Datatilsynet stadfestet nylig gebyret på 1,6 millioner kroner for brudd på EUs personvernforordning (GDPR) som de tidligere har varslet Bergen kommune om. Nå har Oslo kommune fått varsel om en enda høyere GDPR-bot, nemlig 2 millioner kroner. I begge tilfeller er begrunnelsen at kommunene ikke har ivaretatt den informasjonssikkerheten som de nye personvernreglene krever. Hvordan står det til med sikkerheten for at personopplysninger ikke skal komme på avveie i din virksomhet?
Sammenliknet med rekordboten Google fikk i Frankrike på nær en halv milliard kroner, er de norske bøtene selvsagt små. Men de er store nok til at de bekrefter at brudd på personvernreglene i den nye personopplysningsloven vil bli straffet hardere enn tidligere.
Manglende risikovurdering kan gi bot
Det er sider ved begrunnelsen for den siste norske boten det er verd å notere seg. Det er ikke nødvendig at brudd på regelverket har ført til skade for å få bot. Hvis man ikke har tatt på alvor kravet om å vurdere risiko og satt i verk tilstrekkelige tiltak som følge av vurderingen, kan millionbot bli resultatet. Eller som det heter i Datatilsynets begrunnelse for gebyrvarselet overfor Oslo kommune:
"Gebyret er varslet fordi kommunen ikke har gjennomført egnede tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen."
Verd å merke seg er det også at boten skjerpes fordi opplysningene som kan komme på avveie i Oslo, berører barn. Årsaken til gebyrvarselet er brudd på personopplysningssikkerheten i en mobilapplikasjon utviklet for bruk i Osloskolen. Høsten 2018 kunne uvedkommende logge seg inn som autoriserte brukere og dermed få tilgang til personopplysninger om andre elever, foresatte og ansatte og også registrere sensitive personopplysninger der. Barn er i personvernregelverket definert som en særlig sårbar gruppe.
Opplysninger på avveie i alle ledd
Både i Bergen og Oslo kommune er det faren for at personopplysninger kan komme på avveie, som fører til de store bøtene. Det er viktig å være klar over at den faren er til stede i alle ledd i virksomhetene - både offentlige og private. Kravene til informasjonssikkerhet og risikovurdering gjelder derfor også når man skal slette personopplysninger. Som kjent skal slike opplysninger slettes når det ikke lenger finnes en begrunnelse for å ha dem lagret. I sletteprosessen må ikke opplysningene komme på avveie. Det gjelder enten de er lagret i papirdokumenter eller på digitale lagringsmedier.
NG Secure har investert flere millioner kroner i kverner for makulering av både papir og PCer og i et sikkerhetsopplegg som skal gi dere trygghet for at sensitive data ikke skal komme på avveie i vår prosess. Vi samarbeider med både Semac AS og Nokasgruppen for å gi dere den sikkerheten. Mer om våre tjenester, vår prosess og vår sikkerhet, finner du på websiden vår.
Vil dere unngå å bli de neste som får millonbot, kan det være lurt å ta en ekstra gjennomgang av opplegget deres for informasjonssikkerhet. Datatilsynet har utarbeidet veiledere for pliktene som følger av den nye personopplysningsloven. Vi har også laget en gratis sjekkliste for GDPR, som forhåpentligvis kan være til hjelp.
