19355609 - piles of stacks of green banknotes

Her er de sikkerhedsbrud, der giver bøder – og hvordan du undgår dem

rebecca

På grund af den måde, GDPR er skrevet, og at GDPR stadig er relativt nyt, står vi tit tilbage med spørgsmål. For eksempel, hvordan ved vi, om vores organisations retningslinjer og procedurer lever op til GDPR’s krav? Og hvor stor en bøde får vi, hvis vi ikke lever op til kravene?

DLA Piper offentliggjorde d. 20. januar 2021 en rapport, der opsummerer GDPR-bøder og sikkerhedsbrud over det seneste år. Rapporten giver os en bedre idé om, hvilke typer sikkerhedsbrud der resulterer i bøder, og hvilken type sikkerhedsbrud der vil blive tildelt bøder i fremtiden.

Denne artikel hjælper dig med at få en dybere forståelse af, hvilke typer sikkerhedsbrud, du skal være opmærksom på, og specifikke strategier, du kan bruge, der kan forhindre din virksomhed i at blive straffet.

De største bøder sidste år

Tabellen nedenfor illustrerer de tre største bøder, der blev givet sidste år. De illustrerer, hvor vigtigt det er at tage GDPR alvorligt.

Rang Tilsynsmyndighed Bøde Grund
1.
Frankrigs databeskyttelsesmyndighed, CNIL
€50m 

Google Inc, was fined for 

  • Failing to adequately explain how they process data.
  • Failing to have legal grounds to process data regarding personalised advertising.
2.
Hamborgs databeskyttelsesmyndighed
€35.26m

A global retailer was fined for 

  • Failing to have enough legal support for processing data.
3.
Italiens databeskyttelsesmyndighed, Garante
€27.8m

A telecommunications operator was fined for 

  • Failing to adequately explain how they process data. 
  • Failing to have legal grounds to process data 
  • And more 
GDPR fines
Klik for at forstørre

Denne artikel vil dække:

GDPR-bøder kan udfordres

Inden for det sidste år rapporterede EU-landene om en stigning på 19%, når det kommer til anmeldelser om sikkerhedsbrud. Det er et gennemsnit på 331 underretninger om dagen. Tilsynsmyndigheder har udstedt bøder for i alt 158,5 mio. EUR siden 28. januar 2020. Nogle organisationer appellerede dog med succes disse domme, hvilket førte til store reduktioner i forventede bøder. Bøderne blev reduceret med 80-90%, dels på grund af de økonomiske vanskeligheder forårsaget af Covid-19.

Den vigtigste pointe her: det lønner sig at anke og udfordre bøder.

Hvilke slags sikkerhedsbrud giver bøder?

De samme regler kan håndhæves på forskellige måder

Da hvert land har sin egen tilsynsmyndighed, varierer sikkerhedsbrud og bøder fra land til land. Selvom alle databeskyttelseslove i EU og Storbritannien stammer fra GDPR, er compliance-kulturen inden for organisationer meget forskellig.

Derudover har de separate tilsynsmyndigheder for databeskyttelse forskellige fortolkninger af lovgivningen og derfor forskellige håndhævelsesmetoder. Denne usikkerhed er mest udfordrende for multinationale organisationer, der opererer i mange forskellige lande, da det gør det sværere for dem at foregribe og implementere de forskellige fortolkninger af GDPR. På trods af dette blev bøderne opsummeret nedenfor ofte uddelt, uanset tilsynsmyndighed.

Manglende klar og åben kommunikation om, hvordan de behandler data

Organisationer er kommet i knibe, hvis de overfor kunderne ikke har været åbne og klare om, hvordan de behandler kundernes personlige data. Den vigtigste måde, hvorpå de kan kommunikere åbent og klart, er i deres privatlivsmeddelelse. Denne meddelelse skal forklare de enkelte brugere på en enkel måde, hvordan organisationen vil bruge deres personlige data, og hvordan deres praksis er i overensstemmelse med GDPR.

Organisationer har altså fået tildelt bøder for at have for komplicerede privacy notices (meddelser om beskyttelse af personlige oplysninger). Nogle blev også idømt en bøde, hvis meddelelser var for grynede, unøjagtige eller ikke fyldestgørende. For eksempel, hvis du flytter personlige data til et tredjeland (et der ikke er i EU), men ikke kommunikerer disse oplysninger, er din privatlivsmeddelelse ikke komplet og fyldestgørende.

Det er en hårfin grænse...

Udfordringen ved at udarbejde privacy notices kan være, at når du inkluderer for mange detaljer, er dit publikum muligvis ikke i stand til at forstå det og dermed overholdes GDPRs gennemsigtighedsprincip ikke. På den anden side, hvis du inkluderer for få detaljer, risikerer du at modtage en bøde for at give upræcise eller ukomplette oplysninger.

