Hvad har persondatalovgivningen med cyberangreb at gøre?

Erhvervslivet forbereder sig lige nu på, at den gældende persondatalov den 25. maj 2018 erstattes med EU-persondatareglerne. Der er tale om væsentlige ændringer i forhold til den gældende persondatalov, og formålet er at beskytte privatpersoners persondata. Et emne, der er yderst relevant, når man tænker på, at flere og flere trusler fra cyberkriminelle er blevet en integreret del af vores IT-hverdag og den seneste tids IT-sikkerhedstrusler mod udenlandske og danske virksomheder.

Trusler mod IT-sikkerheden

En af de store trusler mod IT-sikkerheden er ransomware, som krypterer alle filer, harddiske, servere eller fællesdrev, så virksomheden ikke længere kan få adgang til egne data. Derefter forlanger hackeren en løsesum mod enten ikke at frigive virksomhedens data offentligt, eller mod at levere en dekrypteringsnøgle, som fjerner krypteringen.

Ofte inficeres computeren med ransomware på grund af, at en medarbejder har klikket på et link eller en fil, som har været inficeret. Virksomheder bliver derfor nemt sårbare i forhold til cyberkriminalitet, da et enkelt klik kan skabe store problemer for virksomheden.

Indtil nu har den generelle anbefaling ved cyberangreb været, at man ikke betaler løsesummen, men i stedet henvender sig til en IT-virksomhed og får dem til at fjerne krypteringen. Et alternativ har været, at man genskabte data via sin backup. Dette er dog problematiske løsninger, når EU-persondatareglerne træder i kraft den 25. maj 2018.

Skærpede krav til databeskyttelse

Når persondataloven erstattes med EU-persondatareglerne, skal virksomheder fremadrettet sikre sig og dokumentere håndteringen af, at persondata sker forsvarligt.

Overholdes persondatareglerne ikke, kan konsekvenserne være bøder på op til 4% af virksomhedens globalomsætning samt ledelsesansvar til følge.

Persondatareglerne skal sikre større beskyttelse af persondata. Det betyder blandt andet, at en virksomhed skal have klare tilsagn fra brugere i forhold til håndtering af persondata. Dette gælder både persondata på medarbejdere i virksomheden, men kan også gælde leverandører, kunder og andre interessenter. Især når det drejer sig om personfølsomme oplysninger som f.eks. helbredsforhold, personlighedstest, politisk interesse m.v., skal der kunne dokumenteres et udtrykkeligt skriftligt samtykke fra brugerne ved anvendelse og opbevaring af disse oplysninger.

Hvis en virksomhed bliver udsat for et hackerangreb, eller der har været anden uautoriseret adgang til persondata, er der derudover krav om at indrapportere dette til Datatilsynet inden for 72 timer.

Cyberkriminalitet i fremtiden

Den mest udbredte cyberkriminalitet i dag er ransomware-angreb, hvor filer og harddiske krypteres men ikke overføres til hackeren.
Man kan dog frygte en stigning i den type ransomware-angreb, hvor virksomhedens data overføres til hackeren, hvorefter der kræves en løsesum mod at data ikke offentliggøres. For når EU-persondatareglerne træder i kraft, kan den ramte virksomhed ikke nøjes med at genskabe data fra deres backup. Hackeren vil stadig være i besiddelse af virksomhedens persondata, og virksomheden står derfor med en datalækage, som kan have alvorlige konsekvenser som f.eks. en stor bøde. Man kan på nuværende tidspunkt kun spekulere i, hvordan de forskellige virksomheder vil reagere på afpresningen, men et muligt scenarie kunne være, at mange virksomheder betaler løsesummen og lader som om intet er sket. Simpelthen fordi det er billigere end at betale evt. bøder til relevante myndigheder.

Det vil være problematisk, hvis mange virksomheder vælger at håndtere cyberkriminalitet internt og diskret for at undgå at skulle stå til ansvar overfor relevante myndigheder og risikere dårlig offentlig omtale. Det vil derudover blive svære for relevante myndigheder, antivirus-producenter og Datatilsynet at bekæmpe cyberkriminaliteten.

Hvordan skal du forholde dig?

Du skal sætte dig godt ind i EU-persondatareglerne og forberede din virksomhed og medarbejdere på at leve op til de nye krav og procedurer i overensstemmelse med lovgivningen. Dermed står både du og virksomheden meget stærkere, hvis uheldet skulle ske.

Der kan selvfølgelig også foretages en række tekniske foranstaltninger såsom f.eks. mailfilter. De tekniske foranstaltninger er dog ikke en 100 % garanti, men de vil mindske risikoen for angreb.

Vi anbefaler, at du allerede nu tager stilling til, hvilken betydning EU-persondatareglerne får for netop din virksomhed. Vi afholder bl.a. et gå-hjem møde tirsdag den 27. juni 2017, hvor følgende spørgsmål bliver belyst:

1. Hvorfor er den nye EU-persondataforordning relevant for jeres virksomhed?
2. Hvilke regler skal jeres virksomhed leve op til fra maj 2018?
3. Hvordan skal I som virksomhed forholde jer?
4. Hvilke konsekvenser medfører EU-persondataforordningen for danske virksomheder, hvis den ikke overholdes?
5. Hvad handler persondatabeskyttelse i det hele taget om?

Du er meget velkommen til at kontakte os, hvis du har nogle spørgsmål.