikkelig suspension af påståede ulovlige overførsler af personoplysninger fra EU til tredjelande”. Vi har endnu ikke set udfaldet af denne dom, og det kan tage et stykke tid, før den filtreres igennem til håndhævelsespraksis.

Mulig løsning: Vi afventer stadig de endelige udkast fra Kommissionen om, hvordan data skal behandles, der overføres til tredjepartslande (ethvert land der ikke er medlem af EU og UK). Normalt når organisationer skal overføre data til tredjepartslande, bruger de en “standard kontraktbestemmelse” til at gøre det. Denne kontrakt er beregnet til at beskytte personoplysninger, så når de forlader EU, forbliver de beskyttede af GDPR i andre lande, der ikke tilbyder den samme mængde beskyttelse af personoplysninger.

Når Kommissionen har opdateret denne politik, bør organisationer gennemføre en TIA (Transfer Impact Assessment). Denne illustrerer, hvilke risici der er forbundet med overførsel af personoplysninger fra EU, og din organisation bør revidere standardkontraktbestemmelserne i overensstemmelse hermed.

Sikker behandling af personoplysninger kan være en overvældende opgave. Ofte er de ansvarlige for denne opgave ikke juridiske eksperter i sagen, hvilket gør det endnu mere udfordrende. På vores blog kan du finde flere oplysninger om best practice inden for beskyttelse af persondata og processer, som kan gøre det lettere for jer at opnå et tilfredsstillende compliance-niveau.