Det overrasker næppe nogen, at Datatilsynet har haft travlt, siden GDPR-forordningen trådte i kraft 25. maj, men i et interview med mediet IT-Watch sætter tilsynsleder Jesper Husmer Vang for første gang tal på effekterne af GDPR.
Alene i juni måned modtog Datatilsynet 1.300 henvendelser, hvilket er 1.000 flere end samme måned sidste år. Jesper Husmer Vang estimerer, at Datatilsynet skal tage stilling til 20.000 sager i år, hvilket er en firedobling af de ca. 5.000 sager, Datatilsynet behandler om året, skriver IT-Watch.
»Det er klart, at vi er udfordret af, at der er så mange sager. Godt nok er vi blevet styrket, men hvis det fortsætter med den hast, det har lige nu, så kan det vise sig, at forøgelsen (af Datatilsynets bemanding, red.) på 30 procent ikke er tilstrækkelig,« forklarer Husmer Vang til mediet.
Fejl-40 udgør stor del af indberetninger
Størstedelen af sagerne, Datatilsynet behandler, er spørgsmål fra virksomheder og myndigheder om databehandling og opbevaring, og disse sager er efter GDPR blevet svære juridiske spørgsmål, hvor de engang var bekymrede henvendelser.
Indberetninger, altså konkrete anmeldelser om misbrug eller uheldig håndtering af persondata, fylder også meget på Datatilsynets bord. Den type indberetninger, der er flest af, omhandler det, Husmer Vang kalder »menneskelige brølere«, hvor en medarbejder eksempelvis sender noget forkert til en modtager eller vedlægger for meget information i et brev.
Jesper Husmer Vang fortæller, at Datatilsynet har modtaget 1.000 indberetninger om sikkerhedsbrud, hvor hackere har tvunget sig adgang til persondata, siden indførslen af GDPR. Det skyldes, at en af reglerne i den ny forordning kræver, at sådanne brud på datasikkerheden skal anmeldes til Datatilsynet inden for 72 timer.
Jeg er klar over, at det er menneskeligt at fejle, men hvis der er tale om den IT-mæssige ækvivalent til en uafskærmet båndsav i kombination med akkord-aflønning, så kan det altså ikke bruges som undskyldning.
Systemer skal altså designes, så de ikke opfordrer til dumhed og menneskelige fejl.
PS: Og nej, de skal ikke være idiot-sikre - sådan nogle systemer skal man selv være idiot for at kunne bruge. Jeg siger bare, at det er alt for nemt bare at sige "menneskelig fejl".
Det er hvad der går under betegnelsen Data protection by design and by default i GDPR, og det er der vidst ikke noget nyt i ud over sanktionsmulighederne:
https://gdpr-info.eu/art-25-gdpr/
Hvor mange ubetydelige fejl mon der nu bliver indberettet, bare for at være sikker?
"Hvor mange ubetydelige fejl mon der nu bliver indberettet, bare for at være sikker?"
Du mener sikkert ubetydelig for ledelse i det offentlige, som stadig har en en fyreseddel til gode på grund af uduelighed, som It-chefen i Randers Kommune, Bent Højlund. Eller den overordnede politiske ledelse, som ikke har givet ham resurse og ordre på at få styr på det. Hvis ikke datasikkerhed har været en del af jobbeskrivelsen, så synes jeg at sagen hænger på en totalt uduelig Administration i Randers Kommune
Eller mener du sagsmapper fra kommune om tvangsfjernelse, eller indberetninger.
?
Personligt tror jeg at de fleste vil føle sig meget intimidere, hvis personlig oplysninger om dem lå til frit skue. Se bare hvordan folketinget reageret, da nogle bare lade deres CPR nummer ud til frit skue. Eller du mener at Folketinget overreageret i denne sag.
Som jeg ser det, så er det at undlade at anmelde = risiko for en stor bøde.
En anmeldelse vil sandsynligvis højst resultere i en påtale for nuværende. Så det er klart at mange anmelder ud fra en risk analyse.
