JUSS OG SAMFUNN

Varslet selv om blemmen, men fikk allikevel stor GDPR-bot: - Det er mange hensyn som må tas

Knuddles har sitt hovedkontor rett utenfor den tyske byen Ettlingen. Illustrasjonsfoto.
Knuddles har sitt hovedkontor rett utenfor den tyske byen Ettlingen. Illustrasjonsfoto.
26. nov. 2018 - 10:49

Den tyske meldings-plattformen knuddels.de er bøtelagt med 20 000 euro etter at de har lagret passord i klartekst og fått eksponert brukerdata etter et hackerangrep. Det skal være den første offisielle GDPR-boten som er utstedt i Tyskland. Det skriver Tellerreport.

Overtredelsesgebyrene settes etter flere krav som er nevnt i artikkel 83 i forordningen. 

Mange hensyn å ta

– Det er mange hensyn som må tas når et gebyr som dette vedtas, sier juridisk seniorrådgiver Rozemarijn van der Hilst-Ytreland til digi.no. Hun har ansvar for koordinering av internasjonale saker i Datatilsynet.

808 000 epostadresser og nærmere to millioner brukernavn og passord skal ha kommet på avveie. Passordene skal i etterkant av hendelsen ha blitt publisert på internett. 

Siden selskapet selv varslet om hendelsen, vil dette være formildende omstendigheter som påvirket boten på 195 000 kroner i positiv forstand.

Rozemarijn van der Hilst-Ytreland er juridisk rådgiver i Datatilsynet. Foto: Pix model studio
Rozemarijn van der Hilst-Ytreland er juridisk rådgiver i Datatilsynet. Foto: Pix model studio

– Angrepet var en real stresstest for oss. Det ble fort klart for oss at tilliten mellom oss og brukerne bare kunne gjenvinnes ved å vise åpenhet og raskt forbedre vår egen IT-sikkerhet, sier administrerende direktør Holger Kujath i det tyske selskapet til Tellerreport

20 juli.

EUs nye personvernforordning trådte i kraft her til lands 20. juli. Folk flest  har merket regelverket gjennom en hel rekke eposter fra bedrifter som endrer personvernsvilkårene.

Kort fortalt skal GDPR gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem. I kjernen av regelverket ligger et krav om samtykke. Det er også svært skjerpede krav til håndtering av uønskede hendelser. 

Konsekvensene for brudd på lovverket kan ende med bøter. 

Selskaper kan bli ilagt et overtredelsesgebyr på opp til på opptil 20 millioner euro – eller fire prosent av den årlige globale omsetningen dersom dette utgjør mer.

Bøter i milliard-klassen

For store internasjonale selskaper betyr det at bøtene kan vokse til milliard-størrelse.

Det er tidligere gitt store GDPR-bøter etter at lovverket ble tatt i bruk i EU 20. mai i år. Et sykehus i Portugal er bøtelagt med 400 000 euro (3,9 millioner kroner) i oktober etter at noen av de ansatte opprettet falske profiler og snoket i pasientjournaler. 

I Østerrike ble et advokatfirma bøtelagt med 4 800 euro (46 000 kroner) for å overvåke på offentlig sted uten å opplyse om dette. 

Stefan Brink er jurist, dommer og GDPR-kommisær i Tyskland. <i>Foto:  KRISTINA SCHAEFER/Wikimedia</i>
Stefan Brink er jurist, dommer og GDPR-kommisær i Tyskland. Foto:  KRISTINA SCHAEFER/Wikimedia

– Hvis virksomhetene samarbeider med myndighetene kan dette få utslag på gebyrenes størrelse. Personvernrådet har gitt veiledning om de nærmere momenter som må vurderes.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

– Gebyrene vil kunne variere blant annet på bakgrunn av størrelsen på virksomheten og dens omsetning, kommenterer seniorrådgiver Rozemarijn van der Hilst-Ytreland i Datatilsynet til digi.no.

Ikke avgjort

Hun forteller at saken i Portugal enda ikke er avgjort, og at sykehuset har anket GDPR-gebyret. 

GDPR-kommisær Stefan Brink i den tyske delstaten Baden-Württemberg forteller at knuddels.de raskt var på ballen og informerte brukerne etter alle kunstens regler om datalekkasjen, men at passordhåndteringen i forkant av hendelsen ikke var akseptabel.

Brink forteller til Tellerreport at det tyske selskapet har jobbet godt med sikkerhetsrutinene i etterkant av hendelsen, og roser dem for åpenheten.

– Selskaper som handler åpent og viser at de jobber for å forbedre sikkerheten kan komme styrket ut av denne type hendelser, påpeker GDPR-kommisæren til Tellerreport.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.