Det har været et par begivenhedsrige uger. Da vi passerede 1-årsdagen for implementeringen af GDPR, så det ud til, at mange organisationer havde været relativt uskadte af truslen om økonomiske sanktioner for manglende overholdelse af den nye forordning.
Ifølge Det Europæiske Databeskyttelsesråd har tilsynsmyndigheder i 11 lande udstedt bøder på i alt 55,96 millioner euro for overtrædelser af GDPR. Hovedparten af dette beløb vedrørte dog den bøde på 50 mio. EUR, som den franske databeskyttelseskommission (CNIL) udstedte til Google. Virksomheden var blevet stillet til ansvar for at have behandlet personoplysninger til reklameformål uden at have fået den tilladelse, der kræves i henhold til GDPR.
Organisationerne åndedragede et kollektivt lettelsens suk over, at bøderne ikke var så omfattende som oprindeligt forventet, men i løbet af to dage slap Information Commissioner's Office (ICO ) sin magt løs.
British Airways blev idømt en kæmpebøde på 183 millioner pund for et sikkerhedsbrud, der afslørede over 565.000 kunders personlige data. Og blot en dag senere blev den internationale hotelkoncern Marriott idømt en bøde på 99,2 mio. pund for et enormt databrud, der afslørede 339 mio. gæsters personlige oplysninger fra hele verden. ICO bekræftede, at omkring 30 millioner af de hackede data vedrørte indbyggere i 31 lande i Det Europæiske Økonomiske Samarbejdsområde.
Det er værd at bemærke, at ICO i begge tilfælde ikke pålagde den maksimale bøde på 4 % af den samlede årlige omsætning. Bøderne afhænger af overtrædelsens grovhed og graden af samarbejde. British Airways samarbejdede fuldt ud med ICO og fik til gengæld en bøde på 1,5 % af sin globale årlige omsætning. Hvis ICO havde krævet de maksimale 4 % af selskabets samlede omsætning, kunne bøden have været på hele 489 mio.
Det er klart, at begge bøder er en game-changer for GDPR og har banet vejen for endnu større bøder i fremtiden. ICO har vist, hvor alvorligt de har til hensigt at tage overtrædelser af forordningen, og organisationer er blevet meget opmærksomme på konsekvenserne af manglende overholdelse af forordningen.
GDPR i 2019 - Hvad har de sidste 12 måneder lært os?
De sidste 12 måneder har været en stejl læringskurve for mange organisationer. Overholdelse af GDPR har aldrig været en let proces, men for nogle organisationer, især større multinationale virksomheder, har det vist sig at være en vanskelig opgave. Enorme datamængder spredt over en lang række platforme, uendelige adgangspunkter og en stigning i antallet af dataforespørgsler har gjort overholdelse af reglerne vanskeligere, end mange kunne have forestillet sig.
GDPR har bestemt sat sit præg på verden, og i løbet af et år har den ført til følgende:
Øget rapportering
GDPR ser ud til at tilskynde til indberetninger om databrud med næsten 60.000 indberetninger, siden persondataloven trådte i kraft den 25. maj 2018. Databruddene varierede i sværhedsgrad fra mindre brud til større cyberangreb, der påvirker millioner af mennesker.
Forbrugerne er også blevet mere bevidste om deres ret til privatlivets fred. Efter GDPR trådte i kraft, rapporterede ICO om en stigning på 160 % i antallet af klager, og den irske databeskyttelseskommission registrerede 6 000 klager i samme periode.
Behov for at sikre forsyningskæden
Angrebene på British Airways og Marriott understreger endnu en gang de vedvarende vanskeligheder, der er forbundet med at sikre en virksomheds forsyningskæde. BA's brud bærer alle kendetegnene på et Magecart-angreb. Trusselsgruppen er kendt for at indsætte scripts til kortskimming i sårbare e-handelsdomæner. For at få adgang til BA's værdifulde kundedata menes gruppen at have udnyttet en sårbarhed i en ældre version af e-handelsplatformen Magento, som virksomheden anvender.
I Marriotts tilfælde er bruddet angiveligt opstået i Starwoods gæstebookingsdatabase, før selskabet fusionerede med Marriott. De cyberkriminelle synes at have skiftet strategi, og i stedet for at angribe en virksomhed direkte forsøger de at forvolde skade ved at udnytte sårbarheder i dens forsyningskædenetværk.
For at undgå at komme i konflikt med lovgivningen skal organisationer foretage detaljerede risikovurderinger af leverandører og overvåge deres overholdelse af GDPR.