Jeg har selv være udsat for datalæk, da status på min klagesag over Amazon gennem Forbruger Europa blev sendt til en forkert modtager (for trvl medarbejder ?). Jeg modtog så en mail om at en uautoriseret 3die part havde modtaget mailen fejlagtigt, og havde informeret Forbruger Europa om at den nu var slettet.
Det kommer da som en overraskelse, tænkt at sagsmængden er steget med en faktor 4, næ dog, ser man det...! Det var der da ingen der kunne have forudset...!
Det har du da ret i Bjarne. Udfordringen er vel bare, at verden er fyldt med gammel software, som er udviklet før nogen fik fokus på GDPR og det må vi leve med i rigtig mange år endnu.
På samme vis må vi leve med at det tager rigtig mange år at ændre på vaner og praksis og de dermed følgende smuttere.
... og var GDPR egentlig ikke tænkt til at beskytte os mod virksomheder, myndigheder og enkeltpersoner, der anvender persondata til alt andet, end det formål, som personen har givet tilsagn til?
... GDPR var vel ikke tænkt som middel til en klapjagt på menneskelige fejl der opstår og som reelt set ikke har nogen betydning i 99,99% af tilfældene.
Hvis det hurtigt kom nogle bøder på 4% og 14 millioner til offentlig administration.
Så tror jeg det det gå betydeligt hurtige. Så nej vi må ikke leve med det, hvis vi ikke ønsker det, og myndigheder hurtigt fik startet nogle sager.
OG hvad er det for en undskyldning om gammel software. Den gamle dataforordning, har været gældende i snart 20 år, og er ikke meget forskelligt fra GDPR med undtagelse af bødestørrelsen.
Og jo jeg tror at GDPR er tænkt som en middel og klapjagt på firmaer og personer der deler din holdning, om at privatliv og databeskyttelse endeligt er besværligt, så hvorfor gøre noget ved det.
Og din holdning viser også samtidigt at der burde være inddraget mulighed for fængselsstraf i grove eller gentagne tilfælde til ledelse og ansvarlig også i det det offentlige.
Som hvis politikere og de ansvarlige i region sjælland, samt sundhedsplatformens EPIC leder og bestyrelse ikke turde sætte deres ben i Europa på grund af mulig fængselsstraf.
Så tror jeg ikke det gik ret langt tid, før der var styr på om ikke andet persondata og sikkerhed i Sundhedsvæsenet på Sjælland.
Et år eller to i fængsel for at overtræde menneskehed rettigheder til et privatliv, er jo ikke meget når man tænker på at "samme" politiker i Australien tænker på at give 10 år fængsel for at glemme sit kodeord på ens telefon.
Hans, jeg undskylder ikke noget. Jeg konstaterer blot fakta.
Med hensyn mulighederne for strafudmåling i forhold til den tidligere lovgivning, så tror jeg, i al ydmyghed, at du bliver nødt til at rette skytset mod lovgiverne og ikke mod mig.
... selvom jeg godt kan læse, at du er parat til at fælde dom over mig, blot fordi jeg ikke deler dine synspunkter og uden at du i øvrigt kender mig ...
Er det virkelig dér du ønsker debatniveauet på V2?
Hvis vi tager Bjarnes uafskærmede båndsav hvor længe tror du virksomhederne fik til at få afskærmning sat op? Meget kort tid, de kunne gøre saven lovlig eller købe en ny eller.. undvære en sav. Gør det samme med IT lav det, skift det ud eller unvær det. Simpelt det behøver men ikke have gået på universitet for at forstå.
Så snart der står IT på det så er det i orden at trække tiden, og sige "sådan er det bare" og undslå sig alle udgifter. Man kan overholde loven eller ej der er ingen " loven gælder for mig når jeg gider"
"Er det virkelig dér du ønsker debatniveauet på V2?"
Nu virket dit indlæg for mig, som det også var din holdning.
At det var i orden, i 20 år ikke at gide overholde lovgivningen.
Samt at kalde det en hetz og klapjagt , nu at komme efter dem, som ikke har udvist rettidig omhu i de mange år.