Mulig løsning: Tag en ‘lagdelt tilgang’ til privacy notices. Denne tilgang præsenterer en privacy notice på tre forskellige måder:

  1. En kort note (en kort forklaring på, hvorfor organisationen bruger personlige data, og hvor man kan henvende sig for mere information),
  2. En mellemlang note (en grafik der beskriver, hvordan de bruger personlige data),
  3. En lang note (en komplet og grundig meddelelse, der dækker alle nødvendige oplysninger for at overholde GDPR).

Dette er dog heller ikke en skudsikker løsning. Organisationer er også blevet idømt en bøde for denne metode, da brugerne i nogle tilfælde skulle læse og give accept til for mange forskellige privacy notices. I disse tilfælde blev oplysningerne præsenteret på en måde, der var alt for kompliceret for brugeren.

Pointen er, at det kan være ekstremt vanskeligt at forklare kompleksiteten i databehandlingen til almindelige brugere, der ikke har en juridisk uddannelse. Alt i alt havde rapporten ikke nogen stærk løsning på dette problem. Den vigtigste pointe her: fortsæt med forsigtighed under udarbejdelse af meddelelser om beskyttelse af personlige oplysninger og bed om hjælp, hvis du er i tvivl.

Manglende behandlingsgrundlag eller visning af behandlingsgrundlag til at anvende persondata

Der er mange forskellige scenarier, hvor din organisation har en juridisk grund til at behandle data.

For eksempel: din organisation sælger et abonnement til en musikapp og beder forbrugeren om at give samtykke, så du kan behandle deres musikalske præferencer for at foreslå andre sange og kunstnere, som de måske kan lide.

Nogle organisationer blev idømt bøder for manglende behandlingsgrundlag af personoplysninger. De blev også idømt en bøde, selv når der eksisterede et behandlingsgrundlag, men organisationen havde undladt at demonstrere eller dokumentere dette korrekt. Det viser, at dokumentation af behandlingsgrundlaget er lige så vigtig som eksistensen af et juridisk grundlag til at behandle persondata.

Derudover fik organisationer bøder, når behandlingen var baseret på et ugyldigt samtykke. Dette er et bredt udtryk, der dækker over en lang række situationer. Nogle af disse er:

  1. en person straffes eller går glip af en mulighed, hvis de ikke giver samtykke
  2. en person er måske ikke klar over, at de har givet samtykke
  3. organisationen navngiver sig ikke specifikt, når de beder om samtykke

For at sikre at personoplysninger bruges lovligt bør organisationer have:

  1. God datakortlægning i grundige og nøjagtige journaler over behandlingen.
  2. Regler og retningslinjer der beskytter personoplysninger korrekt.
  3. Dokumentation der viser, at de lovligt kan benytte personlige data.
  4. Tydelige privacy notices, der forbinder hver behandlingsaktivitet med loven, der giver dem mulighed for at bruge dataene.

Mulig løsning: Du kan anvende en risikobaseret tilgang, hvor du analyserer, hvilke ting der har højst risiko og konsekvens. Det sikrer, at I fokuserer på de mest kritiske GDPR-opgaver først. I kan hente vores skabelon til at lave risikoanalyser her. Når du laver analysen, kan du anvende Data Protection Impact Assessment (DPIA). Dette er en type risikovurdering, der kan hjælpe med at identificere, hvor der er databeskyttelsesrisici med et givet projekt eller plan. Når dette vurderingsværktøj anvendes korrekt, hjælper det dig med at kunne overholde alle databeskyttelsesforpligtelser.

Manglende implementering af passende sikkerhedsforanstaltninger

Når det kommer til GDPR skal organisationer bruge ’passende’ foranstaltninger. Det betyder, at niveauet af sikkerhed skal svare til, hvor stor risiko der er for den person, hvis data du behandler. Udtrykket ‘passende’ er meget subjektivt. Det gør det svært for organisationer at vide hvilke foranstaltninger, der er passende. Baseret på de bøder, der er blevet uddelt det sidste år, kan vi dog få en bedre forståelse af, hvad der kvalificerer som ’passende’ sikkerhedsforanstaltninger.

Følgende tabel er en liste over sikkerhedsforanstaltninger, som kan være nødvendige at implementere for at undgå en bøde.

Sikkerhedsforanstaltninger Forklaring

A privileged user is someone who has access to systems and data that might be sensitive and needs extra protection. It is therefore important to monitor these users by analysing behaviour and providing reports, to ensure that personal data is protected. 

En proces, der øger serverens sikkerhed ved at gøre det sværere at tilgå administratorkonti.
Kryptering af personlige data

Encryption refers to the process that converts clear text into a code that only can be decoded again with a special key. It is particularly useful for protecting sensitive personal data.   

