FINTECH

11 timer etter at nye EU-regler ble innført, gikk storbanken på en smell: - Vi er helt oppe i det øvre sjiktet, sier ekspert om boten som kan svi

Meglere jobber på gulvet. Illustrasjonsfoto.
Meglere jobber på gulvet. Illustrasjonsfoto.
19. juli 2018 - 06:00

11 timer etter at GDPR ble innført 25. mai, gikk den danske storbanken Nordea på en smell. 161 personer skal ha fått kontoinformasjon eksponert for en tredjepart. Det skriver Børsen.

De 161 uheldige danskene skal også ha fått eksponert navn, adresse, lånedokumenter og oversikter over forskjellige betalinger.

Medarbeider oppdaget feilen

– Det viktigste for meg er at saken er håndtert. Det var en medarbeider, og heldigvis ikke en kunde som oppdaget feilen.

– Vi er i gang med en undersøkelse, og skal få lukket hullet så fort som mulig. Deretter vil vi kontakte de berørte kundene, sier Ellen Pløger til Børsen.

Hun er ansvarlig for at bankens data skal være i trygge hender.

Nordea er på dypt vann

Nordea anmeldte selv saken til det danske Datatilsynet da feilen ble oppdaget. Flere eksperter den danske næringslivsavisen har snakket med mener databruddet er alvorlig. 

Med GDPR i hånden kan Nordea risikere å få store bøter fra Datatilsynet. EUs nye personvernregler gir hjemmel for å gi bøter på opp mot fire prosent av brutto omsetning.

– Dette er et klart brudd på sikkerhetsreglene. Vi er helt oppe i det øvre sjiktet, fordi det er snakk om eksponering av sensitive data, sier jussprofessor Søren Sandfeld Jakobsen til den danske næringslivsavisen.

– Meget følsomme data

Han får støtte av kollega Jon Lauritsen.

– Her er det snakk om meget følsomme data. Banksystemer er kritisk infrastruktur. Her ser jeg for meg at det kan bli et større beløp i gebyr, sier advokaten og eksperten på datajuss til Børsen.

Professor Lee Andrew Bygrave ved Senter for rettsinformatikk hos Universitetet i Oslo forklarte til digi.no i fjor at alle virksomheter som behandler personopplysninger har et behandlingsansvar.

– Alle virksomheter må tenke på personopplysningsvern gjennom alle deler av sine prosesser. Jobber man for eksempel med systemutvikling er ikke dette noe man kobler på i siste trinn av utviklingsprosessen.

GDPR må inn fra første stund

– Dette må inn fra første stund. Det vil både kreve en omstilling fra ledelsen og de ansatte, konstaterte Bygrave til digi.no. 

Han mener det er viktig å merke seg at den behandlingsansvarlige selv står for risikovurderingen av opplysningene.

Ifølge Bygrave stilles det nå også høyere krav til varsling ved sikkerhetsbrudd.

Han sier hvis det skjer brudd på sikkerheten i en virksomhet skal dette rapporteres og varsles Datatilsynet omgående – senest innen 72 timer. 

– Ved alle brudd på de nye reglene vil man kunne straffes med bøter. Mange tenker nok «oi, oi, oi, nå får vi en kjempebot hvis vi brenner oss», men det listes opp en del faktorer i  det nye lovverket som skal oppfylles før de største bøtene kommer. Dermed vil gebyrene variere, og nivået settes ut i fra alvorlighetsgraden, forklarte han til digi.no den gang.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.