Men beklager hvis jeg har misforstået dig, og du også synes.
at de som ikke er parat til GDPR, ikke har udvist rettidig omhu.
Og derfor som sådan ikke er egnet til at have ansvar for data eller data behandling , og må tage de bøder som evt følger med manglende overholdelse af loven.
Når og ikke vist Facebook, MS, Amazon og Google får yderligere nogle store bøder, og evt bliver "truet" på retten til at drive forretning i EU. Så skal du se hvor hurtigt de kan få rettet deres software, så det overholder GDPR.
Men beklager, mit indlæg var ikke ment personlig. Men det var et angreb på de rigide opfattelser af rigtigt og forkert jeg troet du stod for. Det beklager jeg.
'Truth Isn't Truth' - I think this is going to become a bad meme.
Det var pudsigt - jeg har hørt at 99,99% af al statistik i debatten her på Version2 er opfundet til lejligheden - hvilket sammentræf!
Jeg beklager dybt, hvis man kan få det indtryk, at jeg billiger klapjagt på de stakler, som måtte få deres metaforiske fingre i den metaforiske båndsav. Det er at føje spot til skade. Men det er jo nok desværre det eneste som sker, for hvis der blivet draget konsekvenser af en 'menneskelig fejl', så er det som oftest udelukkende i forhold til mennesket. Alt andet ville jo betyde, at man skulle til at kigge indad og selv tage ansvar.
Derimod har jeg igennem en efterhånden lang karriere hørt et utal af de sygeste undskyldninger fra systemejere (og deres leverandører). Man sparer simpelthen den metaforiske afskærmning væk, og stikker uden blusel bonusen opnået herved i lommen.
Jeg accepterer at man ikke kan udskifte et gammelt system fra den ene dag til den anden. Men at det skulle betyde, at der slet ikke kan gøres noget, men at vi bare 'af ressourcehensyn' skal slå ud med armene og sige 'pyt, det er menneskeligt at fejle', og så fortsætte uændret med den farlige adfærd - det accepterer jeg simpelthen ikke.
Og på samme måde vil jeg ikke have det mindste imod klapjagt på de på denne måde inkompetente eller uvillige systemejere, som ikke vil acceptere at de tog chancer på andres vegne, men nu selv ser ud til at have tabt. Her, tag en tudekiks!
PS: Og hvis det ikke skulle være klart, så afviser jeg ikke 'menneskelig fejl' som årsag. Men ofte skyldes det, at menneskelige fejl kan opstå, eller bare venter på at ske, mangel på rettidig omhu. Og har omhuen ikke været tilstrækkelig til at være rettidig, så er det ikke nok bagefter at slå ud med armene - så må man tage ansvar.
Det er jo faktisk svært at vide, om der blot er tale om undskyldelig "menneskelig fejl", så længe man ikke har undersøgt sagen. Hvis det så - efter efterforskning - skulle vise sig, at der blot er tale om en forståelig menneskelig fejl, som kan ske for os alle, ja, så er jeg helt med på, at det skal der være plads til uden at hente skafottet. Men som med så mange andre sager - Skattesagen, Sundhedssplatformen, ulovlige udlændingeudvisninger osv. osv., hvor vi altid indledningsvis får henvist til "menneskelige fejl", så er det ikke til at vide, før vi faktisk har undersøgt det, om det nu også blot er dumhed eller tanketorsk, der ligger bag - eller om der faktisk er grund til at uddele sanktioner, som måske endda bør være hårde.
Det virker på mig, som om at der er en udbredt (og måske ganske menneskelig?) tendens til at frygtelig gerne at ville uddelegere ansvar og konsekvens, men uden at lade myndighed og de nødvendige rammer følger med. Og så er det jo vigtigt at få lukket eventuelle diskussioner hurtigt.
Det er i høj grad derfor, at jeg advarer imod at man blindt at acceptere "menneskelige fejl", som årsagsforklaring - vi skylder alle dem, som det er gået ud over, at grave et spadestik dybere.