Af: Marcus Gangdal

Det engelske datatilsyn ICO har nu udstedt deres første bøde efter Databeskyttelsesforordningens regler. Bøden blev udstedt til apotekskæden Doorstep Dispensaree Ltd og lød på 275.000 britiske pund, svarende til 2,4 millioner danske kroner.

Ifølge ICO blev ca. 500.000 dokumenter, som bl.a. indeholdt helbredsoplysninger om kunder, opbevaret i en baggård i ulåste containere, plastikposer mv.

Databeskyttelsesforordningen bygger på et grundlæggende princip om, at den, der behandler personoplysninger, skal beskytte dem. Beskyttelsen sikres, ved at man indfører passende tekniske og organisatoriske foranstaltninger. Mange står herefter med spørgsmålet om hvad ”passende” foranstaltninger er. Svaret er, at man foretager en risikovurdering.

Denne vurdering gennemføres ved, at man først finder frem til, hvilke risici der er for fysiske personers rettigheder og frihedsrettigheder. Overordnet kan det bl.a. være risikoen for uautoriseret adgang til eller hændelig undergang af personoplysninger. Mere konkret kan det være risikoen for f.eks. phishing-forsøg, at man bliver angre-bet af malware eller at ens arkivfiler bliver ødelagt pga. af et sprunget vandrør. Når man har fundet en risiko, vurderer man sandsynligheden for, at risikohændelsen indtræffer. Man vurderer også konsekvenserne for de registrerede, hvis det skulle gå galt. Sammenholder man sandsynligheden med den mulige konsekvens, får man risikoen for fysiske personers rettigheder og frihedsrettigheder.

Doorstep Dispensaree Ltd havde opbevaret de ca. 500.000 dokumenter i en baggård i uaflåste containere og poser. Doorstep Dispensaree Ltd oplyste dog, at gården var aflåst. Flere af dokumenterne var imidlertid blevet gennemblødt af regn og således beskadiget. Meget tyder altså på, at der ikke var givet meget eftertanke til databeskyttelsesforordningens krav om beskyttelse. Efterforskningschef hos ICO, Steve Eckersley, udtalte også, at “The careless way Doorstep Dispensaree stored special category data failed to protect it from accidental damage or loss. This falls short of what the law expects and it falls short of what people expect”.

På linje med andre afgørelser kan vi se, at de forskellige landes tilsynsmyndigheder slår hårdt ned over for brud på de grundlæggende principper. I denne sag med en bøde svarende til 2,4 millioner danske kroner.

Det er vigtigt, at virksomheder overvejer mere end bare risikoen for IT-angreb, når de skal finde frem til, hvad passende sikkerhedsforanstaltninger er. Det er ikke unormalt, at virksomheder anvender loftrum, kældre og lignende rum til opbevaring af arkiverede dokumenter. Men også her skal personoplysninger beskyttes mod hændelig undergang.

Hvis du vil vide mere om persondata, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Af Kristine Møller Morgensen

It-virksomheden Enversion er nu en absolut frontløber hvad angår informationssikkerhed og beskyttelse af persondata. Som den første virksomhed i Danmark har Enversion opnået GDPR-certificeringen Bureau Veritas Certification Scheme for Data Protection. Med certificeringen demonstrerer Enversion, at virksomheden har implementeret interne kontrolprocesser og politikker for håndtering af persondata baseret på en risikobaseret tilgang. Certificeringen er desuden et bevis på, at Enversions medarbejdere har modtaget den nødvendige uddannelse i håndtering af persondata. For kunder og interessenter er certificeringen et stærkt signal om, at Enversion overholder GDPR og andre persondataretlige regler.

Hulgaard Advokater var rådgiver

Ud over GDPR-certificeringen, har Enversion desuden opnået certificering i ISO/IEC 27001 vedrørende informationssikkerhed. Med implementeringen af begge standarder sikrer virksomheden, at kravene til informationssikkerhed og persondatabeskyttelse opfyldes nu og i fremtiden i takt med virksomhedens udvikling. Hulgaard Advokater har været Enversions GDPR-rådgiver i processen frem mod certificeringen. Rådgivningen har omfattet:

• Vurdering af hvordan virksomheden kan overholde de persondataretlige regler i forhold til egne medarbejdere, kunder og samarbejdspartnere
• Udarbejdelse af relevante politikker og procesbeskrivelser, der skal sikre, at virksomheden løbende er GDPR-compliant
• Indarbejdelse af GDPR-specifikke krav (som supplement til ISO/IEC 27001) i ledelsessystemet

Det har været en stor fornøjelse at bidrage til Enversions certificering inden for GDPR.

Er persondata også relevant hos jer?

Vil du vide mere om compliance med de persondataretlige regler? Eller mulighederne for en certificering eller samspillet mellem en ISO/IEC 27001 certificering og GDPR-kravene?

Kontakt Kristine Mølgaard Mogensen på kmm@hulgaardadvokater.dk eller tlf. 38 40 42 40.

Om Enversion

Enversion A/S er en IT-virksomhed med base i Aarhus og København.

Virksomheden har siden 2009 arbejdet med at udvikle intelligente assistenter, der hjælper kunderne med at træffe de bedste beslutninger på baggrund af proaktiv brug af data.

Virksomhedens faglige kompetencer inden for datamodellering, maskinlæring og kunstig intelligens er i verdensklasse, og ambitionerne om at levere det bedste på markedet er tårnhøje.

Virksomheden har med egne ord en praksisorienteret tilgang og insisterer på retten til at være lige dele idealister og opportunister i tilgangen til verden.

Virksomhedens mission er at levere markedets smarteste dataløsninger og bidrage til at gøre menneskers liv bedre, gladere og længere.

Om Bureau Veritas

Bureau Veritas er en af verdens største virksomheder inden for inspektion, klassificering, rådgivning og certificering.

Virksomheden gennemfører mere end 5.000 auditeringer om året, og certificerer inden for en række anerkendte akkrediteringer, herunder ISO/IEC 27001 og Bureau Veritas eget GDPR Scheme.

Læs mere om Bureau Veritas her