Hva blir konsekvensene av databrudd etter inntredelsen av GDPR?
- Hva er et databrudd?
- Ulike former for konsekvenser ved databrudd
- Bøter
- Driftstap
- Erstatningskrav
Det stemmer at man under GDPR risikerer mye høyere bøter enn tidligere, men bruken av bøter vil med liten sannsynlighet bli normen. Utstedelse av bøter har alltid vært, og vil fortsatt være, en siste utvei. Databrudd har andre umiddelbare og alvorlige konsekvenser som både er mer sannsynlige og som kan være avgjørende for om virksomheten overlever databruddet eller ikke.
Vi vil i dette blogginnlegget ta en titt på konsekvensene av databrudd etter inntredelsen av GDPR. Dette inkluderer selvfølgelig bøter, men også ulike former for driftstap og erstatningsansvar som vil være avgjørende for virksomhetens overlevelse ved et databrudd.
Hva er GDPR? Les vårt første blogginnlegg om GDPR her.
Først – Hva regnes egentlig som databrudd under GDPR?
Det kan være vanskelig å forstå regelverket når det kommer til å avgjøre om noe defineres som et databrudd eller ikke. Heldigvis finnes det retningslinjer til regelverket som nevner tre ulike typer databrudd:
- Fortrolighetsbrudd: Avsløring av eller tilgang til data av en uautorisert person
- Tilgjengelighetsbrudd: Tap av tilgang til eller ødeleggelse av data
- Integritetsbrudd: En endring av data
Dette er typiske databrudd som kan oppstå i et normalt arbeidsmiljø. Mange vil kanskje bli overrasket over at brudd på tilgjengelighet regnes som databrudd. Dette kan f.eks være en situasjon der kundens personopplysninger ikke er tilgjengelige en viss periode på grunn av systemet slås av.
Ulike former for konsekvenser ved databrudd
Advokat Kristian Foss kategoriserer tap som følge av manglende sikkerhet inn i tre grupper i sin artikkel hos digi.no:
- Bøter
- Driftstap
- Erstatningskrav
Vi synes denne inndelingen var så fin at vi velger å gjøre det samme.
Bøter
Bøter brukes som regel som konsekvens først etter veiledning, rådgivning og opplæring. Les mer om dette her. Ved alvorlige brudd og/eller dersom virksomheten din ikke har iverksatt et systematisk sikkerhets- og etterlevelsearbeid, vil likevel bøter kunne bli en virkelighet.
Etter inntredelsen av GDPR risikerer virksomheten bøter på opptil 20 millioner Euro eller 4% av organisasjonens globale årlige omsetning.
GDPR artikkel 83 legger fram flere vurderingskriterier for fastsettelsen av bøter. Noen av kriteriene er:
- Type databrudd
- Hvor alvorlig databruddet er (Omfang og eventuelt om det er sensitive data som er lekket)
- Hvor enkelt det er å identifisere individer fra dataene
- Alvorlighetsgraden av konsekvensene for individene
- Varigheten på databruddet
- Grad av uaktsomhet utvist i forbindelse med databruddet
- Hvilke handlinger som kontrolleren eller prosessoren har gjort for å redusere skaden
Les de fullstendige kriteriene her.
Driftstap
Et databrudd kan koste virksomheten din betydelig mer enn en potensiell bot. Det finnes mange forskjellige former for driftstap som virksomheten kan oppleve som et resultat av et databrudd. Disse tapene kan faktisk bety så store økonomiske tap at databruddet kan resultere i konkurs. Her er noen eksempler:
-
Kostnader ved varsling
GDPR spesifiserer at både datatilsynet og individer skal varsles ved databrudd. Alle brudd må imidlertid ikke bli varslet. Datakontroller er kun pålagt å varsle datatilsynet når et brudd er «sannsynlig å føre til en risiko for individets rettigheter og friheter».
Terskelen for å varsle individer er høyere. Varslinger til individer er kun nødvendig når det er høy risiko for deres rettigheter og friheter. Dette er for å unngå at individer blir unødig varslet hver eneste gang et brudd oppstår, selv om bruddet er lite og ubetydelig.
Dersom databruddet er betydelig og individer må varsles, kan dette bli svært kostbart. Man risikerer å måtte sende ut elektroniske og/eller fysiske brev, samt håndtere innkommende telefoner, post og e-post fra datasubjektene som rammes av databruddet. En undersøkelse av Ponemon for IBM viser at totalkostnader for databrudd ligger på USD 150 til 200 i gjennomsnitt per datasubjekt dersom dataene er sensitive. Dette kan bli store summer dersom omfanget av databruddet er stort.
