Siden den nye GDPR-lovgivning trådte i kraft sidste år, har Datatilsynet modtaget 2.780 anmeldelser om databrud. Alligevel er ingen sager blevet rejst, og de manglende konsekvenser undrer en persondataekspert. ’Bøderne skal nok komme’, siger Datatilsynet.
I august sidste år modtog Datatilsynet en anmeldelse om en alvorlig sikkerhedsbrist hos Nordens største portal for samtaleterapi, GoMentor. Her var flere yderst følsomme persondata om eksempelvis klienters stofmisbrug, sexliv eller stress-sygdomme ved en fejl blevet lækket til andre brugere – altså et alvorligt brud på databeskyttelsesforordningen. Anmeldelsen var kommet fra en portalbruger, da GoMentor angiveligt ikke selv var bekendt med bruddet.
Datatilsynet påbegyndte herefter en sagsbehandling for at skaffe dokumentation til at rejse en straffesag, men ventede hele tre måneder med at kontakte GoMentor om sikkerhedsbristen i deres system. Noget som tilsynet efterfølgende høstede stor kritik for, og som siden fik Folketingets Retsudvalg til at kaldt justitsminister Søren Pape Poulsen (K) i samråd om Datatilsynets ageren i sagen.
Ovenstående er desværre et godt eksempel på, hvordan Datatilsynets arbejdsprocesser har haltet, siden databeskyttelsesforordningen (også kendt som dataforordningen, persondataforordningen eller blot GDPR (General Data Protection Regulation)) trådte i kraft 25. maj 2018.
Den 6. februar kunne Datatilsynet oplyse, at man havde modtaget 2.780 anmeldelser om persondatasikkerhedsbrud i perioden fra 25. maj til 31. december 2018, men på trods af anmeldelserne har dataovertrædelserne endnu ikke resulteret i nogen sager eller sanktioner. Det skyldes, at Datatilsynet ikke har politianmeldt nogen sikkerhedsbrud, og det undrer professor i informationsret og persondataekspert, Søren Sandfeld Jakobsen fra Aalborg Universitet.
”Det er forundrende, at der ikke er sket noget endnu. Allerede i sensommeren fik vi at vide, at de første bødesager ville komme til efteråret, men så blev det udsat til sidst på efteråret og så igen til januar. Nu har de rykket det til marts, men hvor mange gange skal det rykkes? Jeg synes godt, man kan undre sig over, at der skal gå så mange måneder, for vi har ventet længe – alt for længe”, lyder det fra Søren Sandfeld Jakobsen.
Også hos Dansk Erhverv har man kigget langt efter de varslede GDPR-bøder. Især fordi mange af erhvervs- og arbejdsgiverorganisationens medlemmer har haft en del udfordringer ved at få implementeret de omfattende regler, som ifølge en analyse fra Dansk Erhverv har kostet danske virksomheder 8 milliarder kroner i udgifter.
”Vi har fået tudet ørene fulde af, at nu kom det her nye, store bødeniveau, så der er da ingen tvivl om, at vi gerne snart ser nogle afgørelser, så vi kan få en idé om bødernes størrelse”, lyder det fra Sven Petersen, der er erhvervsjuridisk fagchef og advokat hos Dansk Erhverv. Han møder enighed hos Søren Sandfeld Jakobsen.
”Lige nu aner vi ikke, hvor mange sager der kommer over de næste år eller hvilket leje, bøderne kommer til at ligge på. Vi går alle og venter – også for virksomhedernes retssikkerheds skyld. Om bøden er høj eller lav, så er der ikke noget, der er værre end uvished”, mener han og understreger, at det ikke er Datatilsynet selv, men en officiel anklagemyndighed, der fastlægger en bødes omfang – dog med vejledning fra Datatilsynet.
I sidste ende er det dog op til en domstol at afgøre, om et databrud skal straffes med bøde.
”Her i Danmark er det ikke Datatilsynet, der udsteder bøderne, da man overgiver sagerne til politiet, der overgiver dem til anklagemyndighederne. Herefter vil de blive ført som enhver anden straffesag”, forklarer han.
En omfattende proces
På EU-plan har GDPR heller ikke fået bødeblokken på overarbejde. Ifølge en undersøgelse fra advokatfirmaet DLA Piper har der været 59.000 databrud i Europa siden 25. maj 2018, men kun fire europæiske virksomheder har modtaget bøder – deriblandt Google, der den 21. januar 2019 fik tildelt en bøde på 50 millioner euro af den franske tilsynsmyndighed (CNIL). De tre resterende bøder har været væsentligt lavere og har ligget på henholdsvis 400.000 euro, 20.000 euro og 4.800 euro.
Ifølge samme undersøgelse er Danmark det land i EU med tredje flest anmeldelser i forhold til indbyggertal, men hvor mange bøder de hjemlige anmeldelser vil kaste af sig er fortsat uvist. Ifølge en opgørelse fra Datatilsynet forventes 1.400 af de 2.780 anmeldelser i Danmark enten at resultere i ingenting eller i kritik fra tilsynet, mens cirka 700 anmeldelser fortsat er under behandling. Samtidig genovervejer man cirka 600 anmeldelser. Begge disse grupper af sager kan ende med politianmeldelse og i sidste ende bøder.
