GDPR-brudd ga 1,6 millioner kroner i bot

GDPR-brudd ga 1,6 millioner kroner i bot

For dårlig informasjonssikkerhet, manglende kontroll og etterlevelse av rutiner i Bergen kommune har medført varsel om millionbot fra Datatilsynet.

Ranveig Fjellheim Tunaal, rådgiver i Sticos

En elev ved en skole i Bergen avslørte sikkerhetshull. Filer med brukernavn og passord til over 35 000 brukere i kommunen lå åpent tilgjengelig for elever. Det har på en enkel måte vært mulig å logge seg inn på skolens informasjonssystem og få tilgang til personopplysninger om elever og ansatte.

Nye og strengere personvernregler, også kjent som GDPR, trådte i kraft den 20. juli 2018. Etter disse reglene kan offentlige og private virksomheter få bøter på opptil 20 millioner Euro eller 4 prosent av global omsetning ved alvorlige brudd.

Trenger du hjelp med GDPR? Sticos har personvernombud med ekspertkompetanse til leie 

Virksomheter som behandler personopplysninger har en plikt til å sørge for at personopplysningssikkerheten og plikten til å sikre nødvendig integritet og konfidensialitet er tilstrekkelig ivaretatt. Personopplysninger skal ikke være tilgjengelig for andre enn de som har et nødvendig behov. At personopplysninger om ansatte og elever ligger åpent tilgjengelig kan ha store konsekvenser for den enkelte.

Bergen kommune har erkjent å ha for dårlige interne rutiner og sikkerhetskultur. Kommunen ble først varslet om sikkerhetsbristen i mai 2018, men hadde ikke fulgt opp dette på en god nok måte. Fortsatt 3 måneder senere, i august, var det mulig for utenforstående å ta seg inn i systemene.

Gebyrets størrelse

Virksomheter som ikke etterlever GDPR kan bli bøtelagt av Datatilsynet. Nå vil det være svært sjelden at man ser gebyrer på 20 millioner Euro. Hvor stort gebyret kan bli, vil avhenge av omstendighetene i hvert enkelt tilfelle. Det skal tas hensyn til karakteren av overtredelsen, alvorlighetsgrad, varighet, om overtredelsen har skjedd uaktsomhet eller ved forsett og hvilke tiltak virksomheten hadde truffet for å begrense skade.

At Bergen kommune ble bøtelagt med 1.6 millioner er på bakgrunn av at Datatilsynet har lagt særlig vekt på at sikkerhetsbruddet omfatter opplysninger om over 35.000 personer, flesteparten barn.

Barn er definert som en sårbar gruppe som skal gis et særskilt vern.  Slike overtredelsesgebyrer skal være virkningsfulle, avskrekkende og forholdsmessige ifølge Datatilsynet. Gebyrer etter personvernreglene tilfaller statskassen.

Hva må du gjøre?

GDPR stiller krav til den behandlingsansvarlige. Dersom din virksomhet behandler personopplysninger så må dere sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket. Hvordan sikrer dere personopplysninger som dere har om ansatte, kunder og samarbeidspartnere i dag? Dette gjelder personopplysninger som lagres elektronisk og i fysiske arkiv. Kan dere dokumentere at dere har risikovurdert dette og gjort de tiltak som er nødvendige?

Les mer om hva du bør gjøre her

Lær GDPR og få en konkret handlingsplan for din virksomhet på én dag. Sticos kommer til din bedrift og leder dere gjennom en skreddersydd workshop om de nye personvernreglene. Vi har allerede hjulpet over 150 virksomheter. Se mer her! 

Print

Navn:
E-post:
Emne:
Din melding:
x

Personvern

Motta aktuelle nyheter og relevant fagstoff om personvern på epost.

MELD PÅ NYHETSBREV

Digital GDPR-compliance

Hva er GDPR

Personvernforordningen eller General Data Protection Regulation - forkortet GDPR - ble iverksatt 25. mai 2018 og erstattet det tidligere personverndirektivet. Reglene gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot, eller enda mer for selskaper med stor global omsetning, til de som bryter loven. Mange virksomheter frykter dette og synes det virker omfattende, mye styr og at de kanskje får lite igjen for det. Det høye bøtenivået gjør at de fleste som ønsker å drive virksomhet innser at de må forholde seg til de nye reglene.

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Personvern skal sikre behandlingen av personopplysninger, slik at individers integritet og privatliv ikke krenkes.

Her kan du lese mer om hvorfor personvern er viktig for din virksomhet