Den 25. maj 2018 var en skelsættende dag for mange organisationer. Store som små. Det var nemlig den dag, GDPR-reglerne trådte i kraft, og det gav anledning til store frustrationer, mange bekymringer og ikke mindst en lang række ændringer i de forhenværende procedurer.
Siden GDPR så dagens lys, er der blevet indstillet bøder for manglende overholdelse både nationalt og internationalt. På dansk grund er der indstillet hele 19 bøder på alt fra 50.000 kr. til 1,5 mio. kr. Det er bøder, der kan mærkes på bundlinjen, og der er ingen grund til, at din organisation går i samme fodspor.
Vi har taget et kig på et udpluk af de bøder, som Datatilsynet har indstillet til for at danne et overblik over årsagerne.
Fra den mindste til den største (og lidt derimellem)
Hvis vi starter i den blide ende, er der indstillet GDPR-bøder på 50.000 kr. til flere organisationer – både offentlige og private.
I flere tilfælde er der tale om, at organisationerne ikke har levet op til et passende sikkerhedsniveau i databeskyttelsesforordningen. Konsekvensen heraf var, at personfølsomme oplysninger blev tilgængelige for uvedkommende.
En anden årsag har været, at organisationen ikke levede op til de grundlæggende krav i databeskyttelsesforordningen, der dikterer, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde. Det blev de ikke, da en organisation slettede personoplysninger omfattet af en registreret indsigtsanmodning i perioden efter fremsættelsen af anmodningen og inden organisationens besvarelse.
Den største bøde, der indtil videre er indstillet på dansk grund, er på hele 1,5 mio. kr. Årsagen er manglende sletning af oplysninger på ca. 385.000 kunder. Og manglende sletning af kundernes oplysning går igen flere steder, og det har afledt anseelige bøder i størrelsesordenen 1,1-1,2 mio. kr.
Små forseelser kan give store bøder
I 2020 blev en virksomhed indstillet til en bøde på 150.000 kr. for ikke at leve op til et passende sikkerhedsniveau i databeskyttelsesforordningen. Utilsigtet blev der uddelt USB-nøgler til beboere i en række ejendomme, der indeholdt dokumenter med personoplysninger af fortrolig karakter.
Det kan synes som en lille ting, men helt grundlæggende handler GDPR om, at man som virksomhed har et ansvar for at behandle folks personoplysninger fortroligt og sørge for, at de ikke kommer til uvedkommendes kendskab.
At ovenstående kan være svært, beviste en offentlig institution, der er indstillet til en bøde på 200.000 kr., fordi den kommunale tandpleje havde haft en fast praksis, hvor velkomstbreve indeholdende begge forældres adresser automatisk var blevet fremsendt til begge forældremyndighedsindehaver uden en vurdering af, hvor vidt oplysninger måtte videregives til den anden forælder.
LÆS OGSÅ: GDPR-compliant: Det handler ikke om at starte forfra, men om at bygge ovenpå
Et højt sikkerhedsniveau og adgangsbegrænsninger
En af de faktorer, der ofte udløser en indstilling til en bøde, handler om sikkerhedsniveauet. Ifølge databeskyttelsesforordningen skal der være et passende sikkerhedsniveau, og det betyder blandt andet, at ingen uvedkommende må have adgang til personfølsomme oplysninger.
I den henseende er en organisation blandt andet blevet indstillet til en bøde på 400.000 kr. for ikke have etableret passende adgangsbegrænsning til et arkiv i et livsstilscenter. I en anden organisation var det en database til forskningsmæssige og kliniske formål, der ikke var sikret mod uautoriseret adgang, som udløste en indstilling til en bøde på 500.000 kr. – her kunne de mere end 30.000 registrerede i databasen tilgå personoplysninger om alle registrerede ved en enkel ændring i URL-adressen.
Få styr på GDPR med den rette software
Som ovenstående viser, kan det være kompliceret at få et overblik over de mange processer og procedurer, der er omfattet af databeskyttelsesforordningen. Man tror, man har styr på det hele, og så viser der sig alligevel at være en fejl – enten i systemet eller i håndteringen af sagerne – der kan skabe usikkerhed blandt brugerne og ikke mindst udløse en bøde.
Vil du og din organisation have hjælp til at opfylde alle de lovgivningsmæssige forpligtelser, kan I med fordel overveje at investere i specifik GDPR-software. På den måde samler I al information om behandlingsaktiviteter på ét sted, hvilket eliminerer det rod, der hurtigt kan opstå, når informationer behandles forskelligt fra afdeling til afdeling.
Samtidig sikrer et effektivt system, at I kan spore aktiviteter med hvem, hvad og hvornår. En indsigt I kan bruge til at analysere og forbedre jeres overholdelse af GDPR.