Ifølge Datatilsynet fordeler anmeldelserne sig med 53% fra private dataansvarlige, 44% fra offentlige dataansvarlige, mens 3% kategoriseres som fra ’forskellige’. Samtidig kan Datatilsynet konstatere, at to ud af tre anmeldelser går på oplysninger, der er sendt til den forkerte modtager – oftest ved en menneskelig fejl i afsendelsesøjeblikket.
Det oplyses, at det kun er ganske få af anmeldelserne, der ikke har indeholdt et brud på persondatasikkerheden, så de udeblevne konsekvenser skyldes ikke over-rapportering eller fejlanmeldelser. Dermed kan det undre, hvorfor den længevarslede databeskyttelsesforordning endnu ikke har ført til nogen sager, men ifølge Datatilsynet er der tale om en omfattende proces.
”Gennemløbstiden for et fuld sagsbehandlingsflow, indenfor dette område, er længere end den tid, der er gået, siden forordningen trådte i kraft. Vi har ikke kunne nå at få sager i gennem hele politi- og domstolsapparatet og efterfølgende nå til en afgørelse. Men de kommer på et tidspunkt, og når det sker, så begynder sagerne at komme løbende og i et relativt højere antal”, fortæller Allan Frank, der er it-sikkerhedsspecialist & cand.jur. hos Datatilsynet.
Han forklarer, at de første sager er meget tæt på at blive politianmeldt, men at forløbet har trukket ud, da der har været mange spørgsmål at tage stilling til.
”Det har i høj grad handlet om at finde ud af, hvad der faktuelt har været op og ned i disse sager. Det tager et stykke tid at komme igennem, og så handler det også om at finde det rigtige sanktionsniveau. Vi er nødt til at fastsætte bødeniveauet ud fra, hvad vi tror, det kommer til at ligge på. Herefter kommer vi med en indstilling til anklagemyndigheden på baggrund af, hvad vi tror, der holder i retten”, siger Allan Frank og tilføjer, at han ligesom mange andre er spændt på udfaldet af de første sager, der vil blive rejst.
Første sager sender vigtigt signal
Også Søren Sandfeld Jakobsen venter i spænding på de første straffesager, da de ifølge ham kan indikere, hvorvidt den nye databeskyttelsesforordning rent faktisk slår hårdere ned på databrud, eller om konsekvenserne i virkeligheden er meget begrænsede.
”Vi ved, at Datatilsynet forbereder sagerne til politiet, som jo ikke er eksperter i persondata. Det er det, de er i gang med nu, og hvis man i de første sager, der bliver rejst, går efter nogle høje bøder, så er det en indikation på, at hammeren formentlig nok skal falde. Hvis bøderne til gengæld viser sig at være lave, så er det berettiget at tale om ringe konsekvenser”, siger han og tilføjer:
”Til syvende og sidst kommer det an på, hvad man kan overbevise en domstol om, for selvom Datatilsynet lægger op til millioner af kroner, så er det ikke sikkert, at domstolen vil følge tilsynet”.
Han tilkendegiver samtidig, at processen uden tvivl har været besværlig, og at man i Danmark formentlig slås med de samme udfordringer som i resten af EU.
”Vi mangler at blive klogere, og det er garanteret det samme, der foregår i de andre lande. Der ligger en kæmpe bunke sager, som alle skal gennemgås og vurderes i forhold til hinanden, ligesom man skal beslutte, hvilket bødeniveau man lægger op til. Jeg tror, at man har svært ved at finde rundt i det, fordi mange lige skal lære de nye regler at kende”, lyder det fra Søren Sandfeld Jakobsen.
Grundet antallet af anmeldelser har Datatilsynet allerede meldt ud, at man i 2019 vil føre et øget GDPR-tilsyn med en række private virksomheder og offentlige myndigheder for at forebygge fremtidige databrud.
Læs også
F5 er en ung og ambitiøs virksomhed, som stræber efter at være Danmarks foretrukne leverandør indenfor lederudvikling. Vi har gennem de seneste 6 år samlet ca. 2000 ledere fra Danmarks største organisationer til sparring via netværksgrupper, foredrag, konferencer og...
Er man som leder medlem af et internt organisationsnetværk, kan det til tider være svært at tale rent ud af posen. Det mener Henriete Siff Thomsen, der er centerleder i Frederikssund Kommune. Hun føler, at der er et andet fortrolighedsrum i hendes netværk hos F5...
Lederudvikling kommer i mange afskygninger, men der er stor forskel på udbyttet, mener Stefan Schlie, der er Head of WTG Engineering i Vattenfall. Han går både til workshops og konferencer, men peger på, at et netværk med kontinuitet og intimitet har mest at byde...
Som medlem hos F5 er du altid på forkant med de nyeste trends og tendenser indenfor ledelse og lederudvikling. Vi samler nysgerrige og ambitiøse ledere, der har fokus på personlig udvikling gennem sparring og faglige diskussioner.
Vil du være med i et professionelt ledernetværk eller blot have adgang til alle vores konferencer og foredrag, så bliv klogere på dine muligheder her.
Indtast dine oplysninger og få adgang til PDF'en.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi sender dig en rabatkode, der giver dig én gratis workbook.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi sender dig en rabatkode, der giver dig én gratis workbook.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Fill out the form and we will contact you.
Fill out the form and get access to the PDF about the network.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.