ANFO_LogoV_white_50px
  • 618210072

JusNytt: Gammelt system kan bli dyrt

  • By
  • Carsten Gunnarstorp – advokat i ANFO

Det kommer stadig nye saker fra datatilsynene i Europa, og det er flere eksempler på at gamle systemer kan bli svært dyre. Gamle systemer tar ofte ikke hensyn til gode sletterutiner, og kan også være så utdaterte at de utgjør en sikkerhetsrisiko.

 

At systemet er gammelt blir ikke nådig behandlet av tilsynene – det er mer nærliggende at det er straffeskjerpende enn formildende. Det viktigste er likevel dokumentasjonen på at det er gjort vurderinger og tiltak. Du kan komme deg unna med mye dersom du kan dokumentere at det er gjort en innsats for å unngå personvernulemper. Men husk at det ikke er nok å gjøre en innsats – det må kunne dokumenteres!

 

British Airways har fått en bot på ca. NOK 2 milliarder, som utgjør ca. 1,5% av omsetningen. Hjemmesiden lakk personopplysninger om kundene (navn, adresse, reiseinformasjon og kredittkortopplysninger). Årsaken var et hackerangrep som ble muliggjort ved at BA brukte et javaskript som ikke var oppdatert siden 2012 og som var kjent i markedet som en sikkerhetsutfordring. Tilsynet åpnet for at «slikt kan skje», men BA kunne ikke dokumentere noen systematisk oppfølgning av IT systemene som var begrunnet med ivaretagelse av personvernet til kundene, og da ble konklusjonen mer lik «slikt må nødvendigvis skje».

 

Et dansk taxiselskap har fått en bot på ca. NOK 2 millioner, et beløp som nominelt ikke er så høyt, men som likevel utgjorde nesten 4% av omsetningen. Det ble en høy bot selv om ingen personopplysninger hadde kommet på avveie, og de lagrede personopplysningene var relativt trivielle (navn, adresse, telefonnummer og reiseopplysninger). Selskapets system var gammelt og ga ikke føringer med hensyn til behandlingsgrunnlag og sletting. I praksis medførte dette at selskapet manglet både behandlingsgrunnlag og gode sletterutiner. Selskapet hadde også problemer med å dokumentere at de hadde jobbet aktivt med personvernet. Konklusjonen i denne saken ligner på «her har man sittet med hendene i fanget».

 

Oppsummert: sikkerhet, sletterutiner og dokumentasjon!

 

Foto: Getty Images