En ekstra sikkerhedsforanstaltning, der kræver, at brugeren angiver to eller flere verifikationsfaktorer for at få adgang til en applikation, online konto eller andet. Dette kan være en forudbestemt adgangskode efterfulgt af en kode, der sendes til dig, eller en, som du allerede har i fysisk form. Vi kender det alle fra NemID.

This guarantees that users are who they say they are, and that they are allowed to access company data. You should use this on a needs basis, and remember to remove a user’s access when it is no longer necessary.  

Dette er et simuleret cyberangreb mod dit computersystem for at finde ud af, hvor du er sårbar. Dette er ikke en engangsforanstaltning og skal udføres regelmæssigt.
Undgå hardcoding af adgangskoder

Plain text passwords can easily be hacked. Hardcoding is the plain text passwords embedded in source code. Hardcoding passwords should be avoided.

Det er vigtigt at holde styr på mislykkede login-forsøg. Hvis der sker et sikkerhedsbrud, er det meget lettere at spore og undersøge ved at have denne log.
Dette er processen med at læse kildekode linje for linje for at identificere, hvor din organisation kan være sårbar. Det afslører muligvis også personlige data, der opbevares forkert. Samlet set kan det i høj grad forbedre en organisations sikkerhed.

Using the Payment Card Industry Data Security Standard (PCI DSS) 

Anvendelse af dette sæt sikkerhedsstandarder sikrer, at din organisation accepterer, behandler, gemmer eller overfører kreditkortoplysninger på den mest sikre måde.
Security measure GDPR
Klik for at forstørre

Mulig løsning: Man bør overveje og evaluere, hvorvidt der er behov for nogle af disse tiltag i ens organisations arbejde med at beskytte personlige data. Organisationer bør også overveje at dokumentere grundlaget for, hvorfor de vedtog eller udeladte en bestemt sikkerhedsforanstaltning.

Brud på principperne for dataminimering og datalagring

Organisationer har fået bøder, når de har behandlet for meget data eller har gemt for meget data. I de to årtier, før GDPR blev vedtaget, var der meget lidt regulering af, hvordan du kunne bruge personlige data kombineret med en enorm stigning i mængden af personoplysninger, der blev behandlet og lagret af organisationer. Nu står disse organisationer over for en tids- og ressourcekrævende opgave, hvor de skal udrede og sortere denne enorme mængde data. Det kræver følgende to ting:

  1. At finde og klassificere alle data i to kategorier: skal slettes (dataminimering) og gemmes.
  2. Sletning af personlige data der er gemt i gamle systemer og applikationer, som hverken kan eller nemt understøtter sikker sletning.

Mulige løsninger: For at løse dette og forhindre skade på datasubjekter skal organisationer skabe et overblik over alle deres data og slette data, som de ikke længere har brug for eller har ret til at behandle. Derudover er det vigtigt at udvikle retningslinjer og bruge systemer, der sikkert kan behandle data fremadrettet.

Overførsel af personoplysninger til tredjelande og internationale organisationer. Dette vil resultere i bøder i fremtiden

I juli 2020 blev Schrems II-dommen leveret af Europas højeste domstol, der bestemte at “ud over bøder, øjeblikkelig suspension af påståede ulovlige overførsler af personoplysninger fra EU til tredjelande”. Vi har endnu ikke set udfaldet af denne dom, og det kan tage et stykke tid, før den filtreres igennem til håndhævelsespraksis.

Mulig løsning: Vi afventer stadig de endelige udkast fra Kommissionen om, hvordan data skal behandles, der overføres til tredjepartslande (ethvert land der ikke er medlem af EU og UK). Normalt når organisationer skal overføre data til tredjepartslande, bruger de en “standard kontraktbestemmelse” til at gøre det. Denne kontrakt er beregnet til at beskytte personoplysninger, så når de forlader EU, forbliver de beskyttede af GDPR i andre lande, der ikke tilbyder den samme mængde beskyttelse af personoplysninger.

Når Kommissionen har opdateret denne politik, bør organisationer gennemføre en TIA (Transfer Impact Assessment). Denne illustrerer, hvilke risici der er forbundet med overførsel af personoplysninger fra EU, og din organisation bør revidere standardkontraktbestemmelserne i overensstemmelse hermed.

Sikker behandling af personoplysninger kan være en overvældende opgave. Ofte er de ansvarlige for denne opgave ikke juridiske eksperter i sagen, hvilket gør det endnu mere udfordrende. På vores blog kan du finde flere oplysninger om best practice inden for beskyttelse af persondata og processer, som kan gøre det lettere for jer at opnå et tilfredsstillende compliance-niveau.

Tilmeld dig vores nyhedsbrev

Modtag gratis skabeloner, værktøjer og nyheder fra CyberPilot

Join our 2000+ subscribers and sign up for our newsletter. You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.

Top