Jørgen Skorstad, avdelingsdirektør i Datatilsynet, forteller om en betydelig økning i antall innrapporterte brudd på personvernregler de siste årene.

Deler ut millionbøter til personvern-syndere, og spår at antall varsler bare vil øke

– Sammenlignet med land med høye befolkningstall, som Frankrike, Italia og Spania, ligger vi relativt sett ganske høyt, sier avdelingsdirektør i Datatilsynet om ny GDPR-rapport.

Publisert

Europeiske tilsynsmyndigheter har så langt skrevet bøter for totalt 14 millioner euro, tilsvarende cirka 140 millioner norske kroner, for brudd på EUs personvernforordning (GDPR), melder DLA Piper i en ny rapport.

Siden GDPR ble innført i mai 2018, er det meldt om totalt 160.000 brudd på reglene om sikring av personopplysninger.

Tallene inkluderer alle de 28 EU-landene, pluss Norge, Island og Liechtenstein.

GDPR:

  • General Data Protection Regulation, også kalt GDPR, ble innført i mai 2018.
  • Skal styrke og harmonisere personvernet ved behandling av personopplysninger i EU.
  • Dette tvinger alle bedrifter til å gå gjennom alle sine kundedata, samt å sørge for at kundene vet hva datene brukes til, og legge til rette for at kundene kan slette sine data.

Norge havner her på en 10. plass med 2.824 innrapporterte regelbrudd.

Det gir en prislapp på 406.210 euro, rett i overkant av fire millioner kroner.

Nederland topper "verstinglista" med 40.647 innrapporterte regelbrudd. Tyskland og Storbritannia hakk i hæl.

– Tallet for Norge, i underkant av 3000, fremstår ved første øyekast som «midt på treet» sammenlignet med de andre EU- og EØS-landene, sier Jørgen Skorstad, avdelingsdirektør i Datatilsynet, til Shifter.

Han utdyper:

– Sammenlignet med Danmark (9806 innrapporterte regelbrudd, red. anm.) ligger vi lavt, men Danmark er til gjengjeld et av landene med høyest innrapporterte tall per innbygger, sammen med Nederland og Irland.

– Sammenlignet med land med høye befolkningstall som Frankrike, Italia og Spania, ligger vi relativt sett ganske høyt, sier Skorstad videre.

Se full oversikt over alle landene nederst i saken.

Betydelig økning

Han sammenligner også norgestallene med situasjonen før GDPR trådte i kraft, noe som ifølge Skorstad innebærer en betydelig økning.

Datatilsynet mottok 349 meldinger om brudd på "personopplysningssikkerheten" i 2017. I 2016 var tallet 206 - mot 84 i 2015, viser årsrapporten fra 2018.

– Vi tror at tallene kommer til å stige jevnt i årene som kommer. I det legger vi til grunn at det fremdeles gjenstår å få på plass rutiner for slik innrapportering i deler av det private næringslivet og i offentlig sektor, sier Skorstad.

Han forteller at det særlig er mange innmeldte avvik i bank- og finanssektoren, men at det kan være en indikasjon på gode systemer for å avdekke og rapportere.

Menneskelig svikt

Datatilsynets analyser viser også at det er "menneskelig svikt" som er årsaken til om lag fire av fem innrapporterte brudd. Rundt 50 prosent av sakene handler ifølge Skorstad om personopplysninger som er sendt til feil mottaker.

De fleste sakene er etter Datatilsynets vurdering "mindre alvorlige".

– Det er få tilfeller som har sitt opphav i kriminalitet, som for eksempel hacking eller phishing, sier Skorstad, og viser til at kun 13 prosent av de innrapporterte bruddene underlegges formell saksbehandling.

Han viser videre til tre saker der Datatilsynet vedtok sanksjoner i form av overtredelsesgebyrer.

– I alle sakene har det vært offentlige etater som har brutt reglene om informasjonssikkerhet, og resultatet har vært krenkelser av barns og pasienters rettigheter, sier Skorstad.

Disse bøtene var på henholdsvis 1,6 millioner, 1,2 millioner og 500.000 kroner.

– Med dette legger vi oss på et nivå som er sammenlignbart med de andre nordiske landene, både i antall og i størrelse. Det har med andre ord bare kommet et par saker fra Sverige og Danmark så langt, sier han og legger til:

– Toneangivende stater som Frankrike, UK og Tyskland har så langt bare hatt fire, fem saker hver som er rettskraftig avgjort. Til sammenligning, har Irland, som er tilsynsmyndighet overfor mange store tech-selskaper, som Facebook, Google, Twitter og Amazon, ikke fattet noen vedtak om overtredelsesgebyr så langt.

Skorstad forteller videre at ingen av deres vedtak om overtredelsesgebyr så langt har blitt påklaget eller bragt inn for retten.

– Jeg tenker at dette kan være en indikasjon på at gebyrene våre så langt har blitt oppfattet som forholdsmessige og rimelige, sier han.