En elev ved en skole i Bergen avslørte sikkerhetshull. Filer med brukernavn og passord til over 35 000 brukere i kommunen lå åpent tilgjengelig for elever. Det har på en enkel måte vært mulig å logge seg inn på skolens informasjonssystem og få tilgang til personopplysninger om elever og ansatte.
Nye og strengere personvernregler, også kjent som GDPR, trådte i kraft den 20. juli 2018. Etter disse reglene kan offentlige og private virksomheter få bøter på opptil 20 millioner Euro eller 4 prosent av global omsetning ved alvorlige brudd.
Trenger du hjelp med GDPR? Sticos har personvernombud med ekspertkompetanse til leie
Virksomheter som behandler personopplysninger har en plikt til å sørge for at personopplysningssikkerheten og plikten til å sikre nødvendig integritet og konfidensialitet er tilstrekkelig ivaretatt. Personopplysninger skal ikke være tilgjengelig for andre enn de som har et nødvendig behov. At personopplysninger om ansatte og elever ligger åpent tilgjengelig kan ha store konsekvenser for den enkelte.
Bergen kommune har erkjent å ha for dårlige interne rutiner og sikkerhetskultur. Kommunen ble først varslet om sikkerhetsbristen i mai 2018, men hadde ikke fulgt opp dette på en god nok måte. Fortsatt 3 måneder senere, i august, var det mulig for utenforstående å ta seg inn i systemene.
Gebyrets størrelse
Virksomheter som ikke etterlever GDPR kan bli bøtelagt av Datatilsynet. Nå vil det være svært sjelden at man ser gebyrer på 20 millioner Euro. Hvor stort gebyret kan bli, vil avhenge av omstendighetene i hvert enkelt tilfelle. Det skal tas hensyn til karakteren av overtredelsen, alvorlighetsgrad, varighet, om overtredelsen har skjedd uaktsomhet eller ved forsett og hvilke tiltak virksomheten hadde truffet for å begrense skade.
At Bergen kommune ble bøtelagt med 1.6 millioner er på bakgrunn av at Datatilsynet har lagt særlig vekt på at sikkerhetsbruddet omfatter opplysninger om over 35.000 personer, flesteparten barn.
Barn er definert som en sårbar gruppe som skal gis et særskilt vern. Slike overtredelsesgebyrer skal være virkningsfulle, avskrekkende og forholdsmessige ifølge Datatilsynet. Gebyrer etter personvernreglene tilfaller statskassen.
Hva må du gjøre?
GDPR stiller krav til den behandlingsansvarlige. Dersom din virksomhet behandler personopplysninger så må dere sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket. Hvordan sikrer dere personopplysninger som dere har om ansatte, kunder og samarbeidspartnere i dag? Dette gjelder personopplysninger som lagres elektronisk og i fysiske arkiv. Kan dere dokumentere at dere har risikovurdert dette og gjort de tiltak som er nødvendige?
Les mer om hva du bør gjøre her
Lær GDPR og få en konkret handlingsplan for din virksomhet på én dag. Sticos kommer til din bedrift og leder dere gjennom en skreddersydd workshop om de nye personvernreglene. Vi har allerede hjulpet over 150 virksomheter. Se mer her!
