Gyldendal overrasket over politianmeldelse og millionbøde: Bygger på en fire år gammel sag

2 kommentarer.  Hop til debatten
Bøger, bog
Illustration: FreedomTumZ | Bigstock.
685.000 medlemmers personoplysninger blev uden grund opbevaret i en passiv database hos forlaget Gyldendal, og derfor blev forlaget sidste uge politianmeldt af Datatilsynet og indstillet til en bøde på 1 million kroner. Timingen overrasker Gyldendal, der hævder, at den fire år gamle sag blev løst efter et par måneder.
27. juni kl. 11:00
errorÆldre end 30 dage

Forlaget Gyldendal blev tirsdag sidste uge politianmeldt af Datatilsynet og indstillet til en bøde på 1 million kroner for at gemme 685.000 medlemmers personoplysninger uden grund, hvilket er i strid med GDPR.

Tidspunket og bøden overrasker forlaget, fortæller medie- og kommunikationschef i Gyldendal Niels Overgaard til ITWatch.

Læs også: Kommende ITU-rektor: »Vi skal blive bedre til at levere efteruddannelse til alle«

Gyldendal havde placeret personoplysningerne i en passiv database og havde ingen politikker eller retningslinjer for sletning af oplysningerne. Det er et klart brud på GDPRs grundlæggende principper om ‘opbevaringsbegrænsning’ og ‘ansvarlighed’, og er en af årsagerne til, at Datatilsynet har lavet en politianmeldelse.

Artiklen fortsætter efter annoncen

Læs også: EU udvider samarbejde med sociale medier om at bekæmpe desinformation

Det handler ifølge Niels Overgaard om en fire år gammel sag, der blev løst et par måneder efter, at Gyldendal blev opmærksom på den. Derfor undrer timingen ham.

»Baggrunden er, at vi havde en masse data liggende, som vi var ved at migrere over i et nyt system, allerede inden tilsynet kom på besøg, og som skulle have været færdiggjort inden. Men på grund af forsinkelser med it-projektet holdt tidslinjen ikke, og så overskred vi deadline inden besøget. Det er selvfølgelig ikke godt nok, men vi var i gang med at løse problemet, da de kom,« siger Niels Overgaard til ITWatch.

2 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
28. juni kl. 14:08

Ja man må jo sige, at det netop er den slags fejlprioriteringer mht. sikkerheden af andres data, GDPR gerne skulle hjælpe i mod - så bøden virker til at være fuldt fortjent.

1
27. juni kl. 13:04

Spottet på reddit da historien først kom frem:

Jeg var for 3-4 år siden hyret ind som konsulent på et projekt der benyttede dette "forældede" API. Den gang informerede vi Gyldendal skriftlig om sårbarhederne i APIet og det faktum at det lå pivåbent for alle, uden nogen form for autorisering eller sikkerhed. Jeg kan ikke huske hvad deres respons var, men de har tydeligvis ikke taget vores henvendelse særlig seriøst.

og en af svarene er også godt:

Jeg er ved at skifte job efter MEGET kort tid i stillingen, da jeg har fundet så grelle sikkerhedsproblemer jeg mener skal rettes nu og ikke i morgen, alle trækker dog på skuldrene og det koster jo penge fordi jeg bruger timer, der kan faktureres. Ja, fint. Det bliver så uden mig. Og jeg gider ikke være associeret med det, hvis det går galt.