Gammel Tech
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Virksomheder bagud med nye persondata-regler: Risikerer millionbøder fra EU

Når EU får mulighed for at uddele bøder på op til 20 mio. euro for at overtræde regler om beskyttelse af persondata, kan virksomheder herhjemme stå langt fremme i køen. Mange hjemlige virksomheder er bagud i forberedelserne med at leve op til EU’s nye krav, advarer eksperter.

EU's bødehammer kan ramme mange danske virksomheder hårdt, hvis ikke de får styr på persondata så som oplysninger om medarbejdere, kunder og leverandører.

Mange danske virksomheder er for langsomme at få ordentligt styr på deres persondata. Det kan give et alvorligt økonomisk bagslag, idet skæringsdatoen for nye EU-regler med indbyggede kæmpebøder rykker nærmere hurtigere, end virksomhederne kan rette ind. Sådan lyder advarslen fra DI og eksperter i behandling af personfølsomme data.

Indtil nu har bøder i størrelsen 25.000 kr. været den højeste straf i Danmark for virksomheder, der brød reglerne for håndtering af persondata. Bødeloftet stiger med de nye regler til 20 mio. euro eller 4 pct. af en virksomheds globale årsomsætning. Beløb, der vil kunne sende likviditetsfølsomme virksomheder på randen af en konkurs.

»Virksomhederne har forståelse for reglerne, men kravene er en stor udfordring, og bødestørrelsen kalder nervøsitet frem hos mange. Har en lille virksomhed glemt en lille procedure, risikerer den i princippet en bøde på 20 mio. euro, og det er jo uproportionalt,« siger Adam Lebech, branchedirektør i DI Digital.

DI's vejledning til virksomheder, der vil overholde de kommende EU-krav om beskyttelse af persondata

Advokat og partner med speciale i it-ret Rasmus Lund, Delacour Law Firm, vurderer, at der herhjemme er stor forskel fra branche til branche på, om man risikerer at overskride deadline for at leve op til den nye EU-forordning, der skal afløse danske regler.

»Visse virksomheder og brancher er nået langt, mens en lang række andre ikke en gang overholder de nugældende regler i persondataloven og derfor har en kæmpe opgave i at skulle komme i compliance med de nye regler,« siger han.

Eksempler på brud på persondatabeskyttelse
  • I august 2016 opdagedes et sikkerhedsproblem på Rejsekorts selvbetjeningsside. Problemet betød, at en kunde kunne få adgang til andre kunders fakturaer med navn, adresse, dato og fakturanummer. Kilde: Rejsekort.dk
  • I juli 2016 kom det frem, at Statens Serum Institut havde sendt ukrypterede cd’er med helbredsoplysninger og cpr-numre på 5,28 mio. danskere til en kinesisk visummyndighed. Kilde: Datatilsynet
  • I oktober 2015 brød hackere ind i det britiske teleselskab TalkTalks it-system og skaffede sig adgang til oplysninger på formodentlig 4 mio. kunder. Selskabet hævdede, at det blev udsat for et krav om løsesum. TalkTalk blev idømt en bøde på 400.000 britiske pund for sjusk med håndteringen af fortrolige persondata, men tabte formentlig et langt større beløb pga. kundeflugt. Kilde: Wikipedia
  • I juli 2015 blev datingsiden AshleyMadison.com hacket. De ansvarlige bag it-angrebet fik adgang til 37 mio. brugerprofiler. Kilde: Version2.dk
  • I juli 2014 kom CPR-kontoret til at lække 900.000 danskeres cpr-numre. Der var tale om en liste med navne og adresser på personer, der ikke ønskede henvendelser fra sælgere. Ved en fejl blev deres personnumre altså lagt ud til download. Kilde: Jyllands-Posten
  • I juni 2013 delte Aarhus Kommune ved en fejl ca. 1.600 cpr-numre på portalen Open Data-initiativet. Ud over numrene stod også personernes navne og i nogle tilfælde personfølsomme oplysninger. Kilde: Jyllands-Posten
  • Alene i oktober måned i år anslår it-konsulentvirksomheden SAS Institute, at der blev lækket mindst 142 mio. dokumenter på globalt plan.

Den nye persondata-forordning gælder som lov i EU-landene fra maj 2018. Halvandet år ud i fremtiden kan lyde som en lang frist til at leve op til et nyt regelsæt, men eksperter advarer om, at alene processen med at opnå det fulde overblik over en virksomheds persondata er langstrakt.

»Det er bestemt et problem, hvis man ikke er startet endnu. Der findes ikke et it-program, man bare kan plugge ind, og så overholder man reglerne. Der skal ske et meget stort arbejde med kortlægning og indførelse af nye processer,« siger Erasmus Holm, marketing director i Stibo.

Samme holdning har man i en anden it-konsulentvirksomhed, EG.

»Alle virksomheder bør have en udtrykt governance for at holde styr på, hvor data kommer fra, hvor data skal hen og hvordan de må komme det, men det er mit indtryk at mange virksomheder mangler sådanne retningslinjer,« siger Lars Bjørn Helgestad, kommunikationschef i EG.

Hjælp til virksomheder
I Justitsministeriet henviser man til Datatilsynets hjemmeside for svar på spørgsmål til den nye EU-forordning om beskyttelse af persondata. Klik her og find 12 spørgsmål, som man som dataansvarlig ifølge Datatilsynet med fordel kan forholde sig til for at forberede sig på den nye forordning.

En global undersøgelse fra it-sikkerhedsfirmaet Symantec påviste i oktober, at 96 pct. af 900 internationale virksomheder ikke fuldt ud forstod den nye EU-forordning. 91 pct. af de adspurgte virksomheder var bekymrede for, om de ville leve op til reglerne inden maj 2018.

Find de officielle lovtekster bag den nye EU-forordning

BRANCHENYT
Læs også