Nu slås der ned på GDPR-synderne

Cracking down on GDPR breaches

Nu slås der ned på GDPR-synderne

Nu slås der ned på GDPR-synderne 1600 771 HR-ON

Flere steder i Europa anlægges sager eller uddeles store bøder for brud på persondatalovgivningen.

Det er næppe gået nogen forbi, at EU den 25. maj i år indførte den længe ventede persondataforordning GDPR, men det er ikke alle virksomheder, der lever op til de skærpede regler. Derfor er myndighederne også så små begyndt at rydde op i synderne.

Computerworld kan fortælle, at det tyske datatilsyn har uddelt den første bøde efter de nye regler. Det er det store tyske datingsite Knuddels.de, der skal betale 20.000 euro svarende til omkring 150.000 kroner, efter at virksomheden blev ramt af et hackerangreb.

Angrebet resulterede i, at hackerne blandt andet kunne stjæle 330.000 brugeres adgangskoder og mailadresser. Selvom Knuddel.de selv var udsat for en forbrydelse, så afslørede de digitale indbrudstyve, at adgangskoderne lå som ukrypteret tekst.
Ifølge Computerworld meddeler det tyske datatilsyn, at Knuddels.de har været samarbejdsvillige i forhold til at få datasikkerheden bragt i orden, samt at bøden kunne have være meget højere.

Læste personlige beskeder til psykologer

I Danmark har Datatilsynet ifølge DR netop politianmeldt terapiportalen GoMentor.
Det var brugeren Ann Pettersson, der oprindeligt henvendte sig til Datatilsynet. Hun havde henvendt sig til en psykolog hos GoMentor for at få hjælp mod stress. Dernæst fik hun uden password adgang til at læse fire andre klienters fortrolige kommunikation med behandlerne.

– Det var psykiske problemer af seksuel karakter. Det var psykiske problemer i forhold til misbrug, alkohol, stoffer. Problemer fra barndommen. Virkeligt svære personlige historier, fortæller Ann Pettersson til DR.

Hun har tilsyneladende fået adgang til korrespondancerne, fordi forskellige brugertyper under visse omstændigheder kan blive blandet sammen.
GoMentors direktør, Troels Sletved, har ikke ønsket at lade sig interviewe om sagen, men bekræfter skriftligt over for DR, at der har været et brud på persondatasikkerheden.

Han skriver, at de er meget kede af det passerede, at de tager deres dataansvar meget seriøst, og at de har lagt en stor indsats i at sikre, at personoplysninger behandles korrekt og fortroligt. GoMentor har iværksat en større undersøgelse med eksterne konsulenter for at få løst problemerne.

Uber betalte hackere og holdt mund

Selvom briterne er på vej ud i deres brexit, så gælder GDPR fortsat også for dem. Det britiske datatilsyn ICO har givet kørselstjenesten Uber en bøde på 385.000 pund svarende til 3,2 millioner kroner for ikke at have beskyttet brugernes data tilstrækkeligt inden et hackerangreb. Hackerne kunne derfor downloade data på 2,7 millioner britiske kunder inklusive kundernes fulde navn, e-mail og telefonnummer.
Da Uber blev opmærksom på angrebet, valgte selskabet at betale hackerne 100.000 dollars for at destruere den stjålne data frem for at informere deres kunder om det store læk.

Hackerangrebet fandt sted, før GDPR trådte i kraft, og Uber havde ikke nogen formel oplysningspligt på det tidspunkt. ICO lægger dog ikke skjul på, at fortielsen sammen med betalingen til de kriminelle har haft indflydelse på deres beslutning.
I Holland har Uber ligeledes netop fået en bøde.

Hospital brugte falske profiler

Også i Portugal er myndighederne begyndt at slå hårdt ned på GDPR-brud. I juli fik et sygehus en bøde på 400.000 euro svarende til tre millioner kroner for ikke at have styr på deres persondatasikkerhed.

Hospitalets personale havde adgang til patientdata gennem falske profiler, og læger havde ubegrænset adgang til patientoplysninger ud over det, som var relevant for deres speciale. Hospitalet forsvarer sig med, at det blot har brugt den sundhedsplatform, som det portugisiske sundhedsministerium har stillet til rådighed.