VECKANS KRÖNIKA

GDPR – en fluga eller varaktig förändring? Europas första domar faller

Sex månader efter att GDPR börjat gälla börjar vi se effekter av lagen ute i Europa. Vi kan tydligt se att tillsynsmyndigheterna i de olika medlemsländerna kommer att använda sig av de sanktionsmöjligheter som lagen medger. 4 miljoner är den hittills högsta sanktionsavgift som utdömts och den var ett resultat av bristande hantering av behörighetssystem. Övriga utdömda sanktioner gäller intrång av hackers och felaktigt utnyttjande av bevakningskameror. Eftersom det är inskrivet i lagen att alla tillsynsmyndigheter måste agera likartat är det bara en fråga om tid innan första sanktionsavgiften utdöms i Sverige.  

Bakgrund

GDPR har kommit till för att skydda individers fri- och rättigheter, vilket är en behövlig motvikt i en tid när stora bolag såsom Google, LinkedIn och Facebook har gjort det till sin affärsidé att samla in individers uppgifter och tjäna stora pengar på att sälja informationen vidare.  Men GDPR leder även till att samtliga organisationer, stora bolag som små, måste anpassa sig. Under våren, med en kulmen den 25 maj, överöstes vi med information kring hur alla bolag värnade om vår integritet, men efter detta har rapporteringen tystnat avsevärt i mediabruset. Var GDPR en fluga eller kommer lagen att leda till en verklig förändring?

Eftersom GDPR är en förordning som har en inbyggd mekanism att samtliga länder måste vara likvärdiga i sin tillämpning kan vi få en god fingervisning om hur vår framtid i Sverige kommer att se ut genom att titta på domar avkunnade i andra länder i Europa.

Situationen i Europa

Sverige har en tradition av tillit till myndigheter och myndigheterna har hellre tillrättavisat istället för att utdöma sanktioner. Detta gör att vi i Sverige inte haft en enda böter utdömd av Datainspektionen, DI, under tidigare lagstiftning trots att personuppgiftslagen, PuL, reglerade nästan samma frågor som GDPR gör. 

I Europa har läget varit annorlunda, t.ex. har DI:s motsvarighet i England, ICO, regelbundet utdömt stora sanktioner mot olika organisationer. Ett av de senare exemplen var mot Cambridge Analytica vilket var på maxbeloppet för den tidigare lagstiftningen på 500.000 pund. Hade den incidenten hanterats enligt GDPRs hade sanktionsbeloppet varit avsevärt större! 

Det pågår många utredningar i Europas alla länder nu och det kommer att hända mycket de närmaste månaderna. Men av de domar som redan fallit kan vi dra några slutsatser av vad som komma skall. 

Portugal fick i dagarna sina första GDPR-böter på 400.000 euro. Ärendet gällde ett sjukhus som inte hade tillräckliga tekniska och organisatoriska skyddsåtgärder på plats för att skydda sina patientdata. Bland annat hade läkare tillgång till patientuppgifter utan att säkert kunna styrka sin identitet. t.ex. fanns det många fler läkare/läkarprofiler registrerade än läkare på sjukhuset. Läkare hade även tillgång till patientdata utanför det specialistområde som de ansvarade för. CNPD (den portugisiska tillsynsmyndigheten) konstaterade att deras tekniska och organisatoriska skyddsåtgärder måste stärkas och utdelade böter på 400.000 euro. Sjukhuset har överklagat detta beslut med motiveringen att man använder samma IT-system som tillhandahålls av offentliga sjukhus genom det portugisiska hälsoministeriet. CNPD har dock beslutat att detta inte är ett giltigt skäl då det är sjukhusets ansvar att säkerställa att IT-systemen lever upp till GDPRs krav.

Även Tysklands första sanktionsavgift har utdelats. Fallet är mycket intressant då det visar att det är viktigt att vara öppen och transparent mot tillsynsmyndigheten och att på allvar utreda ett intrång och förbättra sig troligtvis leder till mildare straff.

Den 21:a november utdömde Data Protection and Freedom of Information Baden-Wuerttemberg (LfDI) den första sanktionsavgiften i Tyskland under GDPR. Sanktionsavgiften blev 20.000 euro. En analys av hur man kommit fram till det beloppet kan visa på insikter hur Europas tillsynsmyndigheter resonerar i sin tillämpning av GDPR.

Bakgrunden till domen rör en site som heter “Knuddels.se” som hackades i september i år. Företaget som blev hackat rapporterade att ca 808.000 e-postadresser och lösenord hade läckt ut i hackerattacken och det kunde konstateras att denna data läckt ut från sidan. När företaget blivit medvetet om intrånget och att data läckts ut rapporterade de detta till tillsynsmyndigheten, LfDI, i enlighet med kraven i GDPR. De meddelande även sina kunder om att intrånget hade skett och att deras lösenord var läckta. Vid den följande undersökningen framkom det dock att lösenorden som läckts ut inte var krypterade utan lagrats i ren text. Eftersom detta är ett tydligt brott mot GDPRs artikel 32.1 om att det måste finnas tillräckliga skyddsåtgärder utdömde tillsynsmyndigheten företaget en sanktionsavgift på  20.000 euro. LfDI konstaterade att det faktiska data som läckts var allvarligt, dessutom att man ej skyddat uppgifterna var allvarligt, men den snabba återkopplingen till både kunder och tillsynsmyndigheten samt att man lagt avsevärda summor på att rätta upp sin säkerhet efter incidenten var mycket bra. Sammantaget ledde deras agerande efter incidenten till att sanktionsavgiften mildrades avsevärt.

