DA
Teknologi

En dyr forsinkelse

logo
Juranyt
calendar 13. april 2023
globus Danmark, Norge

Det norske datatilsyn har givet en bøde på 2,5 millioner norske kroner til en amerikansk medicinalvirksomhed efter et brud på datasikkerheden. Virksomheden opdagede et brud, som omfattede alle europæiske medarbejdere, heriblandt én norsk medarbejder. Alligevel blev bruddet først indberettet til det norske datatilsyn efter 67 dage. Bruddet omfattede stort set alle oplysninger om medarbejderens ansættelse.

En amerikansk medicinalvirksomhed opdagede et brud på datasikkerheden, efter at der i næsten en måned, var adgang til den amerikanske ”Senior Vice President of Human Ressources” indbakke.

Hackere havde formentlig fået adgang til indbakken via en phishing e-mail. Det betød, at der samtidig var adgang til fortrolige oplysninger om medarbejderne, såsom navn, titel, arbejdssted, startdato, ferie, løn, social sikring, og medarbejdergoder som pension, forsikring og firmabil.

Bruddet omfattede medarbejdere i flere lande. Virksomheden valgte at anmelde bruddet til nogle datatilsyn, men ikke det norske. I stedet brugte virksomheden to måneder på at undersøge, hvorvidt bruddet var relevant at anmelde.

72 timer, og ikke et sekund mere

Det norske datatilsyn var ikke tvivl om, at der var tale om et brud, som skulle anmeldes efter databeskyttelsesreglerne. Overtrædelsen af 72-timers fristen medførte herefter en bøde på 2,5 millioner norske kroner. Det norske datatilsyn understregede, at 64 dages forsinkelse efter 72-timers fristens udløb var en alvorlig overtrædelse.

Datatilsynet lagde blandt andet vægt på, at virksomheden havde fulgt en politik for brud på datasikkerheden, som var utilstrækkelig. Ifølge politikken, skulle virksomheden nemlig først selv foretage interne undersøgelser, før der blev søgt rådgivning hos eksterne advokater i Europa. Processen betød, at det praktisk talt var umuligt for virksomheden at overholde 72-timers fristen. 

Derudover understregede det norske datatilsyn, at oplysninger om løn og medarbejdergoder var af en særlig følsom karakter. Bruddet kunne få stor betydning for den berørte medarbejder, da oplysningerne kunne misbruges til identitetstyveri og svindel. Endelig pegede datatilsynet på andre problematikker, herunder at virksomhedens databeskyttelsesrådgiver også var direktør for den globale IT-afdeling. Den stilling var grundlæggende uforenelig med kravene til en databeskyttelsesrådgivers uafhængighed.

IUNO mener

Når et databrud er så slemt, at det skal anmeldes, gælder der en 72-timers frist. For at have mulighed for at reagere inden for den korte frist, skal der være interne retningslinjer på plads. Sagen er et godt eksempel på, at virksomheder altid bør overveje, om den interne proces, der herefter fastsættes, også er mulig at gennemføre inden fristen. Vi har tidligere skrevet om, at 72-timers fristen ikke kan afviges, her.

IUNO anbefaler, at virksomheder etablerer realistiske retningslinjer for håndtering af brud på datasikkerheden. Retningslinjerne bør klart fastslå, hvem der har ansvaret for hvad gennem processen. Hvis processen afhænger af ekstern rådgivning, bør der også være en klar forventningsafstemning om, hvordan fristen kan overholdes i den forbindelse.

Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.

[Det norske datatilsyns afgørelse af den 8. marts 2023 i sag 21/03126-13]

En amerikansk medicinalvirksomhed opdagede et brud på datasikkerheden, efter at der i næsten en måned, var adgang til den amerikanske ”Senior Vice President of Human Ressources” indbakke.

Hackere havde formentlig fået adgang til indbakken via en phishing e-mail. Det betød, at der samtidig var adgang til fortrolige oplysninger om medarbejderne, såsom navn, titel, arbejdssted, startdato, ferie, løn, social sikring, og medarbejdergoder som pension, forsikring og firmabil.

Bruddet omfattede medarbejdere i flere lande. Virksomheden valgte at anmelde bruddet til nogle datatilsyn, men ikke det norske. I stedet brugte virksomheden to måneder på at undersøge, hvorvidt bruddet var relevant at anmelde.

72 timer, og ikke et sekund mere

Det norske datatilsyn var ikke tvivl om, at der var tale om et brud, som skulle anmeldes efter databeskyttelsesreglerne. Overtrædelsen af 72-timers fristen medførte herefter en bøde på 2,5 millioner norske kroner. Det norske datatilsyn understregede, at 64 dages forsinkelse efter 72-timers fristens udløb var en alvorlig overtrædelse.

Datatilsynet lagde blandt andet vægt på, at virksomheden havde fulgt en politik for brud på datasikkerheden, som var utilstrækkelig. Ifølge politikken, skulle virksomheden nemlig først selv foretage interne undersøgelser, før der blev søgt rådgivning hos eksterne advokater i Europa. Processen betød, at det praktisk talt var umuligt for virksomheden at overholde 72-timers fristen. 

Derudover understregede det norske datatilsyn, at oplysninger om løn og medarbejdergoder var af en særlig følsom karakter. Bruddet kunne få stor betydning for den berørte medarbejder, da oplysningerne kunne misbruges til identitetstyveri og svindel. Endelig pegede datatilsynet på andre problematikker, herunder at virksomhedens databeskyttelsesrådgiver også var direktør for den globale IT-afdeling. Den stilling var grundlæggende uforenelig med kravene til en databeskyttelsesrådgivers uafhængighed.

IUNO mener

Når et databrud er så slemt, at det skal anmeldes, gælder der en 72-timers frist. For at have mulighed for at reagere inden for den korte frist, skal der være interne retningslinjer på plads. Sagen er et godt eksempel på, at virksomheder altid bør overveje, om den interne proces, der herefter fastsættes, også er mulig at gennemføre inden fristen. Vi har tidligere skrevet om, at 72-timers fristen ikke kan afviges, her.

IUNO anbefaler, at virksomheder etablerer realistiske retningslinjer for håndtering af brud på datasikkerheden. Retningslinjerne bør klart fastslå, hvem der har ansvaret for hvad gennem processen. Hvis processen afhænger af ekstern rådgivning, bør der også være en klar forventningsafstemning om, hvordan fristen kan overholdes i den forbindelse.

Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.

[Det norske datatilsyns afgørelse af den 8. marts 2023 i sag 21/03126-13]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
Teknologi

16. februar 2024

Varehus fik millionbøde for kontrol med medarbejdere

logo
Teknologi

28. september 2023

Syv bud til når arbejdsmailen skal lukkes

logo
Teknologi

14. september 2023

Åbne personalefiler var databrud

logo
Teknologi

14. september 2023

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Teknologi

31. august 2023

Ny vejledning fra Datatilsynet om direkte markedsføring

logo
Teknologi

8. juni 2023

Alvorlig kritik og påbud efter uorden med værktøjskasse

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)