-
Tiltak for skadebegrensning og gjenoppretting
Ved databrudd må det i tillegg til varsling settes i gang en rekke tiltak for å begrense skadene av bruddet. Når dette er gjort, må det også iverksettes tiltak for gjenoppretting av data og datasikkerhet. Ofte er dette avanserte prosesser som krever bruk av innlede spesialister. Dette er ifølge Ponemo-undersøkelsen en av de mest kostbare postene ved databrudd.
-
Tap av data = Tap av kunder
Har du lyst til å oppgi dataene dine til en bedrift som nettopp har hatt et stort databrudd? Sannsynligvis kvier du deg mer enn før. Databrudd kan føre til tap av renommé og dermed også tap av kunder. Dette vil igjen gi tapt omsetning, hvilket ifølge Ponemon-undersøkelsen er den største enkeltposten for tap hos virksomheter som opplever databrudd.
-
Tiltak for ny tillitt
Når noen bryter tilliten din, må de gjøre en betydelig innsats for å bygge den opp igjen. Slik er det med virksomheter som har databrudd også. Etter et databrudd må virksomheten iverksette tiltak for å gjenopprette tilliten til kunder og potensielle kunder dersom de ønsker å overleve.
-
Tap av andre viktige data
Ved lekkasje av data risikerer man også at andre ting enn persondata lekkes. Dette kan for eksempel være forretningshemmeligheter som dine konkurrenter plutselig får innsyn i. Dette kan igjen føre til tapt markedsposisjon, hvilket fort bli en dyr affære.
Erstatningskrav
Ved et databrudd kan virksomheten eller ledende personell i virksomheten rammes av et erstatningsansvar.
Erstatningsansvar for virksomheten
Erstatningsansvar for virksomheten skjer ved at en eller flere av personene som lider tap som følge av overtrådte GDPR-regler, krever erstatning fra enten behandlingsansvarlig eller databehandler. Kravet kan kun rettes mot en av partene, uansett om begge partene har overtrådt regelverket. Videre må den parten som har betalt ut mer enn egen skyld tilsier, kreve beløpet fra den andre parten.
Erstatningsplikten er så streng at virksomheten kun slipper erstatningsansvar dersom den kan vise at den på ingen måte er ansvarlig for årsaken til tapet. Fordi en privatperson har få muligheter til å klare å bevise at en databehandler eller en behandlingsansvarlig har gjort noe feil, er det virksomheten selv som sitter med bevisbyrden.
På grunn av det skjerpede ansvaret som følger med GDPR, vil et databrudd som rammer mange personer kunne bety et erstatningsansvar for virksomheten på betydelige summer.
Erstatningsansvar for daglig leder og styret
Også styret og daglig leder risikerer å sitte med erstatningsansvar dersom de har vært uaktsomme og brutt handlingsnormer. I dette ligger det at de for eksempel har gjort noe de ikke burde ha gjort eller har unnlatt å gjøre noe de burde ha gjort.
Med GDPR gjøres handlingsnormen rundt datasikkerhet og krav til organisering av virksomheten klarere. Avvik fra disse vil derfor kunne gjøre daglig leder og styremedlemmer raskere ansvarlig for brudd for normene.
Et eksempel kan være at ledelsen ikke har iverksatt sikkerhetstiltak for å beskytte persondata, som igjen har ført til et databrudd. Et databrudd kan medføre store kostnader og tap for virksomheten (som vi allerede har sett på), hvilket aksjonærer vil ha en sterk interesse av å få dekket av daglig leder og styrets medlemmer personlig.
Vi har nå sett at konsekvensene av et databrudd beveger seg langt utover bøtlegging og at andre konsekvensene kan være like alvorlig, om ikke mer alvorlig, enn bøter i seg selv. De potensielle bøtene, driftstapene og erstatningskravene som kan følge databrudd bør likevel ikke være hovedmotivasjonen for overholdelse av GDPR. Hovedmotivasjonen bør være å sette brukerens personvern og sikkerhet først.
Vi oppfordrer alle som enda ikke har startet med sitt GDPR-arbeid om å komme i gang så fort som mulig, slik at man er klar for den nye lovgivningen som trer i kraft i mai. Trenger du hjelp for å komme i gang, kan du laste ned vår enkle GDPR-guide her.