Var står Sverige?

I Sverige inledde Datainspektionen sin granskning med att verifiera vilka organisationer som hade utsett ett skyddsombud, då detta är ett tydligt lagkrav för vissa branscher.  Denna har nu redovisats och ett flertal organisationer fick reprimander, men inga sanktionsavgifter utdömdes. Man har sedan 25 maj fått in över 2.000 incidenter som skall värderas. DI har varit tydlig med att det är bättre att rapportera in en incident och att det kommer att vara till fördel om man tydligt samarbetar med myndigheten om en incident sker än att mörka och inte berätta hela sanningen. 

Datainspektionen har lagt upp en revisionsplan där man kommer att fokusera på hur bolag hanterar samtycken, hur man agerar ansvarig respektive biträde och fortsatt om man utsett dataskyddsombud eller inte. Givetvis kommer man även att agera på de incidenter som dagligen rapporteras i media. DI:s generaldirektör Lena Lindgren Schelin har i media gått ut och pekat på att det är viktigt att statuera exempel. Detta leder oss till att tro att vi snart kommer att se de första sanktionsavgifterna i Sverige.

Hur gör jag för att vara redo?

Samtliga organisationer måste enligt lag vara medveten om de personuppgifter som man hanterar. Även små bolag kan ha stora skyldigheter. Många organisationer har redan anpassat sig och sett över sina register och processer över vilken data man har och hur man agerar för att möta upp individens rättigheter. I många organisationer väljer man att lägga ned den tid som krävs för att få ett ökat förtroende mot kunderna och en bättre relation. 

Har du däremot inte gjort någonting än, kan det vara en god idé att se över var du står så att ni kan uppskatta vilken risk organisationen utsätter sig för.

Oberoende var man står kan det vara lämpligt att göra en självskattning för att se hur väl anpassad man är. Ofta kan man snabbt utröna vilken nivå av risk man utsätter organisationen för.

Alla organisationer drabbas även av incidenter, stora som små, och GDPR tvingar organisationer under vissa förutsättningar att rapportera in dem till tillsynsmyndigheten. Förbered er genom att identifiera hur ni skall agera om ni drabbas av en incident. 

Slutsats

Det finns tydliga tecken på att GDPR är här för att stanna och att lagen kommer få en effekt för många organisationer, stora som små. Detta baseras dels på hur domar faller i Europa och dels på de uttalanden som görs av vår egen tillsynsmyndighet. 

Om ni inte redan gjort det identifiera vilka personuppgifter som ni har, se över era rutiner för incidenthantering, gå igenom era system för så att ni når upp till en godtagbar säkerhetsnivå och om något skulle inträffa. Skulle det värsta hända, se då till att arbeta efter en tydlig plan och var öppen mot både tillsynsmyndigheter och de registrerade.

Fredrik Jonasson
IT-Säkerhetsbolaget

DokuMera har de dokument som krävs för att du skall kunna anpassa din organisation till GDPR. IT-Säkerhetsbolaget är en av DokuMeras experter och finns för att besvara era frågor i Dokumeras företagspaket. IT-Säkerhetsbolaget kan även hjälpa er med att anpassa er organisation för att hantera era personuppgifter enligt kraven i GDPR. IT-Säkerhetsbolaget har hjälpt hundratals kunder med deras GDPR-arbete. IT-Säkerhetsbolaget certifierar även dataskyddsombud tillsammans med Dataföreningen Kompetens. Bolaget är certifierat enligt ISO 27001. Vill du har mer information om hur de kan hjälpa dig. Gå in på hemsidan eller kontakta info@itsakerhetsbolaget.se alternativt ring på 0709 - 249 250.


VECKANS NYHET

Förbättra din IT-säkerhet enligt GDPR

Den som avser att vidta åtgärder för att efterleva GDPR bör analysera verksamhetens IT-säkerhet, dvs. hur de personuppgifter som behandlas i verksamheten skyddas. Flera företag i Europa har tvingats betala sanktionsavgifter för bristande säkerhetsåtgärder.

LÄS MER >

VECKANS TEST

Vill du testa om du efterlever GDPR?

Efterlever din verksamhet de krav som ställs enligt GPPR? Det kan du ta reda på genom att genomföra IT-Säkerhetsbolagets test. Från svaren är det möjligt att avgöra om ni ligger i farozonen eller om ni är väl anpassade till de krav som ställs. 

LÄS MER >
RELATERADE KATEGORIER
Dataskyddsförordningen
Personuppgiftsincident
Säkerhet
LÄS ÄVEN