Behov for uddannelse af personale
I GDPR står der, at medarbejdere skal modtage regelmæssig uddannelse i informationssikkerhed for medarbejdere. Uddannelsen er afgørende for at sikre, at medarbejderne har viden om virksomhedens politikker, regler og de lovkrav, der gælder for deres daglige rolle.
ICO spørger faktisk specifikt på deres formular til anmeldelse af brud på persondatasikkerheden, om det personale, der er involveret i bruddet, har modtaget databeskyttelsesuddannelse inden for de seneste 2 år. Hvis organisationer ikke er i stand til at dokumentere dette, vil der blive foretaget yderligere undersøgelser.
Organisationer skal bevise, at medarbejderne har læst og forstået GDPR-politikkerne. Ved at kunne dokumentere dette er organisationer i en stærk position til at vise, at "privatlivets fred" er blevet en integreret del af deres daglige arbejde.
Betydningen af databeskyttelsesansvarlige (DPO)
Ifølge IAPP anslås det, at mere end 500.000 organisationer har registreret DPO'er, siden GDPR trådte i kraft. Databeskyttelsesrådgivere spiller en vigtig rolle i beskyttelsen af privatlivets fred og er centrale for en effektiv ansvarlighed. For organisationer, der udfører visse typer af behandlingsaktiviteter, er det obligatorisk at udpege en databeskyttelsesansvarlig.
Der skal udpeges en databeskyttelsesansvarlig, hvis:
- Du er en offentlig myndighed
- dine kerneaktiviteter kræver en omfattende, regelmæssig og systematisk overvågning af enkeltpersoner i stor skala
- dine kerneaktiviteter består af omfattende behandling af særlige kategorier af oplysninger eller oplysninger om straffedomme og lovovertrædelser i stor skala
DPO'en bør være ekspert i GDPR og praksis for beskyttelse af personlige oplysninger, da de er ansvarlige for overvågning og rapportering af GDPR-overholdelse. DPO'er forventes at hjælpe med at vejlede dataansvarlige og databehandlere ved at revidere den interne overholdelse og foreslå passende korrigerende anbefalinger, hvor det er nødvendigt.
Så hvad er det næste for GDPR?
I løbet af et år har GDPR i høj grad præget det globale landskab for beskyttelse af personlige oplysninger. Forordningen har fået mange andre lande rundt om i verden til at se nærmere på deres egne sikkerheds- og databeskyttelseslove.
Argentina og Japan er allerede begyndt at tilpasse deres nationale databeskyttelseslovgivning til GDPR, og Brasilien har gennemført en lignende lovgivning kaldet den generelle databeskyttelseslov, der træder i kraft den 15. august 2020.
I USA har staterne Californien, New York og Colorado vedtaget lokale love om databeskyttelse, og den amerikanske kongres overvejer at indføre en føderal lov om databeskyttelse, efterhånden som presset stiger for at få en strengere databeskyttelse i hele landet.
Der er ingen tvivl om, at GDPR har været en positiv drivkraft og har fået organisationer til at tage beskyttelse af privatlivets fred mere alvorligt. Hvis GDPR overholdes korrekt, giver den organisationer mulighed for at blive mere cybersikre, effektive og konkurrencedygtige på markedet.
Ved at demonstrere GDPR-overholdelse vil virksomheder sandsynligvis drage fordel af en reduceret organisatorisk risiko og opbygge større tillid hos deres kunder. Denne gennemsigtighed vil til gengæld forbedre brandets omdømme og føre til udvikling af mere meningsfulde relationer.
Men efterhånden som cyberkriminalitet udvikler sig, og kriminelle bliver mere vildledende i deres angrebsmetoder, bliver organisationer nødt til løbende at tage fat på risici for privatlivets fred og sikkerhed for at sikre, at de er ansvarlige for de personlige data, de opbevarer, og at de overholder lovgivningen.
MetaPrivacy er designet til at levere den bedste praksis for overholdelse af databeskyttelse. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe din organisation med at forbedre sin struktur for overholdelse af reglerne.
DISCLAIMER: Indholdet og udtalelserne i denne blog er kun til oplysningsformål. De er ikke ment som juridisk eller anden professionel rådgivning og bør ikke anvendes eller behandles som erstatning for specifik rådgivning, der er relevant for særlige omstændigheder, databeskyttelsesloven eller anden nuværende eller fremtidig lovgivning. MetaCompliance påtager sig intet ansvar for eventuelle fejl, udeladelser eller misvisende udtalelser eller for tab, der måtte opstå som følge af tillid til materialet i denne blog.
