Skickade massmejl utan hemlig kopia – fick böta 5000 euro
I denna gästblogg får vi exempel på GDPR-böter i Europa samt några cybersäkerhetstips för distansarbete i dessa Covid-19 tider.
Företag bötfällda för felaktig hantering av personuppgifter
Ett företag i Spanien skickade e-postreklam till flera mottagare där e-postadresserna var synliga för alla andra mottagare. Detta eftersom mottagaradresserna infogades som kopia och inte som hemlig kopia. Eftersom e-postadressen är definierad som en unik personuppgift, samt att man inte ska exponera andras adresser utan tillstånd beslutade den spanska tillsynsmyndigheten AEPD i december 2019 att bötfälla företaget med 5000 euro för brott mot principen om integritet och konfidentialitet (art. 5.1.f GDPR).
I oktober 2019 beslutade Berlins tillsynsmyndighet att bötfälla ett fastighetsföretag i Tyskland med 14 500 000 euro för otillåten lagring av personuppgifter (art. 5.1.e). De hade använt ett arkiveringssystem för lagring av personuppgifter om hyresgäster som inte gav möjlighet att radera gamla uppgifter. Det var därför möjligt att få tillgång till personuppgifter som hade lagrats i flera år trots att dessa uppgifter inte var nödvändiga för de ändamål de hade samlats in.
Idag, den 19 mars 2020, finns 241 GDPR-böter listade på webbplatsen enforcementtracker.com, en webbplats som innehåller en översikt över böter och påföljder som dataskyddsmyndigheter inom EU hittills har ålagt organisationer enligt GDPR.
Exemplen ovan visar på något som många gör fel på. Vi lagrar för mycket och för gamla personuppgifter och vi glömmer att använda hemlig kopia vid massmejl. De är också två typiska fall av böter enligt en av de vanligaste artiklarna i GDPR, nämligen artikel 5, som handlar om de grundläggande principerna för behandling av personuppgifter det vill säga laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldigheten.
Den Tekniska utvecklingen
Den tekniska utvecklingen har till viss mån ökat skyddet för den personliga integriteten men det finns mycket mer att göra. Ett framsteg, vid bearbetning av personuppgifter, är de sofistikerade algoritmer som kan anonymisera personuppgifter. En annan olöst framväxt är möjliggörandet av en lukrativ massövervakningsindustri.
Jag ser fram emot en teknisk utveckling som till fullo tar hänsyn till den personliga integriteten och gör det lätt att göra rätt. Jag skulle vilja uppleva inbyggt dataskydd i alla system. Exempelvis att jag i e-postklienten får kontrollfrågan ”Ska du verkligen skicka öppet till alla?” eller när jag i mitt CRM-system får påminnelse om att det är dags att radera personuppgifter efter den gallringsrutin jag har satt.
Till sist en liten uppmaning om att tänka säkert
Covid-19 har inte bara orsakat en pandemi utan även en snabb övergång till distansarbete, onlinemöten och fjärrutbildning. Vilket innebär nya möjligheter för hackare och andra aktörer till cyberattacker och cyberbrott.
Här följer några tips hur man kan öka sin cybersäkerhet:
Påminn anställda om att förbli vaksamma. Det sker just nu en stor ökning av ransomware-attacker (utpressningsprogram) och av phishing (nätfiske en form av social manipulation) med falska e-postmeddelanden som innehåller skadliga länkar eller bilagor. Ett nytt knep är att skicka e-post som tydligt ser ut som nätfiske men själva nätfisket ligger i foten i meddelandet. Mottagaren luras att klicka på en länk där det anges att IT-avdelningen misstänker att det är nätfiske och att man ska rapportera det genom att klicka på en länk (som är skadlig). Påminn anställda om hur man rapporterar misstänkt cyberaktivitet och genom vilka kanaler.
Installera och slå på antivirusprogram i alla datorer, smarttelefoner och surfplattor.
Se till att antivirus, operativsystem och appar/programvaror på alla datorer, telefoner och surfplattor är uppdaterade och uppdateras automatiskt.
Kontrollera din brandvägg. Brandväggar skapar en "buffertzon" mellan ditt eget nätverk och Internet.
Aktivera multifaktor-autentisering för systemåtkomst om du inte redan har gjort det.
Övervaka din systemanvändning. Håll koll på misstänksam nätverksaktivitet, som upprepade misslyckade inloggningsförsök (ofta över lång tid), ovanlig inloggningsaktivitet eller inloggningar med IP-adresser från platser där din personal inte finns.
Granska dina försäkringar. Har företaget en cyberförsäkring?
Tänk på att alla förbättringar, även små, gör skillnad.
Vill du komma i kontakt med Anna? Mejla henne här: anna@it-juristen.se